Une faille critique pour Mac OS X
Apple vient de confirmer l’existence d’une faille critique dans son système d’exploitation Mac OS X.
Alors que le nombre d’utilisateurs du système est en augmentation, une faille vient d’être découverte, et permettrait de s’approprier le mot de passe d’un utilisateur.
Un problème de mot de passe
La faille se situe au niveau de la gestion des mots de passe de Mac OS X. Le système stocke en effet les mots de passe de l’utilisateur dans la mémoire, sans crypter ceux-ci. Tous les mots de passe d’un utilisateur peuvent donc être découverts par une personne capable d’accéder à la mémoire.
Apple, qui a reconnu la faille, émet tout de même quelques réserves quant au danger qu’elle représente. En effet, aucune démonstration de cette faille n’a permis de l’exploiter à distance, et il va donc falloir avoir un accès physique à la machine.
De son côté, Jacob Applebaum, expert en sécurité, décrit cette faille comme un « véritable problème qui a besoin d’être réglé rapidement ».
- La PSP s'offre un Messenger
- Alice : la mise en vente se confirme
- Les gadgets high-tech au ski
- eBay : une vente record de trois millions de dollars piratée
- Un record du monde d'overclocking pour Tom's Hardware
- Pour un 29 février férié
- iTunes, LimeWire, VLC...
- La fibre en retard en France
- Firefox 3 veut s'améliorer en JavaScript
- Découvrez la nouvelle ergonomie de Facebook
- Détente : Gmail devient de l'art
- Vistapack, SécuriMail, EmptyDesk...
- Une semaine d'actu jeux vidéo consoles
- Tom's Hardware teste le SP1 de Windows Vista
- Une semaine d'actu jeux vidéo PC
- Le réseau social des footeux
- YouTube en direct en 2008
- Améliorez Ubuntu
- Un réseau social pour danseurs par MC Hammer
"problème qui a besoin d’être réglé rapidement"
... et qu'il le sera d'après un communiqué d'Apple.
ça va encore finir en débat pro microsoft vs pro apple ^^
Et encore une news énorme sur une faille OS X, alors qu'elle suppose d'avoir déjà un accès à la machine... Léger comme faille, non ?
Ben met toi en situation, mec, t'invite des gens et paf ils prennent ton mot de passe ? genant ? a quoi sert le mot de passe s'il devient visible ? pire, ce genre de chose est tres facilement couplable avec un trojan.
Enfin il est bon que l'on parle enfin des tres nombreux probleme de ce mauvais os.
Moi je dis juste : Chers MacUsers, cessez de penser que votre OS est infaillible.
Un système infaillible, ça n'existe tout simplement pas.
(M'en fout de savoir si Mac OS est mieux/pas mieux que Windows)
Cette faille est très grosse quoi qu'en disent certain.
En effet, elle n'est nullement dangereuse pour un particulier, mais elle est pour des entreprises, ou autres réseau multi-utilisateur comme un scolaire par exemple.
De cette façon, l'utilisateur qui veut peut avoir accès au mot de passe administrateur et à partir de là il peut faire n'importe quoi de la machine.
Il y a eu une faille similaire sur le noyau linux il y a quelque temps, un utilisateur pouvait obtenir le mot de passe administrateur du moment qu'il avait un accès physique à la machine, et ce pour rien qu'elle a été classée comme critique. (et fut corrigée dès le lendemain comme il se doit)
@ninjaw
pas plus mauvais ni moins sur qu'un autre...
cela dit, si tes frequentations ont pour habitude d'essayer de voler les informations de ton compte, tes yeux ne doivent pas pouvoir le monde autrement qu'en negatif...
Heu perso j'ai pas tout compris.
ils ont du embaucher un mec qui venait de chez crosoft ^^
mais n'empeche que stocker des mdp non crypté c'est pas très pro et pas très représentatif du travail d'apple. L'erreur est humaine comme d'habitude ...
bien dit zeleyou.
Si quelqu'un est pas content, ben il prend son compilo préféré et il code son propre OS.
Faut arrêter ses critiques/attaques contre les OS.
de toute façon ce ne fait que renforcer celui que vous préférez.
bin ils ont trouvé une faille et alors ? Ils vont la combler, comme tous les développeurs qui trouvent une faille. En plus on sait meme pas si ça concerne que léopard ou non.
J'imagine que le mot de passe est stocké en clair mais dans une zone accessible uniquement à un compte administrateur. Comme dans tout système, il ne faut jamais utiliser un compte administrateur pour des tâches de tous les jours.
Si le mot de passe est en clair, c'est certainement pour permettre aux administrateurs de le retrouver en cas d'oubli.
J'espère qu'Apple va corriger cela au plus vite, mais ce n'est tout de même pas catastrophique.
ninjaw : ce genre de chose n'est pas facilement couplable avec un trojan sur un Mac, pour la bonne raison qu'il n'existe pas de trojan sur Mac !
Pour info un trojan se fabrique : on en utilise pas un déja tout fait !!
C'est la différence entre un hacker et un lamer : l'un développe et l'autre utilise (en gros en fait y sait rien faire !!)
