Sur ordinateur Mac, la fonction Coup d'œil (ou Quick Look) de macOS permet d'avoir un aperçu du contenu d'un fichier sans avoir à l'ouvrir ou en lançant une application spécifique associée. Pour une image, une version en taille réduite est proposée. Pour un document avec du texte, un défilement est possible afin d'afficher une partie plus importante.
Chercheur en sécurité, Wojciech Regula a constaté que les données générées pour Quick Look (pour la création de miniatures) ainsi que le chemin d'accès complet au fichier sont stockés dans une partie non sécurisée sur le disque de l'ordinateur.
Cette procédure vaut également si l'aperçu du fichier a été opéré sur un volume de stockage chiffré. Par ailleurs, les données sont conservées même si le fichier cible est supprimé.
Dans une preuve de concept, Wojciech Regula prend des photos de Luke Skywalker et Darth Vader qu'il met dans un conteneur VeraCrypt (disque virtuel chiffré) et un disque chiffré HFS+ sur macOS. Il les ouvre avec Quick Look et repère la miniature en clair des images dans des répertoires à l'aide d'une commande.
Les aperçus, les métadonnées et les chemins d'accès sont stockés dans des fichiers de base de données SQLite. L'extraction des données n'est ainsi pas si simple.
Ancien employé de la NSA et directeur de recherche chez Synack, Patrick Wardle a repris les trouvailles de Wojciech Regula sur son site Objective-See où il propose des outils gratuits de sécurité pour macOS. Il ajoute notamment qu'un même comportement peut être reproduit dans un conteneur APFS chiffré et protégé par mot de passe.
Afin d'avoir accès au cache des miniatures de Quick Look, cela laisse supposer d'avoir un accès physique au Mac, même si une infection par un malware pourrait éventuellement ouvrir d'autres moyens d'accès. En outre, si le disque principal est chiffré, ce sera aussi le cas pour le cache Quick Look. L'accès par un tiers devra alors se faire depuis un système en cours d'exécution.
Patrick Wardle livre des instructions pour nettoyer le cache Quick Look d'un ordinateur. À son habitude, il tacle le discours d'Apple en matière de confidentialité : " ' Chez Apple, nous pensons que le respect de la vie privée est un droit fondamental. […] Chaque produit Apple est pensé de A à Z pour protéger cela. ' … Malheureusement, le discours marketing et la réalité sont parfois en désaccord. "
Le problème soulevé par Wojciech Regula et Patrick Wardle remonterait à plusieurs années, et encore présent dans les récentes versions de macOS.
