Dropbox force la main de l’utilisateur pour obtenir le mot de passe admin

Mickaël Bazoge |

Dropbox utilise-t-il des méthodes de brigand pour obtenir le mot de passe admin de votre Mac ? Un peu, mais c’est pour la bonne cause. En fin de semaine dernière, un témoignage sur Twitter, des articles sur AppleHelpWriter (ici, ) et une clarification du service de stockage sur la liste de diffusion Hacker News ont jeté une lumière crue sur une pratique peu ragoûtante.

Si Dropbox est présent dans les autorisations d’OS X (Préférences système > Sécurité et confidentialité > Confidentialité > Accessibilité), ce n’est pas parce que l’application a gentiment demandé votre autorisation par le biais de la fenêtre traditionnelle :

En lieu et place, le client Mac de Dropbox affiche une boîte de dialogue qui ressemble beaucoup à l’alerte d’OS X lorsque le système a besoin de votre autorisation (pour modifier un réglage dans les Préférences système, par exemple) :

À titre de comparaison, voici la boîte de dialogue d’OS X.

Une fois le mot de passe donné à Dropbox, l’application n’a plus besoin d’aucune autorisation de votre part pour s’installer dans le menu Accessibilité des préférences d’OS X (et même en supprimant l’application dans Accessibilité, elle reviendra après un redémarrage du Mac). En fait, le client n’a plus besoin de votre autorisation du tout pour faire tout ce qui lui passe par la tête, et c’est bien là le danger.

Devant la controverse, Dropbox a rapidement donné une explication : la demande du mot de passe sert à l’intégration du service de stockage dans d’autres applications (le badge Dropbox dans Office, entre autres).

Dropbox précise travailler avec Apple pour améliorer les choses à ce niveau ; il admet aussi que sa communication n’est pas terrible : « Nous demandons les permissions une fois, mais nous n’expliquons pas ce que nous faisons ni pour quelle raison ». Quoi qu’il en soit, le service assure ne pas voir ni conserver les mots de passe.

De manière plus formelle, Dropbox a mis en ligne une nouvelle page dans son Centre d’assistance qui explique les raisons pour lesquelles il demande le mot de passe admin. En plus des interactions avec des apps tierces, cette permission sert aussi à la mise à jour automatique du client Mac, et aide à améliorer la synchronisation des documents. Il est toujours possible d’annuler la demande de permission, mais on perdra ces fonctions supplémentaires.

Le service martèle qu’il ne peut voir, recevoir ou partager le mot de passe admin « d’aucune manière ». En guise d’explications, Dropbox regrette que certaines permissions d’OS X « ne soient pas aussi détaillées que nous le voudrions ». Cela signifie que « plusieurs permissions peuvent être inclues dans une boîte unique de permission ».

Il y a certainement moyen de faire mieux et plus clair pour les utilisateurs de Dropbox. Nul doute qu’après la tempête du week-end, le service s’y attellera séance tenante. Pour ceux qui voudraient vraiment se débarrasser de la présence de Dropbox dans les préférences d’OS X, AppleHelpWriter a une solution.

Source
Tags
avatar Yoskiz (non vérifié) | 

Moi j'ai aussi Antidote 9 en plus de Dropbox !
Pourquoi donc ?

avatar C1rc3@0rc | 

Inter Applications Communication!
Antidote est un service, pas une application uniquement. Il accede aux informations (textes) gerées par d'autres applications tout en modifiant le comportement de ces applications (ajout de menu)
Pour corriger du texte dans toutes les applications il faut que le service puisse lire et ecrire dans l'espace 'edition des donnees de l'application. Il s'agit donc d'une injection et d'une prise de controle du flux d'information d'une application par une autre...

Ce mecanisme est permis par MacOS, mais il faut évidement que l'administrateur de l'appareil autorise ce comportement, qui peut etre aussi celui d'un virus.

Dans le cas d'antidote, le comportement est relativement limité et peut facilement etre cloisonné. On peut meme, si le developpeur s'en donne la peine, eviter ce comportement en faisant l'inverse: c'est l'editeur de texte qui envoi et recupere le texte corrigé par le correcteur.

Pour Dropbox c'est plus problematique car le fonctionnement est general et c'est toutes les donnnees qui peuvent etre concernées. Si jamais dropbox contient un spyware, toutes les donnees de la machines peuvent etre corrompues ou extraites.
Et pour l'instant il semble qu'Apple n'ait pas de parade.

avatar r e m y | 

Pour les mêmes raisons d'intégration à d'autres applications...

avatar bidibout (non vérifié) | 

Ce n'est pas absolument pas le lieu mais savez-vous si il y a le même genre de chose sous Windows ? Car dernièrement j'ai eu dans l'observateur d'évènements un message m'indiquant que quelque chose avait demandé une élévation des privilèges et je ne sais toujours pas si j'ai une brèche de sécurité ou non, et comme j'avais installé Dropbox dans le même laps de temps... (mes excuses pour ce hors sujet).

avatar C1rc3@0rc | 

Le mecanisme de l'IAP existe depuis tres longtemps dans Windows (c'est la base d'office...)
Sous Windows il n'y a pas la meme notion de niveau d'acces que dans les Unix comme MacOS. Et de plus il y a des failles utilisées par les virus pour acceder a n'importe quelle donnee depuis n'importe quel logiciel. De plus Windows 10 (et 8 dans une moindre mesure) expedie une quantite de donnees sur le Net sans demander ton avis...