Quand meme ... ça me parait bizarre qu'apple divulgue une telle nouvelle sans proposer de correctif, je vais regarder, mais a mona vis il doit y avoir une mise à jour.
Surtout qu'on ne peut y accéder que dans la zone mémoire... faut arrêter l'herbe qui fait rire.
Non ce n'est pas catastrophique, surtout de retrouver un mot de passe admin...
D'aussi grosses énormités en un seul post, tu fais fort.
Ce n'est pas catastrophique dans la mesure où cette faille existe depuis le système NeXTSTEP qui date de la fin des années 1980, et il a fallut attendre près de 20 ans pour la découvrir. Ni Apple ni les meilleurs pirates ou les meilleurs chercheurs du monde n'avaient trouvé cette faille jusqu'à maintenant.
De plus, comme je l'ai dit, aucun trojan n'existe sur Mac pour le moment, ce qui fait que personne ne peut exploiter à distance cette faille, ce qui limite fortement sa gravité.
Il est quand même plus difficile de retrouver un mot de passe de quelques octets dans 2 Go de mémoire que de retrouver le même mot de passe écrit sur un post-it à côté de l'ordinateur.
Une autre idée qui me vient en tête, est que dans MacOSX, l'activation de certains modes de partage de fichiers sont bien plus dangereux, et sont certainement à l'origine de cette faille. En effet, lorsqu'on active le partage par FTP par exemple (protocole pas du tout sécurisé et déconseillé), il est bien précisé que le mot de passe est stocké de manière moins sécurisé.
En tout cas, comme toujours, il faut éviter d'utiliser un compte administrateur pour les activités courantes, et c'est valable sur tous les systèmes.
Une fois de plus le probleme se situe entre le clavier et la chaise ...
De plus, comme je l'ai dit, aucun trojan n'existe sur Mac pour le moment, ce qui fait que personne ne peut exploiter à distance cette faille, ce qui limite fortement sa gravité.
Mais bien sur, si Skype n'est pas un cheval de Troie, un logiciel qui va fouiller dans les mots de passes, les réglages internet et qui passe sans problème à travers les parefeu, je ne sais pas ce qu'est qu'un cheval de Troie...
Après, je le repete, cette faille n'est dangereuse que pour un réseau multi-utilisateur, point.
Attend mais je veins de penser à un truc : c'est pas possible cette news : jamais de la vie il vont stocker le mot de passe en mémoire, sinon si tu redémarre l'ordi il n'y est plus !!
)
Je pense plutôt que ton mot de passe est en mémoire dès que tu ouvre la session, auquel cas la faille ne présente en effet qu'un danger minime puisqu'il faut etre sur une session pour avoir accès au mot de passe de cette session, donc tu ne peux pas accéder aux autres mot de passe. (lol !! faut être con pour pirater son propre mot de passe ... mdr
A mon avis il faut vérifier la source de cette info, ça me parait louche.
Tu tiens ça d'où nico ?
Jerbe.
Imagine maintenant que quelqu'un te fasse exécuter un bout de code alors que tu es loggé (forcément..). Hop, mot de passe volé...
Ça je suis d'accord que l'on peux éventuellement me voler mon mot de passe.
Mais je suis pas boulet au point de cliquer sur tout ce que je vois.
Et quand il a mon mot de passe il en fait quoi ? Rien : je suis déjà logué !!
Enfin bon dans tous les cas cette news est à vérifier, j'attends les sources de nico.
A oui un autre truc : on est même pas sure que le mot de passe reste en mémoire une fois la session lancée, si ça se trouve il passe en mémoire pour la comparaison à l'ouverture de la session et est supprimé ensuite. Donc il serai bien d'en savoir plus sur cette faille.
Peut-être pas toi, et tant mieux, mais sache que ce n'est pas une généralité.
Par ailleurs, faire exécuter un bout de code peut s'avérer plus subtile. Parfois même, tu n'auras même pas besoin de cliquer pour donner ton accord, pour que le code s'exécute.
Il se re-logue ultrérieurement, ou il le test sur d'autres services dont tu pourrais éventuellement te servir.
Dans ce cas là ça serait pas une faille.
Une source française : http://www.macgeneration.com/news/ [...] al-protege
(sinon il y a plein d'autres pages, mais pour les anglophones et connaisseurs en sécu info)
L'original : http://www.securityfocus.com/archive/1/488930
a oui en fait ils oublient de décharger de la memoire.
et il a oublié de précisez dans sa new que la lecture de la memoire n'est possible que depuis le compte root, donc en effet la faille n'est pas si grande. Et il est bien précisé qu'il faut un accès physique à la machine (en gros être assis devant l'ordi).
Je vais quand même essayer !! (pour le fun)
De son côté, Jacob Applebaum, expert en sécurité, décrit cette faille comme un « véritable problème qui a besoin d?être réglé rapidement ».
Applebaum ?
Ah oui ?
Si tu comprends l'anglais, bonne lecture : http://www.techzoom.net/publicatio [...] e/index.en
Ca vient du Swiss Federal Institute of Technology - Zurich, donc c'est pas des rigolos qui l'ont écrit.