En ce qui concerne le cryptage, Apple est une entreprise qui défend les efforts de sécurité depuis des années. Mais il s'avère que le cryptage avec l'application Mail Mail sous macOS n'était peut-être pas aussi bon que l'entreprise le poussait.
Le bord a publié aujourd'hui un rapport qui détaille le traitement par Apple des e-mails cryptés avec macOS et, en particulier, l'application Apple Mail en stock. Apparemment, avec les bonnes circonstances, il est possible de lire le contenu d'un e-mail crypté comme s'il ne l'était pas du tout. Pire encore, il semble qu'Apple soit au courant depuis un certain temps et ne parvienne à résoudre un problème.
Mais d'abord, mettons cela de côté:
Avant d'aller plus loin, vous devez savoir que cela n'affecte probablement qu'un petit nombre de personnes. Vous devez utiliser macOS, Apple Mail, envoyer des e-mails cryptés de Apple Mail, n'utilisez pas FileVault pour crypter votre système entier déjà, et sachez exactement où dans les fichiers système d'Apple rechercher ces informations. Si vous étiez un pirate, vous auriez également besoin d'accéder à ces fichiers système.
Le problème a été signalé pour la première fois par Bob Gendler, spécialiste informatique axé sur Apple, plus tôt cette semaine. Selon Gendler, il a découvert des fichiers de base de données macOS qui stockent des informations à partir d'applications comme Mail et d'autres, qui sont ensuite utilisées par Siri pour suggérer de meilleures informations à l'utilisateur final. Voilà comment c'est supposé pour fonctionner, car Siri utilise ces informations pour en savoir plus sur chaque utilisateur et proposer des suggestions basées sur ces informations.
Cependant, Gendler a trouvé un fichier de base de données appelé "snippets.db" qui stocke le texte non crypté des e-mails qui devaient être cryptés.
Le gros problème ici n'est pas seulement que macOS stocke du texte de courrier électronique non chiffré dans un fichier de base de données, mais que Gendler a testé le dernier quatre versions de versions majeures du système d'exploitation de bureau d'Apple -Sierra, High Sierra, Mojave et Catalina- et découvert le problème présent dans chacun d'eux.
Gendler dit qu'il a signalé le problème à Apple le 29 juillet de cette année. 99 jours plus tard, le 5 novembre, Apple a finalement répondu. Et bien qu'il y ait eu plusieurs mises à jour pour les systèmes d'exploitation de bureau au fil des ans, aucun d'entre eux n'a inclus de correctif à ce problème.
Si vous souhaitez empêcher la collecte d'e-mails dans snippets.db pour le moment, Apple nous dit que vous pouvez le faire en allant dans Préférences Système> Siri> Siri Suggestions & Privacy> Mail et en désactivant «Learn from this App». Apple a également fourni cette solution à Gendler - mais il dit que cette solution ne fera qu'arrêter Nouveau les e-mails ajoutés à snippets.db. Si vous souhaitez vous assurer que les anciens e-mails qui peuvent être stockés dans snippets.db ne peuvent plus être analysés, vous devrez peut-être également supprimer ce fichier..
Si vous souhaitez éviter que ces extraits non chiffrés soient potentiellement lus par d'autres applications, vous pouvez éviter de donner aux applications un accès complet au disque dans macOS Catalina, selon Apple - et vous avez probablement très peu d'applications avec un accès complet au disque. Apple dit également que l'activation de FileVault cryptera tout sur votre Mac, si vous voulez être plus sûr.
Il convient de répéter la partie importante en haut de cet article à la fin: ce problème n'affectera pas beaucoup de gens. Cependant, cela ne le rend pas moins important, surtout compte tenu de la durée de sa présence dans macOS.
Apple a dit Le bord qu'un correctif pour le problème de sécurité arrive, mais n'a pas donné de date exacte quant au moment où nous devrions nous attendre à ce qu'un nouveau logiciel corrige le problème.
