Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures

Stéphane Moussie |

OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).

Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.

À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »

Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.

avatar Philactere | 

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieurs »
Respect du client, suivi technique et sécuritaire des produits, tels sont les principes d'Apple. Quel professionnalisme.

avatar marc_os | 

@ Philactere : C'est quoi ton métier ?

avatar Philactere | 

@marc_os :
Pourquoi cette question ?

avatar C1rc3@0rc | 

@Philactere

+1

Soit la faille est difficilement exploitable et necessite un acces physique et la on peut se permettre de ne corriger que les nouvelles versions du soft.

Soit la faille presente un vrai danger, et la il faut corriger les versions utilisées meme si elle le sont peu.
Si la faille en question presente une gravite meme moderee, le fait qu'Apple ne la corrige pas sur les systemes au moins justqu'a 10.6 (ceux concernés) il 'sagit d'un vrai mepris du client et de l'irresponsabilite de la societe. Inadmissible.

Le fait est que si la faille demande des changement profond dans l'OS cela implique une chose: c'est une faille liee a la conception du soft et pas simplement une erreur de programmation. C'est tres grave.

Rajoutons en plus que OS X 10.3.0 ne peut toujours pas etre consideré comme une version stable. En fait c'est toujours une version beta dans les faits qui contient toujours beaucoup trop de bug et qui reste trop lente.
On ne peut recommander a personne en situation de production de passer a 10.3. Et a la vitesse ou ca va on aura quelque chose qui commencera a etre utilisable avec la 10.6...

avatar Domsware | 

@C1rc3@0rc :
« Rajoutons en plus que OS X 10.3.0 ne peut toujours pas etre consideré comme une version stable. En fait c'est toujours une version beta dans les faits qui contient toujours beaucoup trop de bug et qui reste trop lente. On ne peut recommander a personne en situation de production de passer a 10.3 »

Cela n'est que ton avis et/ou ton expérience. Chez moi cela fonctionne bien hormis 1 bug minims et ce depuis le tout début : iTunes qui des fois refuse de se fermer. Et encore avec la dernière version ce bug a disparu.
Pas de lenteur constatée non plus. Le seul bémol concerne des blocages avec certains sites sous Safari, un Safari augmenté de quelques plugins. Tellement rares que je n'ai pas poussé plus loin les investigations et passe alors sous Firefox ou bien l'iPad.

Avec en plus une machine à usage professionnel et en production.

avatar Aurélien-A | 

Je doute que Mac OS X 10.3.0 (Panther) tourne sur les machines actuelles :)

avatar comass | 

ça va y'a pas de quoi casser 3 pâtes à un canard

avatar jipeca | 

T'es ravi au lit ?

avatar bnonyme | 

"Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple."
Oh ba cela va alors, personne n'accède physiquement à ma machine, mon disque est chiffré avec un mot de passe différent et je ne clique jamais sur les liens d'un mail ni ne télécharge n'importe quoi. La probabilité pour que je sois infecté est donc minime.
Mais c'est bien joué pour inciter les gens à migrer vers Yosemite et gonfler le torse après en se vantant de l'adoption "massive" de Yosemite :-)

avatar pepeye66 | 

De plus en plus remonté contre Apple et ses méthodes... Voyons quand je vais dire STOP !

avatar majipoor | 

On en voit plein de types comme toi qui menacent de dire STOP depuis des années pour des raisons diverses et variées (ou alors simplement histoire de râler). Et ils sont toujours là à menacer, années après années. Faut croire que "Apple et ses méthodes" n'est pas un argument très convaincant.

avatar Nicolas-33 | 

Mauvaise nouvelle et belle tentative !

Mais je refuse toujours de passer sur OS 10.10, quitte à avoir le dock "flat" je préférerai retourner sur Tiger. :)

avatar Joëh | 

Si seulement la 10.10.3 ne provoquait pas un Kernel Panic, je l'installerais, mais ce n'est pas le cas ;-)

avatar Moonwalker | 

"10.10.2 et précédents" ???

10.10.3 est la mise à jour de sécurité des versions antérieures de Yosemite (10.10.0, 10.10.1 et 10.10.2) qui n'ont plus lieu d'être.

"Mavericks et Mountain Lion", ça suffisait pour une bonne compréhension de la situation. Ou comme l'indique le développeur :
"OS X 10.9.x and older remain vulnerable, since Apple decided not to patch these versions."

avatar Average Joe | 

En fait, si : il y a eu une mise à jour de sécurité pour Mavericks cette semaine (mise en place sur mon Mac Mini hier et sur l'iMac aujourd'hui).

avatar Moonwalker | 

Oui, mais elle ne corrige pas cette faille.

avatar Ginger bread | 

Et on se permet critiquer Microsoft lol
Apple continue de deployer des updates safari et laisse volontairement des failles derriere elles.

Quelle bavure

avatar nonoFB | 

Juste ! Voila 2 ans environs que je suis passé du monde windows à OS ce que je ne regrette absolument pas, mais pour "défendre" windows, eux les bugs de sécurités ils corrigaient assez rapidement même sur XP après presque 10 ans de vie. Alors je suis très surpris d'apprendre que même pas après 2 ans de OS (Mavericks dans mon cas) Apple n'ont pas l'intention de corriger ce bug assez grave d'après la presse. Ce qui à mon avis OS 10.9.5 est encore très répandu. Alors le sérieux de mac doit-il être remis en question ?? Je pose la question ?

avatar Average Joe | 

Voir mon commentaire au dessus.

avatar jipeca | 

Tu commences a comprendre...

avatar poco | 

On ne peut plus dire dorénavant qu'OS X est l'OS le plus sécurisé. Apple laisse derrière lui tout ceux qui ont une machine de plus de 2 ans et qui refusent d'installer la dernière des dernières versions de son OS (machine trop ralentie grace à l'obsolesance programmée ou utilisateur transformé en Béta-testeur d'Apple avec ses bugs non corrigés).

avatar pickwick | 

les énervés du bulbe sont toujours là..... restez zen ! et si la machine est ralentie, passez au SSD ou bien d'abord passez un coup d'AdwareMedic, les malwares font beaucoup plus de dégâts que les quelques bugs de Yosemite..

avatar patrick86 | 

Dans la mesure où tous les Mac supportés par Mavericks le sont aussi par Yosemite, Apple considère que mettre à jour ce dernier est suffisant. C'est pas plus compliqué.

avatar mimot13 | 

Le problème est que tout le monde ne tournait pas encore sous 10.9..!! Et ce pour diverses raisons, tout à fait respectables ou simplement incontournables. Donc la question ici reste ouverte.

avatar jipeca | 

En résumé, c'est comme si Airbus sortait un systeme de gestion de pilotage à l'ergonomie différente.
Et alors que tous les utilisateurs ne s'y convertissent pas, parce que simplement pas convaincus par ma nouvelle "ergonomie", Airbus décide de ne corriger une faille que sur le nouvel opus, partant du principe que tous les avions supportés par l'ancien systeme de gestion le sont par le nouveau....

C'est pas plus compliqué quoi !

avatar dragao13 | 

N'empêche que je comprends un peu ceux qui râlent ...

Un OS a un support sécurité ... si on se sent parfaitement bien sur mavericks par exemple qui était sur la machine lors de l'achat, pourquoi être forcé de passer à Yosemite ? (ok ... quand la fin du support est annoncée, il faut bien évoluer mais tant qu'il est là, rien ne devrait y obliger)

Ne pas combler volontairement une faille connue est scandaleux !

Considérant qu'une version d'OS est vraiment stable et optimisée à x.x.5, en somme on a l'OS vraiment fini un ou deux mois puisqu'à peu de choses près, le nouvel OS d'Apple sort et qu'on serait forcé de passer dessus pour profiter de tous les correctifs ?

On passerait la majeure partie du temps sur un OS instable ???

C'est ridicule !

avatar patrick86 | 

"et qu'on serait forcé de passer dessus pour profiter de tous les correctifs ?"

Vous n'êtes forcé à rien. Vous faites vos choix.

--

"On passerait la majeure partie du temps sur un OS instable ???"

C'est vous qui choisissez d'en faire cette expérience.

avatar jipeca | 

Tu n'as jamais pensé à faire de la politique ?
En tout cas tes tentatives sont pires encore que ce qu'a fait Flamby jusqu'à présent.
Un tel record de mauvaise foi et de n'importe quoi au centimètre carré, ça devrait se célébrer quelque part ! Ebaubi !

avatar patrick86 | 

"Tu n'as jamais pensé à faire de la politique ?"

Oui, mais je ne suis pas assez corruptible pour pouvoir occuper des mandats plus importants que délégué de classe. Donc j'ai abandonné.

"Un tel record de mauvaise foi et de n'importe quoi au centimètre carré, ça devrait se célébrer quelque part !"

Mais je vous en prie : organisez une fête à mon honneur !

---

Vous avez des bugs parce que vous AIMEZ ça. Vous aimez vous plaindre de vos bugs, dégueuler votre aigreur du jour sur votre logiciel buggé et ses concepteurs.

Personnelement, j'aime me réjouir de ce qui fonctionne bien et, curieusement, mon informatique fonctionne globalement bien. J'ai bien 2 ou 3 bugs de temps à autre, mais rien de bien dramatique généralement. Je n'en suis toujours pas mort en tous cas.

avatar jipeca | 

ben oui quoi, exactement comme le pilote de l'airbus ! C'est lui qui choisi ....

T'es vraiment talentueux pour faire croire que t'es vraiment con ! On y croirait !

avatar Firnennh | 

Perso j'ai acheté un MacBook pro il y a deux mois, et tout me plaît à son pour cent dessus.

avatar Madalvée | 

C'est vrai que Yosemite est tellement cher que Apple nous vole avec ces méthodes.

avatar huexley | 

C'est surtout sympa pour les entreprises qui n'ont pas le choix de rester sur des anciens système. Encore plus sympa de fournir ca en fin de semaine, ideal pour un déploiement rapide sur le parc. Et je ne parle pas des entreprises qui vont se retrouver devant un vrai defi de sécurité avec la politique de BYOD...

Maintenant le message vers les entreprises est ont ne peux plus clair : on s'en carre total.

avatar lmouillart | 

"Maintenant le message vers les entreprises est ont ne peux plus clair : on s'en carre total."
Apple c'est :
- Une chaîne de distribution
- Un concepteur de montres
- Un concepteur de téléphones et d’ardoises
- Accessoirement un assembleur de compatibles PC avec un OS maison

C'est effectivement bien loin du monde de l'entreprise et de leurs préoccupations.

avatar patrick86 | 

"Apple c'est :
- Une chaîne de distribution
- Un concepteur de montres
- Un concepteur de téléphones et d’ardoises
- Accessoirement un assembleur de compatibles PC avec un OS maison"

Haha… Ce MAGNIFIQUE troll :D

avatar rikki finefleur | 

Un troll ? Non

Il a oublié de dire aussi, une société qui utilise massivement les paradis fiscaux et autres filouteries..
Utiliser les services d'un état sans payer son du, est juste scandaleux mais démontre bien l'image de cette boite..

Voilà ce qu'est Apple. On attend les résultats d'apple france, certainement en déficit..comme chaque année ;p
Pour une boite qui a le record de CA au m2 en france, cela fait mauvais genre..et est assez curieux.. C'est clair vaut mieux taper sur nos TPE et PME , et les particuliers , plutôt qu'interdire ce genre de boite d'opérer sur notre sol....

Mais c'est la folie , c'est l'iwatch, la pub est trop belle, le truc est trop smart, le buzz est fou, ..ne laissons pas notre cerveau agir.. et allons décaisser notre argent au sandwich luxembourgeois-irlandais que vont compter avidement nos amis comptables d'Apple..

Baille :p
Le monde est fou , tellement stupide ...

avatar patrick86 | 

@rikki finefleur :

Envoyez vos doléances à Tim Cook (tcook@apple.com).
Je ne peux rien pour vous.

avatar jipeca | 

Pour Apple non plus, même si manifestement tu fais plus que ton possible...

avatar patrick86 | 

"Pour Apple non plus, même si manifestement tu fais plus que ton possible..."

Je n'ai rien à faire pour Apple… ni contre Apple.

Apple pourrait DISPARAITRE, engloutie dans un trou noir, ça ne m'empêcherait pas de dormir.

Par contre, il est vrai que je m'amuse des prédictions du déclin d'Apple, parce qu'elles sont rabâchées depuis presque 40 ans… sans que ça ne pointe le bout de son nez. :)

avatar comass | 

@patrick86 :
toute vague comporte un sommet et un creux...

Combien de grandes sociétés hier n'existent plus aujourd'hui?

Combien de grands hommes sont tombés pris la main dans le sac de diverses magouilles?

Et pour les 40 ans de prédictions tu as des exemples précis? parce que jobs à cartonner pendant les 10 première années d'Apple.

et c'est plus 35 que 40. donc si on calcule bien tes 40 années en font dans la réalité à peine plus de 20.

tu grossirais pas à l'extrême tes idées par hasard ?

avatar Domsware | 

@rikki finefleur :
Hors sujet.
Apple utilise la loi comme n'importe qui peut le faire pour diminuer ou échapper aux impôts. C'est les lois qu'il convient de changer dans ce cas.

avatar mimot13 | 

On comprend mieux aussi pourquoi MS et Linux sont davantage implantés dans les entreprises, indépendamment du prix des machines. Mais en fait on le savait déjà.. c'est juste une confirmation ici.

avatar hogs | 

Yosemite est gratos mais ce n'est pas le cas des logiciels qui font payer leur mise à jour de compatibilité ...

Aucune envie de repasser à la caisse parce qu'Apple ne veut pas assumer un support logiciel digne de ce nom ! (je ne parles pas de Tiger , juste Maverick ...)

avatar ovea | 

Beaucoup d'amalgame dans le commentaire me semble-t-il …

Humm … "rootpipe" si ça parle UNIX*, ça voudrait dire qu'on puisse détourner un pipe initié par un process root !?!?

*Constante : Toujours vu des unixien choper n'importe quel mot de passe …

avatar mimot13 | 

@Philactere @Imouillart @huexley

complètement d'accord !
L'attitude d'Apple frise l'amateurisme et le foutage de gueule : à l'heure où on voit un peu partout des entreprises ou organisations se faire attaquer, de diverses manières, et les "surdoués" des arnaques en tous genres arriver trop souvent à leur fin, on ne peut que se demander pourquoi Apple avec son OS maison ne fait pas grand chose pour ne pas dire rien, afin de combler cette faille sur toutes ses versions depuis la 10.6..? Oui c'est un gros boulot, on n'en doute pas mais apparemment Apple a quand même réussi à résoudre le problème assez rapidement pour la sortie de la 10.10.3 et ce n'est donc qu'une question de volonté et de professionnalisme. Pour le professionnalisme, Apple n'en a plus en ce qui concerne son OS et ce depuis un moment déjà. La société ne regarde que son indice en Bourse, donc tout va bien Me la Comtesse..!

Et même si les chances de pouvoir exploiter cette faille sont assez limitées dans la réalité, simplement parce que le quidam de la rue qui possède un MAC ne sera sûrement pas visé, la musique n'est pas la même pour une entreprise. Ceux qui travaillent en entreprise et qui sont un peu au parfum savent ce que je veux dire ! MS n'a pas de soucis à se faire et il serait surtout temps que les inconditionnels du monde Apple se réveillent et ouvrent les yeux ? Ce réveil leur sera sûrement salutaire.

On ne peut pas admettre qu'Apple ne fasse rien pour ses clients qui tournent encore (et qui souvent ont des machines qui ne supportent pas la 10.9 ou la 10.10 : limitations hard, machines trop vieilles et tutti quanti..) avec la 10.6, 10.7 ou 10.8 ? Les entreprises ne renouvellent pas leur parc de machines tous les 18 mois !

Allez, Apple a d'autres chats à fouetter, "la montre d'Apple attend les commandes et ne nous enquiquinez pas avec vos problèmes de sécurité quoi.."

avatar patrick86 | 

@mimot13 :

Rien à voir avec un manque de "professionnalisme". Ce n'est que du je-m'en-foutisme.
Apple est relativement fainéante sur certaines choses, ça n'est pas nouveau.

avatar Philactere | 

@patrick86 :
Le "je m'en foutisme" envers ses clients de la part d'une société commerciale s'apparente de très près à un manque de professionnalisme.

avatar Moonwalker | 

J'ai du mal quand même avec cette histoire.

D'un côté les pleureuses chroniques me fatiguent, d'un autre je n'aime pas qu'Apple laisse une faille documentée ouverte et n'entreprend rien pour la combler sur deux OS X officiellement encore supportés.

Ok. Il suffit de ne pas laisser sa machine dans d'autres mains (accès physique = fin de la sécurité) et de ne pas installer des troyans en téléchargeant n'importe quoi de n'importe où.

Il n'empêche, ça fait tache.

Dans quelques mois, OS X 10.8 Mountain Lion sortira du cadre et dans un peu moins de deux ans se sera le tour de Mavericks.

Il n'empêche...

avatar Philactere | 

@Moonwalker :
"je n'aime pas qu'Apple laisse une faille documentée ouverte et n'entreprend rien pour la combler sur deux OS X officiellement encore supportés"

À la lecture de cette news je ne crois pas qu'on puisse encore qualifier ces versions comme étant "officiellement supportées". Si elles le sont encore qualifiées comme telles par Apple alors c'est simplement mensonger.

avatar Moonwalker | 

"Officiellement" puisque Apple fournit encore des correctifs (Security Update et Safari) pour Mountain Lion et Mavericks.

Maintenant, il n'y a pas de système infaillible. Ce n'est pas parce que toutes les failles connues à cette heure de Yosemite ont été comblées qu'il est plus sécurisé que 10.8 ou 10.9. Je dirais même au contraire qu'il n'en est que plus vulnérable à un hack inédit si vous ne prenez pas les précautions nécessaires. Au moins avec 10.8 et 10.9, vous êtes prévenus. Maigre consolation.

Pages

CONNEXION UTILISATEUR