Une récente découverte a mis en lumière une vulnérabilité dans 1Password pour Mac, poussant à reconsidérer la sécurité des informations sensibles des utilisateurs. Cette faille permettrait à des logiciels malveillants d’exploiter des protections essentielles, soulevant des inquiétudes quant à la confidentialité des données. Les utilisateurs doivent se montrer vigilants et proactifs face à cette situation.
1Password a annoncé que son logiciel pour Mac présentait une vulnérabilité qui expose les utilisateurs à une menace potentiellement grave. En plus de permettre aux attaquants de compromettre les informations d’identification, la faille peut donner aux acteurs malveillants l’accès à la clé de déverrouillage de votre compte.
1Password a révélé les détails de la faille dans un article de sécurité. Heureusement, la vulnérabilité n’a pas été signalée comme exploitée dans la nature, mais il est toujours important de mettre à jour votre logiciel pour vous assurer d’être en sécurité.
Un problème a été identifié dans 1Password pour Mac qui affecte les protections de sécurité de la plateforme de l’application. Ce problème permet à un processus malveillant exécuté localement sur une machine de contourner les protections de communication interprocessus.
Ce problème nous a été signalé de manière responsable par l’équipe rouge de Robinhood après avoir choisi de mener une évaluation de sécurité indépendante de 1Password pour Mac. 1Password n’a reçu aucun rapport indiquant que ce problème a été découvert ou exploité par quelqu’un d’autre.
Comment s’assurer que 1Password pour Mac est sûr
La société indique que tous les utilisateurs exécutant 1Password 8 pour Mac avant la version 8.10.36 (juillet 2024) sont concernés.
Heureusement, la version 8.10.36, disponible dès maintenant, corrige la vulnérabilité. Assurez-vous donc de vérifier quelle version vous avez installée.
Voici comment fonctionne la faille :
Pour exploiter ce problème, un attaquant doit exécuter un logiciel malveillant sur un ordinateur ciblant spécifiquement 1Password pour Mac. Un attaquant est en mesure d’utiliser à mauvais escient les validations interprocessus spécifiques à macOS manquantes pour détourner ou usurper l’identité d’une intégration 1Password de confiance telle que l’extension de navigateur 1Password ou la CLI.
Cela permettrait au logiciel malveillant d’exfiltrer les éléments du coffre-fort et d’obtenir les valeurs dérivées utilisées pour se connecter à 1Password, en particulier la clé de déverrouillage du compte et « SRP-𝑥 ». Pour en savoir plus, consultez la page 19 de 1Password Security Design.