Mac4Ever Refurb Store Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Mac4Ever.com - Toute l\'actualité Apple, iPhone, iPad, iPod et Mac - Mise à jour quotidienne
Actu Dossiers Forum Photos/Podcasts Petites Annonces
Icône recherche
Annuler la recherche
3818 connectés

Un chercheur dévoile une faille de sécurité du trousseau de Mojave

Un soucis de sécurité sur Mac OS X ?

Modérateurs : Odibi, Bicus, FXF, Nix, beheme, Dragonir, Linschn, Oh my dog

Message par June le 06/02/19, 16:06

Un chercheur en sécurité partage une vidéo démontrant une faille, permettant l'accès aux mots de passe contenus par le trousseau de la dernière version de macOS Mojave (10.14.3).

Linus Henze jouit d'une certaine crédibilité car il a déjà pointé du doigt des failles (particulièrement sur iOS) qui ont ensuite été comblées par Cupertino. Contrarié de ne pouvoir prétendre à la prime du programme « Bug Bounty » sur macOS, l'homme a décidé, cette fois, de ne pas divulguer les informations nécessaires à l'élaboration d'un correctif.




Apparemment, la faille découverte permettrait de passer outre les garde-fous d'Apple (SIP pour System Integrity Protection) et ne nécessiterait pas les privilèges administrateur de la machine pour opérer. Toutefois, l'astuce ne fonctionnerait pas si l'utilisateur a pris soin de bloquer l'accès à son trousseau via un mot de passe supplémentaire, non défini dans la configuration d'origine, et brisant l'ergonomie de macOS en demandant fréquemment de renseigner le sésame.

Linus Henze invite ses confrères à dévoiler partiellement et publiquement leurs découvertes, afin de faire pression sur Apple, et obtenir le droit à la prime « Bug Bounty ».

Source
June
Mac4Ever's God
 
Message(s) : 2040
Inscription : 14/05/12, 21:21

Re :

Message par Macleone le 06/02/19, 16:50

Dommage, il n'indique pas si ça fonctionne avec un trousseau iCloud, qui est celui dans lequel sont stockés les mots de passe par défaut…
«Des tas de gens seraient aussi lâche que moi s'ils en avaient le courage.» Rincevent
Avatar de l’utilisateur
Macleone
Mac4Ever's Flood
 
Message(s) : 3750
Inscription : 18/09/02, 0:00
Localisation : Haut-Doubs / Paris

Re :

Message par stipus le 06/02/19, 16:53

J'aimerais bien savoir pourquoi il n'a pas droit à la prime...

Apple a quand même pas mal d'argent liquide, et pourrait se permettre de payer un peu plus les chercheurs en sécurité qui font le boulot à sa place.

Déjà qu'Apple paye bien moins cher les trous de sécurité que les sociétés qui achètent puis revendent ces failles aux différents gouvernements.
Et en plus s'il y a 25 petites étoiles qui permettent à Apple de faire la fine bouche si on n'est pas co-opté ou je ne sais quoi... j'imagine que cela incite une bonne partie de ces chercheurs à revendre leurs découvertes à ces sociétés malsaines, plutôt qu'à les communiquer à Apple pour qu'elles soient comblées.

Vu le niveau de sécurité chez Apple ces derniers temps (Combien de trous béants ont été découverts ces derniers mois, déjà ???? du genre je mets un mot de passe vide... et c'est validé).. je pense qu'il est difficile d'imaginer le nombre de failles non publiques à disposition des différents services secrets....

Apple nous rabat le caquet toute la journée sur la sécurité des données, mais à part des annonces marketing et des grands discours, qu'est ce qui est fait pro activement pour réellement sécuriser leurs OS ???
stipus
Mac4Everien confirmé
 
Message(s) : 301
Inscription : 21/08/16, 19:04

Re :

Message par Rom54 le 06/02/19, 21:39


macleone a écrit :Dommage, il n'indique pas si ça fonctionne avec un trousseau iCloud, qui est celui dans lequel sont stockés les mots de passe par défaut…


Ben lis le partiot act americain ou son adaptation dans la loi de securisation numerique pondue par Valls et Kazeneuve, et tu vas comprendre quelles sont les "vulnerabilités" du trousseau d'acces dans iCloud...

Et si t'es pas oki pour t'enfiler le texte juridique dans ces details, considere juste une chose: toute donnee envoyée sur le cloud doit etre consideree de consultation publique sans restriction!!!

Qu'il y ait une faille dans le trousseau d'acces en local c'est pas une surprise en soi (cf le dernier jugement aux USA concernant l'acces aux policier des donnees sur les "device) mais ce que met en avant le chercheur c'est qu'au-dela de la negligence, de la pietre qualite de la programmation qui a fait rire d'iOS 11 et Mac OS 10.13, des backdoor officieusement obligatoires, etc, Apple neglige d'exploiter les systemes de securisation de base et cela des le parametrage initial de Mac OS (ou iOS)...

L'autre aspect c'est que face aux rapias d'Apple et leurs mauvaise foi face au principe du bug bountie ( qui a fait ses preuves) il appelle, comme de nombreux autres, a rompre la tradition des white hat, c'est a dire d'informer secretement et condidentielement la boite concernée par la faille et ne pas reveller la faille pendant un delai suffisant a sa resolution...

