Mac4Ever Refurb Store Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Mac4Ever.com - Toute l\'actualité Apple, iPhone, iPad, iPod et Mac - Mise à jour quotidienne
Actu Dossiers Forum Photos/Podcasts Petites Annonces
Icône recherche
Annuler la recherche
3775 connectés

Un chercheur dévoile une faille de sécurité du trousseau de Mojave

Un soucis de sécurité sur Mac OS X ?

Modérateurs : Odibi, Bicus, FXF, Nix, beheme, Dragonir, Linschn, Oh my dog

Message par June le 06/02/19, 16:06

Un chercheur en sécurité partage une vidéo démontrant une faille, permettant l'accès aux mots de passe contenus par le trousseau de la dernière version de macOS Mojave (10.14.3).

Linus Henze jouit d'une certaine crédibilité car il a déjà pointé du doigt des failles (particulièrement sur iOS) qui ont ensuite été comblées par Cupertino. Contrarié de ne pouvoir prétendre à la prime du programme « Bug Bounty » sur macOS, l'homme a décidé, cette fois, de ne pas divulguer les informations nécessaires à l'élaboration d'un correctif.




Apparemment, la faille découverte permettrait de passer outre les garde-fous d'Apple (SIP pour System Integrity Protection) et ne nécessiterait pas les privilèges administrateur de la machine pour opérer. Toutefois, l'astuce ne fonctionnerait pas si l'utilisateur a pris soin de bloquer l'accès à son trousseau via un mot de passe supplémentaire, non défini dans la configuration d'origine, et brisant l'ergonomie de macOS en demandant fréquemment de renseigner le sésame.

Linus Henze invite ses confrères à dévoiler partiellement et publiquement leurs découvertes, afin de faire pression sur Apple, et obtenir le droit à la prime « Bug Bounty ».

Source
June
Mac4Ever's Flood
 
Message(s) : 4377
Inscription : 14/05/12, 21:21

Re :

Message par Macleone le 06/02/19, 16:50

Dommage, il n'indique pas si ça fonctionne avec un trousseau iCloud, qui est celui dans lequel sont stockés les mots de passe par défaut…
«Des tas de gens seraient aussi lâche que moi s'ils en avaient le courage.» Rincevent
Avatar de l’utilisateur
Macleone
Mac4Ever's Flood
 
Message(s) : 3847
Inscription : 18/09/02, 0:00
Localisation : Haut-Doubs / Paris

Re :

Message par stipus le 06/02/19, 16:53

J'aimerais bien savoir pourquoi il n'a pas droit à la prime...

Apple a quand même pas mal d'argent liquide, et pourrait se permettre de payer un peu plus les chercheurs en sécurité qui font le boulot à sa place.

Déjà qu'Apple paye bien moins cher les trous de sécurité que les sociétés qui achètent puis revendent ces failles aux différents gouvernements.
Et en plus s'il y a 25 petites étoiles qui permettent à Apple de faire la fine bouche si on n'est pas co-opté ou je ne sais quoi... j'imagine que cela incite une bonne partie de ces chercheurs à revendre leurs découvertes à ces sociétés malsaines, plutôt qu'à les communiquer à Apple pour qu'elles soient comblées.

Vu le niveau de sécurité chez Apple ces derniers temps (Combien de trous béants ont été découverts ces derniers mois, déjà ???? du genre je mets un mot de passe vide... et c'est validé).. je pense qu'il est difficile d'imaginer le nombre de failles non publiques à disposition des différents services secrets....

Apple nous rabat le caquet toute la journée sur la sécurité des données, mais à part des annonces marketing et des grands discours, qu'est ce qui est fait pro activement pour réellement sécuriser leurs OS ???
stipus
Mac4Everien confirmé
 
Message(s) : 466
Inscription : 21/08/16, 19:04

Re :

Message par Rom54 le 06/02/19, 21:39


macleone a écrit :Dommage, il n'indique pas si ça fonctionne avec un trousseau iCloud, qui est celui dans lequel sont stockés les mots de passe par défaut…


Ben lis le partiot act americain ou son adaptation dans la loi de securisation numerique pondue par Valls et Kazeneuve, et tu vas comprendre quelles sont les "vulnerabilités" du trousseau d'acces dans iCloud...

Et si t'es pas oki pour t'enfiler le texte juridique dans ces details, considere juste une chose: toute donnee envoyée sur le cloud doit etre consideree de consultation publique sans restriction!!!

Qu'il y ait une faille dans le trousseau d'acces en local c'est pas une surprise en soi (cf le dernier jugement aux USA concernant l'acces aux policier des donnees sur les "device) mais ce que met en avant le chercheur c'est qu'au-dela de la negligence, de la pietre qualite de la programmation qui a fait rire d'iOS 11 et Mac OS 10.13, des backdoor officieusement obligatoires, etc, Apple neglige d'exploiter les systemes de securisation de base et cela des le parametrage initial de Mac OS (ou iOS)...

L'autre aspect c'est que face aux rapias d'Apple et leurs mauvaise foi face au principe du bug bountie ( qui a fait ses preuves) il appelle, comme de nombreux autres, a rompre la tradition des white hat, c'est a dire d'informer secretement et condidentielement la boite concernée par la faille et ne pas reveller la faille pendant un delai suffisant a sa resolution...

Ca veut dire qu'a cause de la politique irresopnsable, indigne et absurde d'Apple de ne pas soutenir le consensus et tradition des White Hat, Apple va favoriser la cybercriminalité et les Black hat... Merci pour les utilisateurs!
On met autant de temps a faire bien une chose qu'a mal la faire...
Croire c'est renoncer a savoir
L'Homme passe son temps a se croire immortel et lorsqu'il prend conscience de sa mortalité, cherche a devenir immortel. Il n'a forcement plus le temps de vivre sa vie!
Avatar de l’utilisateur
Rom54
Mac4Ever's God
 
Message(s) : 2532
Inscription : 24/09/04, 16:01
Localisation : Paris - Suisse(VD)-Canada(BC)

Re: Un chercheur dévoile une faille de sécurité du trousseau

Message par frpizin le 07/02/19, 6:59

C'est en tous cas une preuve de plus qu'il ne faut pas se précipiter sur la dernière version ( ou le dernier modèle) qui vient de sortir!
frpizin
Docteur ès Mac4Ever
 
Message(s) : 574
Inscription : 21/02/17, 13:09

Re :

Message par m4cformer le 14/04/19, 21:37

white hat, black hat.. tout ça pour dire pirate
A partir du moment ou je m'introduis dans un système sans y avoir été autorisé je suis un pirate. White ou pas
m4cformer
Mac4Everien confirmé
 
Message(s) : 168
Inscription : 24/11/17, 15:31


Retour vers Sécurité - Antivirus pour OS X

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

iMac 27" 5k Indicateur orange Informations 03/2019 2099 € L'iMac 27" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Vous pouvez acheter sans crainte, les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne. Une mise à jour n'est pas à écarter début 2020 !
iMac 21,5" 4k Indicateur orange Informations 03/2019 1499 € L'iMac 21,5" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Vous pouvez acheter sans crainte, les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne. Une mise à jour n'est pas à écarter début 2020 !
Apple TV 4k Indicateur rouge Informations 09/2017 199 € L'Apple TV 4k est une petite évolution de l'Apple TV pour les téléviseurs 4k. Il gère le HDR, le HDMI 2a et tous les codecs récents. Si vous avez une télévision OLED 4k, il s'agit du modèle idéal. Son prix est raisonnable par rapport à la version HD, qui reste au catalogue. Attention, une rumeur évoque un modèle plus puissant pour la fin 2019.
iMac Indicateur rouge Informations 06/2017 1299 € L'iMac 21,5" (non Retina) a été mis à jour le 5 juin 2017 avec Thunderbolt 3 et puces Kaby-Lake. On attendait des modèles Coffee Lake (à 6 coeurs) d'ici le courant du printemps/été 2019 mais Apple n'a pas renouvelé cette version.. qui ne vaut plus vraiment le coup en 2019.
iMac Pro Indicateur rouge Informations 12/2017 5499 € L'iMac Pro est actuellement le Mac le plus puissant du marché, même s'il a déjà 2 bonnes années d'existence. Apple a rajouté une petite option GPU Vega 64X et 256Go de RAM courant mars 2019, mais rien de bien folichon. N'hésitez pas à consulter nos tests et nos vidéos avant de vous décider ! A noter qu'Apple va sortir un Mac Pro fin 2019, donc si vous n'êtes pas trop pressé, il sera + modulaire...
Mac Mini Indicateur orange Informations 10/2018 899 € Le Mac mini a été mis à jour fin 2018 avec un tout nouveau CPU à 4 coeurs. Une mise à jour n'est pas à écarter fin 2019, début 2020 !
Mac Pro Indicateur vert Informations 12/2019 6499 € Le nouveau Mac Pro est enfin là ! Certes, sont prix est élevé, mais la cible est très claire : les ultra-pro. Vous pouvez acheter sans crainte, (presque) tout est modifiable dans le temps et les modules MPX sont proposés à part par Apple.
MacBook Pro 13" Indicateur orange Informations 05/2019 1499 € Le MacBook Pro 13" (haut de gamme) a été mis à jour le 21 mai 2019, mais sans changement majeur : le CPU gagne 100MHz et Apple a installé un énième "nouveau" clavier censé régler le problème de blocage des touches. On espère une "vraie" nouvelle version en 2020. A noter que le modèle sans Touch Bar (entrée de gamme) a été remplacé par une version quad-core avec Touch Bar le 9 juillet 2019, plutôt intéressante malgré le SSD faiblard. Attention, un nouveau modèle sera surement présenté d'ici le printemps, avec le "nouveau" clavier intégré au 16".
MacBook Pro 16" Indicateur vert Informations 11/2019 2699 € Le MacBook Pro 15" est remplacé par un modèle 16" le 13 novembre 2019 avec de nombreuses nouveautés : grosse batterie de 100Wh, clavier totalement revu, touche ESC physique, nouveau GPU MAD (5500M) et du stockage plus généreux. Vous pouvez acheter sans risque, pas de MAJ prévue avant (au moins) le printemps 2020 !
MacBook Air Indicateur orange Informations 07/2019 1349 € Le MacBook Air a fait son grand retour après 4 ans sans mise à jour ! Le 9 juillet 2019, il gagne un écran True Tone (mais c'est tout). Préférez plutôt le Refurb qui le propose à moins de 1000€ ! Attention, un nouveau modèle sera surement présenté début 2020.
Apple TV 2015 Indicateur rouge Informations 10/2015 159 € L'Apple TV 2015 est sortie fin 2015 et Apple le garde au catalogue malgré l'arrivée de la version 4k. Avec en prime, une petite baisse de prix ! Si vous n'avez pas de TV 4k, cela reste une bonne affaire.
À découvrir sur Mac4Ever
b 1  b 2 
app
A propos | Mentions légales | Contacts | Emploi | RSS | Apps