La dernière mise à jour de Mac OS X Lion (10.7.3) comporte une brèche permettant l'accès à un fichier texte contenant l'ensemble des mots de passe des utilisateurs.
C'est David I. Emery, expert en sécurité informatique, qui a révélé l'information sur le site  Cryptome. 
Résultant sans doute d'une erreur de manipulation de l'un des développeurs d'Apple, l'erreur entraine l'enregistrement en clair des mots de passe de Lion dans un fichier de logs pour tous ceux qui s'identifient.
Néanmoins, ce problème ne concerne que les personnes ayant effectué une mise à jour vers Mac OS X 10.7.3 et utilisant le premier volet du logiciel de cryptage de données FileVault, issue d'une précédente version du système d'exploitation.

La marque à la pomme dispose en effet de deux versions de FileVault.

La première, utilisée jusqu'à la mise à jour 10.7 et utilisant la norme Advanced Encryption Standard (AES), ne chiffre que le répertoire personnel de l'utilisateur, laissant de côté les répertoires systèmes. La seconde, FileVault 2, fournie avec Mac OS X Lion 10.7.3, crypte quant à elle l'ensemble du contenu du disque dur.
Problème, lorsqu'une personne met à jour Lion tout en continuant à utiliser la première version de FileVault, une erreur se produit et créé une faille de sécurité. Selon David I. Emery, quiconque possède un accès administrateur peut ainsi avoir accès à l'ensemble des mots de passe de tous les utilisateurs de la machine. 
Pire, même sans accès administrateur, le fichier reste accessible en démarrant le Mac en mode « disque cible » ou en passant par la partition de récupération de Lion.


Un problème à relativiser



Toutefois, une simple migration vers FileVault 2 règle en partie le problème puisque celle-ci obligerait toute personne souhaitant s'introduire dans une machine concernée à connaître au moins le mot de passe de l'un des utilisateurs avant de pouvoir accéder au fichier et la mise en place d'un mot de passe firmware, indispensable au démarrage de la partition de récupération ou au lancement du mode « disque cible FireWire », limiterait  les possibilités d'intrusion. 
Sans doute apparu lors de la dernière mise à jour 10.7.3, ce problème aurait, selon David I. Emery, été découvert plus tôt par d'autres utilisateurs et la firme de Tim Cook serait au courant depuis  un moment. Les employés des Genius Bar disposeraient d'ailleurs d'une technique standard pour mettre fin au problème : passer à FileVault 2et chiffrer tout le disque dur.


Quoi qu'il en soit, cet épisode met en lumière la fragilité d'une telle technologie et pour David I. Emery, « une erreur comme celle-ci ne représente finalement pas vraiment plus de danger que le fait de laisser son ordinateur sans surveillance pendant quelques minutes ».

Apple ne s'est pas encore exprimée sur le sujet.