Ca veut dire qu'a cause de la politique irresopnsable, indigne et absurde d'Apple de ne pas soutenir le consensus et tradition des White Hat, Apple va favoriser la cybercriminalité et les Black hat... Merci pour les utilisateurs!
On met autant de temps a faire bien une chose qu'a mal la faire...
Croire c'est renoncer a savoir
L'Homme passe son temps a se croire immortel et lorsqu'il prend conscience de sa mortalité, cherche a devenir immortel. Il n'a forcement plus le temps de vivre sa vie!
Avatar de l’utilisateur
Rom54
Mac4Ever's Killer
 
Message(s) : 1876
Inscription : 24/09/04, 16:01
Localisation : Paris - Suisse(VD)-Canada(BC)

Re: Un chercheur dévoile une faille de sécurité du trousseau

Message par frpizin le 07/02/19, 6:59

C'est en tous cas une preuve de plus qu'il ne faut pas se précipiter sur la dernière version ( ou le dernier modèle) qui vient de sortir!
frpizin
Mac4Everien confirmé
 
Message(s) : 461
Inscription : 21/02/17, 13:09


Retour vers Sécurité - Antivirus pour OS X

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

iMac 27" 5k Indicateur rouge Informations 06/2017 2099 € L'iMac 27" (Retina) a été mis à jour le 5 juin 2017 avec Thunderbolt 3, GPU dédié et puces Kaby-Lake. On attend des modèles Coffee Lake (à 6 coeurs) d'ici le courant du printemps/été 2018.
iMac 21,5" 4k Indicateur rouge Informations 06/2017 1499 € L'iMac 21,5" (Retina) a été mis à jour le 5 juin 2017 avec Thunderbolt 3, GPU dédié et puces Kaby-Lake. On attend des modèles Coffee Lake (à 6 coeurs) d'ici le courant du printemps/été 2018.
Apple TV 4k Indicateur vert Informations 09/2017 199 € L'Apple TV 4k est une petite évolution de l'Apple TV pour les téléviseurs 4k. Il gère le HDR, le HDMI 2a et tous les codecs récents. Si vous avez une télévision OLED 4k, il s'agit du modèle idéal. Son prix est raisonnable par rapport à la version HD, qui reste au catalogue.
iMac Indicateur rouge Informations 06/2017 1299 € L'iMac 21,5" (non Retina) a été mis à jour le 5 juin 2017 avec Thunderbolt 3 et puces Kaby-Lake. On attend des modèles Coffee Lake (à 6 coeurs) d'ici le courant du printemps/été 2018.
iMac Pro Indicateur orange Informations 12/2017 5499 € L'iMac Pro est actuellement le Mac le plus puissant du marché, même s'il a déjà une bonne année d'existence. Il ne sera sans doute pas renouvelé avant mi-2019, au mieux. N'hésitez pas à consulter nos tests et nos vidéo avant de vous décider ! A noter qu'Apple va sortir un Mac Pro courant/fin 2019, donc si vous n'êtes pas trop pressé, il sera + modulaire...
Mac Mini Indicateur vert Informations 10/2018 899 € Le Mac mini a été mis à jour fin 2018 avec un tout nouveau CPU à 4 coeurs. Pas de mise à jour prévue avant un moment, vous pouvez acheter sans crainte !
Mac Pro Indicateur rouge Informations 10/2013 3339 € Apple a annoncé un nouveau Mac Pro courant 2018 (voire 2019), plus modulaire et moins fermé que la version actuelle. Dans tous les cas, surtout n'achetez pas les modèles "tube" datant de 2013 et désormais assez dépassés.
MacBook Pro 13" Indicateur vert Informations 07/2018 1499 € Le MacBook Pro 13" a été mis à jour le 12 juillet 2018 avec une nouveauté de taille : on passe de 2 à 4 coeurs, soit un doublement de la puissance CPU ! La partie GPU gagne 15% et le SSD peut grimper à 2To. Si les prix restent inchangés, les options sont toujours facturées très chères... Ces machines ne seront pas renouveler avant mi-2019. N'oubliez pas de regarder du côté du Refurb si votre budget est trop serré !
MacBook Pro 15" Indicateur vert Informations 07/2018 2799 € Le MacBook Pro 15" a été mis à jour le 12 juillet 2018 avec une nouveauté de taille : on passe de 4 à 6 coeurs, soit un bon de performances jamais vu d'une génération à l'autre ! La partie GPU n'évolue pas vraiment mais le SSD peut grimper à 4To. Si les prix restent inchangés, les options sont toujours facturées très chères, presque 8000€ pour le modèle ultime ! Ces machines ne seront pas renouvelées avant mi-2019. N'oubliez pas de regarder du côté du Refurb si votre budget est trop serré !
MacBook Air Indicateur vert Informations 10/2018 1349 € Le MacBook Air a fait son grand retour après 4 ans sans mise à jour ! Vous pouvez acheter sans crainte (mais lisez bien notre test !)
MacBook Indicateur rouge Informations 06/2017 1499 € Le MacBook a été mis à jour le 5 juin 2017, avec peu de nouveautés, en dehors du passage à Kaby-Lake. Difficile de savoir si Apple gardera cette machine au catalogue depuis la sortie du nouveau MacBook Air...
Apple TV 2015 Indicateur vert Informations 10/2015 159 € L'Apple TV 2015 est sortie fin 2015 et Apple le garde au catalogue malgré l'arrivée de la version 4k. Avec en prime, une petite baisse de prix ! Si vous n'avez pas de TV 4k, cela reste une bonne affaire.
À découvrir sur Mac4Ever
b 1  b 2 
app
  • Nouveautés

  • Gratuites

  • Payantes

A propos | Mentions légales | Contacts | Emploi | RSS | Apps