L'information est passée relativement inaperçue, alors qu'il faut fortement encourager les utilisateurs à mettre à jour Firefox et Thunderbird sous Mac, et à supprimer les données temporaires stockées dans le dossier /tmp. Mozilla a en effet révélé la semaine dernière que le chercheur en sécurité Kent Howard avait découvert un bug critique sous Mac OS X 10.10 (Yosemite), qui fait que l'ensemble des saisies au clavier sur le navigateur ou dans le logiciel de messagerie était enregistré et conservé dans le dossier /tmp.
Potentiellement, quiconque met la main sur ce dossier peut donc accéder à l'ensemble de l'historique des saisies, et découvrir par exemple des mots de passe, des courriels confidentiels qui apparaissent en clair avant toute opération de chiffrage, les URL saisies, les recherches effectuées, etc.
Selon Mozilla, le bug aurait été provoqué par une modification apportée par Apple au fonctionnement de son framework Core Graphics, qui gère l'affichage des fenêtres en 2D. Pour des raisons qui nous échappent mais sans doute très utiles pour certains développeurs, Apple proposait depuis OS X 10.6 de logger l'ensemble des saisies (clics, clavier…), mais la fonctionnalité était jusqu'alors toujours désactivée par défaut. Or, "dans OS X 10.10, cette journalisation était activée par défaut pour quelques applications qui utilisent un allocateur mémoire particulier, tel que jemalloc, à cause d'un bug d'initialisation dans le framework", raconte Mozilla, qui n'accuse pas Apple de la moindre faute. En tout cas pas explicitement.
Le bug a été corrigé de son côté par Mozilla, qui a ajouté dans le code de Firefox et Thunderbird un ordre explicite à Core Graphics de ne pas logger les saisies au clavier des utilisateurs. Les utilisateurs qui ont fait la mise à jour sont simplement invités à supprimer tout fichier commençant par CGLog_ dans le dossier /tmp, tel que CGLog_firefox.
D'autres logiciels que ceux de Mozilla sont probablement concernés par le même problème.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !