Mac4Ever Refurb Store Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Mac4Ever.com - Toute l\'actualité Apple, iPhone, iPad, iPod et Mac - Mise à jour quotidienne
Actu Dossiers Forum Photos/Podcasts Petites Annonces
Icône recherche
Annuler la recherche
3923 connectés

Un chercheur dévoile une faille de sécurité du trousseau de Mojave

Un soucis de sécurité sur Mac OS X ?

Modérateurs : Odibi, Bicus, FXF, Nix, beheme, Dragonir, Linschn, Oh my dog

Message par June le 06/02/19, 16:06

Un chercheur en sécurité partage une vidéo démontrant une faille, permettant l'accès aux mots de passe contenus par le trousseau de la dernière version de macOS Mojave (10.14.3).

Linus Henze jouit d'une certaine crédibilité car il a déjà pointé du doigt des failles (particulièrement sur iOS) qui ont ensuite été comblées par Cupertino. Contrarié de ne pouvoir prétendre à la prime du programme « Bug Bounty » sur macOS, l'homme a décidé, cette fois, de ne pas divulguer les informations nécessaires à l'élaboration d'un correctif.




Apparemment, la faille découverte permettrait de passer outre les garde-fous d'Apple (SIP pour System Integrity Protection) et ne nécessiterait pas les privilèges administrateur de la machine pour opérer. Toutefois, l'astuce ne fonctionnerait pas si l'utilisateur a pris soin de bloquer l'accès à son trousseau via un mot de passe supplémentaire, non défini dans la configuration d'origine, et brisant l'ergonomie de macOS en demandant fréquemment de renseigner le sésame.

Linus Henze invite ses confrères à dévoiler partiellement et publiquement leurs découvertes, afin de faire pression sur Apple, et obtenir le droit à la prime « Bug Bounty ».

Source
June
Mac4Ever's God
 
Message(s) : 2881
Inscription : 14/05/12, 21:21

Re :

Message par Macleone le 06/02/19, 16:50

Dommage, il n'indique pas si ça fonctionne avec un trousseau iCloud, qui est celui dans lequel sont stockés les mots de passe par défaut…
«Des tas de gens seraient aussi lâche que moi s'ils en avaient le courage.» Rincevent
Avatar de l’utilisateur
Macleone
Mac4Ever's Flood
 
Message(s) : 3789
Inscription : 18/09/02, 0:00
Localisation : Haut-Doubs / Paris

Re :

Message par stipus le 06/02/19, 16:53

J'aimerais bien savoir pourquoi il n'a pas droit à la prime...

Apple a quand même pas mal d'argent liquide, et pourrait se permettre de payer un peu plus les chercheurs en sécurité qui font le boulot à sa place.

Déjà qu'Apple paye bien moins cher les trous de sécurité que les sociétés qui achètent puis revendent ces failles aux différents gouvernements.
Et en plus s'il y a 25 petites étoiles qui permettent à Apple de faire la fine bouche si on n'est pas co-opté ou je ne sais quoi... j'imagine que cela incite une bonne partie de ces chercheurs à revendre leurs découvertes à ces sociétés malsaines, plutôt qu'à les communiquer à Apple pour qu'elles soient comblées.

Vu le niveau de sécurité chez Apple ces derniers temps (Combien de trous béants ont été découverts ces derniers mois, déjà ???? du genre je mets un mot de passe vide... et c'est validé).. je pense qu'il est difficile d'imaginer le nombre de failles non publiques à disposition des différents services secrets....

Apple nous rabat le caquet toute la journée sur la sécurité des données, mais à part des annonces marketing et des grands discours, qu'est ce qui est fait pro activement pour réellement sécuriser leurs OS ???
stipus
Mac4Everien confirmé
 
Message(s) : 351
Inscription : 21/08/16, 19:04

Re :

Message par Rom54 le 06/02/19, 21:39


macleone a écrit :Dommage, il n'indique pas si ça fonctionne avec un trousseau iCloud, qui est celui dans lequel sont stockés les mots de passe par défaut…


Ben lis le partiot act americain ou son adaptation dans la loi de securisation numerique pondue par Valls et Kazeneuve, et tu vas comprendre quelles sont les "vulnerabilités" du trousseau d'acces dans iCloud...

Et si t'es pas oki pour t'enfiler le texte juridique dans ces details, considere juste une chose: toute donnee envoyée sur le cloud doit etre consideree de consultation publique sans restriction!!!

Qu'il y ait une faille dans le trousseau d'acces en local c'est pas une surprise en soi (cf le dernier jugement aux USA concernant l'acces aux policier des donnees sur les "device) mais ce que met en avant le chercheur c'est qu'au-dela de la negligence, de la pietre qualite de la programmation qui a fait rire d'iOS 11 et Mac OS 10.13, des backdoor officieusement obligatoires, etc, Apple neglige d'exploiter les systemes de securisation de base et cela des le parametrage initial de Mac OS (ou iOS)...

L'autre aspect c'est que face aux rapias d'Apple et leurs mauvaise foi face au principe du bug bountie ( qui a fait ses preuves) il appelle, comme de nombreux autres, a rompre la tradition des white hat, c'est a dire d'informer secretement et condidentielement la boite concernée par la faille et ne pas reveller la faille pendant un delai suffisant a sa resolution...

Ca veut dire qu'a cause de la politique irresopnsable, indigne et absurde d'Apple de ne pas soutenir le consensus et tradition des White Hat, Apple va favoriser la cybercriminalité et les Black hat... Merci pour les utilisateurs!
On met autant de temps a faire bien une chose qu'a mal la faire...
Croire c'est renoncer a savoir
L'Homme passe son temps a se croire immortel et lorsqu'il prend conscience de sa mortalité, cherche a devenir immortel. Il n'a forcement plus le temps de vivre sa vie!
Avatar de l’utilisateur
Rom54
Mac4Ever's God
 
Message(s) : 2532
Inscription : 24/09/04, 16:01
Localisation : Paris - Suisse(VD)-Canada(BC)

Re: Un chercheur dévoile une faille de sécurité du trousseau

Message par frpizin le 07/02/19, 6:59

C'est en tous cas une preuve de plus qu'il ne faut pas se précipiter sur la dernière version ( ou le dernier modèle) qui vient de sortir!
frpizin
Docteur ès Mac4Ever
 
Message(s) : 509
Inscription : 21/02/17, 13:09

Re :

Message par m4cformer le 14/04/19, 21:37

white hat, black hat.. tout ça pour dire pirate
A partir du moment ou je m'introduis dans un système sans y avoir été autorisé je suis un pirate. White ou pas
m4cformer
VIP
VIP
 
Message(s) : 125
Inscription : 24/11/17, 15:31


Retour vers Sécurité - Antivirus pour OS X

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

iMac 27" 5k Indicateur vert Informations 03/2019 2099 € L'iMac 27" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Vous pouvez acheter sans crainte, les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne.
iMac 21,5" 4k Indicateur vert Informations 03/2019 1499 € L'iMac 21,5" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Vous pouvez acheter sans crainte, les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne.
Apple TV 4k Indicateur vert Informations 09/2017 199 € L'Apple TV 4k est une petite évolution de l'Apple TV pour les téléviseurs 4k. Il gère le HDR, le HDMI 2a et tous les codecs récents. Si vous avez une télévision OLED 4k, il s'agit du modèle idéal. Son prix est raisonnable par rapport à la version HD, qui reste au catalogue.
iMac Indicateur rouge Informations 06/2017 1299 € L'iMac 21,5" (non Retina) a été mis à jour le 5 juin 2017 avec Thunderbolt 3 et puces Kaby-Lake. On attendait des modèles Coffee Lake (à 6 coeurs) d'ici le courant du printemps/été 2019 mais Apple n'a pas renouvelé cette version.. qui ne vaut plus vraiment le coup en 2019.
iMac Pro Indicateur orange Informations 12/2017 5499 € L'iMac Pro est actuellement le Mac le plus puissant du marché, même s'il a déjà une bonne année d'existence. Apple a rajouté une petite option GPU Vega 64X et 256Go de RAM courant mars 2019, mais rien de bien folichon. N'hésitez pas à consulter nos tests et nos vidéos avant de vous décider ! A noter qu'Apple va sortir un Mac Pro courant/fin 2019, donc si vous n'êtes pas trop pressé, il sera + modulaire...
Mac Mini Indicateur vert Informations 10/2018 899 € Le Mac mini a été mis à jour fin 2018 avec un tout nouveau CPU à 4 coeurs. Pas de mise à jour prévue avant un moment, vous pouvez acheter sans crainte !
Mac Pro Indicateur rouge Informations 10/2013 3339 € Apple a annoncé un nouveau Mac Pro courant 2018 (voire 2019), plus modulaire et moins fermé que la version actuelle. Dans tous les cas, surtout n'achetez pas les modèles "tube" datant de 2013 et désormais assez dépassés.
MacBook Pro 13" Indicateur vert Informations 05/2019 1499 € Surprise ! Le MacBook Pro 13" a été mis à jour le 21 mai 2019, mais sans changement majeur : le CPU gagne 100MHz et Apple a installé un énième "nouveau" clavier censé régler le problème de blocage des touches. On espère une "vraie" nouvelle version en 2020, il ne devrait (normalement) pas y avoir de nouveau modèle 13" cette année.
MacBook Pro 15" Indicateur vert Informations 05/2019 2799 € Surprise ! Le MacBook Pro 15" a été mis à jour le 21 mai 2019, avec une nouveauté de taille (la seule) : le CPU passe à 8 coeurs sur le haut de gamme et Apple a installé un énième "nouveau" clavier censé régler le problème de blocage des touches. On espère une "vraie" nouvelle version en 2020, il ne devrait (normalement) pas y avoir de nouveau modèle 15" cette année.
MacBook Air Indicateur vert Informations 10/2018 1349 € Le MacBook Air a fait son grand retour après 4 ans sans mise à jour ! Vous pouvez acheter sans crainte (mais lisez bien notre test !)
MacBook Indicateur rouge Informations 06/2017 1499 € Le MacBook a été mis à jour le 5 juin 2017, avec peu de nouveautés, en dehors du passage à Kaby-Lake. Difficile de savoir si Apple gardera cette machine au catalogue depuis la sortie du nouveau MacBook Air...
Apple TV 2015 Indicateur vert Informations 10/2015 159 € L'Apple TV 2015 est sortie fin 2015 et Apple le garde au catalogue malgré l'arrivée de la version 4k. Avec en prime, une petite baisse de prix ! Si vous n'avez pas de TV 4k, cela reste une bonne affaire.
À découvrir sur Mac4Ever
b 1  b 2 
app
  • Nouveautés

  • Gratuites

  • Payantes

A propos | Mentions légales | Contacts | Emploi | RSS | Apps