Fermer le menu
 

High Sierra révèle le mot de passe des volumes APFS chiffrés à la place de l'indice [màj]

Stéphane Moussie | | 09:18 |  121

Mise à jour — Apple a livré une version "supplemental" de macOS 10.13 qui corrige le bug.

Sur macOS High Sierra, un bug embêtant affecte les volumes APFS chiffrés. Un développeur a remarqué que le système révélait le mot de passe de ces volumes à la place de son indice.

Nous avons reproduit ce bug sur la bêta de macOS 10.13.1, qui ne corrige donc pas le problème. Dans l’Utilitaire de disque, il suffit de créer un volume APFS chiffré, entrer un mot de passe (« toto » dans notre cas) et un indice (« notre mdp habituel »), puis une fois créé, éjecter le volume et le monter. L’indice affiché par la boîte de dialogue n’est pas l’indice que nous avions saisi, mais le mot de passe (qui fonctionne bien).

« toto » est notre mot de passe, pas notre indice…
Catégories: 

Les derniers dossiers

Ailleurs sur le Web


121 Commentaires Signaler un abus dans les commentaires

avatar C1rc3@0rc 07/10/2017 - 01:59 (edité)

@House M.D.

«Non, c’est quelque chose que je n’accepte pas, et ceci envers quiconque.»

J'ai peu d'espoir que consideres ça, mais dans le texte, le terme «batard» s'applique exclusivement a MacOS 10.13 et iOS 11, nullement a une personne, meme fut elle morale.
Donc la condamnation que tu émets est totalement absurde en plus de relever d'une pure création de ta part, basée, au mieux sur une déficience de la compréhension de la lecture.

De plus si je te dis que mon utilisation du mot français «bâtard» n'est pas une insulte et que je prends la peine de le préciser et développer l'utilisation de ce terme, quand tu persiste a affirmer fallacieusement que c'est une insulte, c'est que pour toi:
- la réalité ne compte pas,
- que tu n'as rien a faire des gens et de leurs intentions et explications,
- que tu te contrefous royalement ce que pense ou vivent les autres
- que seul compte le sens que tu veux attribuer aux mots (même si c'est un sens illégitimes et relevant de conceptions culturelles étrangères) et l'interpretation que tu fais des textes.
Et au final, que ce comportement, méprisant au dernier degré, est une insulte effective de ta part.

La seule chose que tu demontre ici c'est que rien d'autre ne compte que ton opinion et que tu condamnes arbitrairement, et sans appel, tout et tous ceux qui osent aller (meme si c'est dans ton imaginaire délirant) contre ce que tu crois et tu que tu veux imposer aux autres!
C'est juste la définition de ce qu'est un fanatique intégriste. Ce qui au moins te confère une certaine coherence, puisque l'integriste est bien celui qui se veut le gardien d'un moralisme et qui est offusqué que la réalité elle même dévie de cette norme morale arbitraire.

avatar frankm 05/10/2017 - 09:28

la bourde !

avatar tyga tiger 05/10/2017 - 11:46 via iGeneration pour iOS

@je-deteste-android-

"Ho putain" c'est tout !??

Je m'attendais à un : "c'est de la merde" bien cinglant 😳😳

#tesuntroll



avatar r e m y 05/10/2017 - 09:23 via iGeneration pour iOS

Bah... c'est un indice comme un autre, non?
Pour ceux qui n'aiment pas les casse-tête, c'est bien je trouve.
High Sierra va encore plus loin pour nous simplifier la vie....

Au fait, vous avez vérifié que toto est bien accepté comme mot de passe, et que le mot de passe n'est pas devenu "la tête à"?

avatar misterbrown 05/10/2017 - 09:24 via iGeneration pour iOS

C'est ballot oui! Et dire que Windows c'est de la merde...

avatar C1rc3@0rc 05/10/2017 - 09:34

@misterbrown

Ben avec Windows tu as une bonne protection par mot de passe, qui n'apparait pas quand on le demande meme poliment, par contre, ça n'arrete que l'utilisateur qui a des trouble de la memoire, parce que les portes d'entrées sont legions... bon sur MacOS ça semble aussi se multiplier les portes d'entree depuis quelques annees (tiens ça me fait penser que la derniere version de Safari a gagné en nombre de failles majeures face a Chrome(le plus securisé), Firefox (sa dauphine), Edge (oui le truc de MS est plus securisé que Safari)..)

Aller Federighi, va falloir penser a autre chose, parce que sinon a la fin de l'année, de la chevelure remarquable, il ne restera plus grand chose, et faire le poney qui s'ebroue devant la camera de l'iPhone X, ça le fera beaucoup moins...

avatar Philbee 05/10/2017 - 09:54

A mon humble avis, Federighi fait ce qu’il peut avec les moyens que lui donne ce cher Tim Cook...😏

avatar C1rc3@0rc 07/10/2017 - 01:30

@Philbee

Je pense que tu as raison, et je dis pas le contraire (enfin le coup du canasson et de l’excrément vociférateur, il pouvait éviter) et il se trouve que le responsable du développement c'est Federighi, et qu'en tant que tel lorsqu'il une connerie de ce calibre sort, c'est sur sa pomme que ça retombe, et c'est legitime, et donc il va se "faire des cheveux".

S'il n'est pas "opérationnellement" responsable du niveau lamentable ou sombre MacOS, il est quand même responsable d'accepter:
- les délais intenables,
- la politique de relargage de softs en beta grumeleuses de bug,
- de l'insuffisance de moyens du contrôle qualité
- de la probable inexistence d'une équipe dédiée au Mac
- du souk résultant de l’intégration de fonctions gadget au détriment du "bétonnage" des fonctions et pratiques de securité
- du travail de dégradation imposée par la politique de l'obsolescence programmée,
- la soumission aux diktat des incompétents du marking
- de l'effacement des fondamentaux identitaires de MacOS et du Mac, par le griffonneux en chef
...
Dans un role similaire, Luc Julia avait claqué la porte. Y a un moment ou la responsabilité c'est aussi de mettre la direction face a ses incohérences et refuser d'aller dans le mur parce que les objectifs sont absurdes et qu'il n'y a pas de d'objectif de moyens.

C'est que le gaillard, il est dans l'histoire d'Apple depuis NeXT, et vu ses qualifications on peut pas douter de sa compétences en ingénierie système. Pour tout te dire, s'il prenait la tête de la conception d'Apple, j'en serai le premier ravi...
Donc oui, ton commentaire est apropos, mais Federighi porte la responsabilité de sa fonction.

avatar Philbee 05/10/2017 - 23:32

@C1rc3@0rc
Tes arguments sont pertinents mais j’ai un principe : j’evite de m’en prendre aux lampistes 😉

avatar C1rc3@0rc 07/10/2017 - 01:30

@Philbee

mais Federighi n'est pas un lampiste.

avatar macam 05/10/2017 - 14:16

@C1rc3@0rc alias Moi, moi, moi ! :
Dans le genre à côté de la plaque et hyper-narcissique Federeghi n'a rien à t'envier : dernier exemple, parmi tant d'autres, ton intervention sans avoir lu l'article pour émettre ton "auguste" avis en début de première page du forum : http://www.macg.co/ailleurs/2017/10/amazon-cherche-des-supermarches-fran...
Evidemment je constate qu'ici tu disparais comme d'habitude une fois passé le début du forum.

avatar creatix 05/10/2017 - 09:25

J'espère que c'est "juste" un problème dans l'enregistrement de l'indice sur le disque et non pas une grosse faille dans le système de fichiers APFS...

avatar bunam 05/10/2017 - 09:30 (edité)

Oui !

En tout cas c'est n'importe quoi !! On va voir le temps de réaction d'Apple...

J'ai bien fait de me tenir éloigné de cette mise à jour...

avatar C1rc3@0rc 05/10/2017 - 09:37

@creatix

T'en fais pas, quand on atteint ce niveau, on peut s'attendre a bien des choses. D'un autre coté qui se souvient du bug a la maniere du "bug de l'an 2000" dans la precedente version d'iOS... et du dernier "buffer overflow" de MacOS (non ce n'etait pas y a 20 ans...)

avatar françois bayrou 05/10/2017 - 10:04

Sans parler de l'épique "goto fail"...
les requêtes SSL qui répondent favorablement, quelque soit le certificat SSL présenté par la réponse. Celui là, c'est mon préféré.

avatar ErGo_404 05/10/2017 - 09:28

Probablement une option de développement qui n'a jamais été fixée. Sauf qu'un bon développeur aurait aussi écrit un test automatique pour vérifier le comportement et ça n'aurait jamais du passer ...

avatar Issou la chancla 05/10/2017 - 09:37

Là par contre ça ne relève plus du bug, d'une erreur d'inattention, mais bien d'un gros problème d'incompétence.

avatar C1rc3@0rc 05/10/2017 - 09:41 (edité)

Ah c'est clair, mais a quel niveau?
Parce que programmer une connerie du genre, bon c'est deja grave, mais que ça passe les beta, comment dire...

avatar BeePotato 05/10/2017 - 10:12 (edité)

@ C1rc3@0rc : « Parce que programmer une connerie du genre, bon c'est deja grave, mais que ça passe les beta, comment dire... »

On voit bien les limites de l’approche beta-test, y compris avec une beta publique distribuée à pleins de gens.
Ça peut marcher plutôt bien pour les fonctions les plus utilisées, mais ça rate facilement des problèmes dans les fonctions les moins utilisées (l’indice de mot de passe pour le chiffrement d’une image disque, ça ne sert pas tous les jours ni à grand monde).

avatar C1rc3@0rc 05/10/2017 - 20:55

@BeePotato

Je pense surtout que la politique du beta-test c'est un truc de financier et de marketeux et que ça n'a aucun sens en ingénierie.

L'avantage du beta-test pour le financier c'est que ça coute moins cher que mettre en place un systeme de controle qualité tout le long de la chaine, ça coute moins cher parce que ça prend moins de temps et de ressources humaines que d'appliquer une methodologie de conception et de developpement, ça coute moins cher parce que ça permet de supposer que l'on peut sous traiter a des developpeurs soit de faible niveau, soit a des equipes non dediées qu'on peut allouer et reallouer a x projets, voire a plusieurs a la fois... et puis c'est dans la ligne du spencerisme, donc ça doit etre efficace dans une culture spenceriste.

Pour les marketeux c'est du pain beni, ça permet de forger un message (évidemment fallacieux) type "rapprocher l'utilisateur de la réalisation de l'outil qu'il utilise", de reporter les erreurs qui passent sur l’utilisateur (ben oui, quoi, enfin c'est l'utilisateur/beta testeur qui a pas fait son travail, la, et il y en avait pas assez, bandes de feignasses de consse assistés), ça donne une image (fallacieuse) d'humilité de l’ingénieur (ben oui, il se la pète plus l'ingé avec sa connaissance et sa logique rationnelle: il dépend des retours de l'utilisateur! - et puis tiens au moins quand on lui demande après de faire des graphiques en forme de chatons (parce que le chaton plus d'impact sympathie qu'une courbe de gauss ), il a plus rien rétorquer)...

Et puis faut aussi se souvenir que la pratique du largage de softs avec des monceaux de scories, n'approchant meme pas la finalisation, l'integration de fonctions majeures en milieu de cycle de vie du soft a grand coup de patch, l'attente des remontées (acides) des gros bug par les utilisateurs,... c'est quand meme le principe commercial de Micrfosoft, au moins dans les annees 90/2000.

Donc la beta publique, ce que j'en pense: c'est pas une méthode de développement, c'est du foutage de gueule pur est simple, symptomatique d'un management et d'une politique qui méprise profondément et l’ingénieur et le client.. et le produit.!

avatar inumerix 05/10/2017 - 09:38

Oh la boulette ! Joli ça !
Y en a un qui va passer un mauvais quart d'heure...

avatar Hasgarn 05/10/2017 - 09:44 via iGeneration pour iOS (edité)

Mais bon sang de chianli de zut, c'est juste une inversion de 2 pauvres chaînes de caractère, ça prend pas 107 ans à rectifier comme "bug" (ça n'en ai pas un pour moi, c'est juste une preuve d'incompétence).
Par contre, le mot de passe, il est stocké en clair ?
Ça, ce serait une autre preuve de l'incompétence des dev'...

avatar bunam 05/10/2017 - 09:58

Il faut juste penser a tous les .dmg sécurités qui ont été faites sur High Sierra... il faut les coller à la poubelle et faire un secure erase.Ah, on me dit dans l'oreillette qu'on ne peut plus ?
Les conséquences sont énormes...
À moins que le gars qui ait bossé sur l'utilitaire disque travaille en fait pour la NSA et qu'il ait voulu faire une backdoor, vite fait bien fait, bon elle est un peut grosse là non ?

avatar C1rc3@0rc 05/10/2017 - 20:58

«À moins que le gars qui ait bossé sur l'utilitaire disque travaille en fait pour la NSA»

Non, je pense pas, la NSA n'a pas intérêt a ce que le backdoor soit utilisable par le scriptkiddy le plus cretin. Aller caviarder les protocoles de securité, oui, mais tout de meme faut que ce soit un peu alambiqué. La on est sur tout autre chose.

avatar BeePotato 05/10/2017 - 10:00

@ Hasgarn : « Mais bon sang de chianli de zut, c'est juste une inversion de 2 pauvres chaînes de caractère, ça prend pas 107 ans à rectifier comme "bug" (ça n'en ai pas un pour moi, c'est juste une preuve d'incompétence). »

Ça ne ressemble pas à une inversion, vu que le mot de passe semble fonctionner pour déchiffrer.
Je penche plus pour une erreur de copier-coller qui a conduit à utiliser deux fois la même chaîne.

Pages