Mais en regle generale s'il y a une demande de privilege sur windows, c'est soit un troyen, soit un service pas tres bien programmé car cela doit se faire normalement a l'installation, pas apres. Si tu as des softs pas clean ou "exotiques" vaut mieux lancer une armada d'antivirus pour verifier, sachant que de toutes facon un truc comme un keygen ne sera pas pris en compte, probablement, puisque c'est un troyen et pas un virus... Donc sous Windows, plus encore que sous MacOS: n'installer que le strict minimum, qu'en provenance d'un editeur important et toujours passer a l'antivirus avant!

avatar bidibout (non vérifié) | 

Je ne suis pas sûr que la demande ait été faite après coup, je pense que c'est bien au moment de l'installation, seulement le message est apparu seulement après un redémarrage dans l'observateur d'évènement (c'est pour cela que j'ai cru que c'était suite à la dernière maj de Windows car je n'avais pas fait de redémarrage encore).

Sinon je n'ai pas de logiciel exotique, ce n'est que des softs de grands éditeurs avec des licences achetées.

Si jamais tu t'y connais voilà le message que j'ai eu "Un fournisseur, DMWmiBridgeProv1, a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2\mdm\dmmap, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur."

Comme j'avais dans le même temps installé Dropbox en voyant cette news je me suis dis que c'était peux-être lui.

Merci pour ton aide en tout cas et désolé pour le hors sujet.

avatar fousfous | 

D'où l'intérêt d'éviter les apps en dehors du MAS et de ne jamais donner son mot de passe admin aux apps

avatar r e m y | 

@fousfous

Je ne vois pas le rapport avec le Mac AppStore... Si ce menu dans le panneau Accessibilité existe, c'est bien pour permettre à des utilitaires d'interagir avec d'autres applications. C'est donc une possibilité autorisée par Apple. Des applications vendues sur le MAS peuvent tout à fait y avoir recours.

Ce qui est anormal dans le cas de DropBox c'est l'opacité de la démarche

D'autres sont beaucoup plus transparents (Keyboard Maestro par exemple)

avatar fousfous | 

@r e m y :
Bah une app sur le MAS ne pourrait pas faire ce genre de choses comme elle ne doit pas demander le mot de passer et qu'elle a été vérifié

avatar fransik | 

@remy
Il faut lire l'article cité en référence: Dropbox n'a pas besoin de ce niveau d'accès, et quand bien même cela aurait été le cas, l'utilisation d'une fenêtre laissant supposer autre chose n'incite pas à la confiance.
Sans compter l'absence de transparence quand à la manière dont l'application puisse stocker le mot de passe admin, lequel permet, rappelons-le, de contrôler complètement sa machine...
Bref, soit ils corrigent très vite, soit je passe à un autre prestataire dans la semaine.

avatar r e m y | 

Au passage, je pense qu'il y a là une faille de sécurité qu'Apple pourrait combler facilement en interdisant à une application de modifier elle même la liste des applications autorisées dans ce panneau d'Accessibilité en n'autorisant l'ajout de nouvelles applications que par action de l'utilisateur lui-même (et pour les seuls utilisateurs ayant le statut administrateur).

Ainsi DropBox devrait utiliser la fenêtre standard (comme l'exemple donné en première illustration) pour demander à l'utilisateur d'aller valider l'accès à Dropbox dans ce panneau de Preferences systeme

avatar pim | 

C'est un peu une tempête dans un verre d'eau. Il était facile de se douter que DropBox avait le droit de TOUT faire, dès lors qu'il se met à jour tout seul comme un grand ! Et c'est carrément pratique comme comportement, même si c'est potentiellement dangereux – en une seule attaque sur les serveurs de Dropbox, des pirates peuvent installer ce qu'ils veulent sur des millions d'ordinateurs !

avatar heret | 

+1
Le comportement de l'application Dropbox porte un nom. Ça s'appelle un cheval de Troie. Les justifications sont aussi très convaincantes. Ce n'est pas Dropbox qui va retirer le fiche jack, au contraire, ils vont la mettre ailleurs...

avatar r e m y | 

@fransik
Mais je n'ai pas dit le contraire!
Je signale juste que le fait de passer par le Mac AppStore, comme le suggère Fousfous, ne garantit en rien qu'une autre application ne pourrait pas se comporter de façon tout aussi douteuse...

avatar MerkoRiko | 

ben voilà, je comprends mieux pourquoi j'ai (obtenu) 12go gratos, c'est parce que Condoleezza Rice voulait connaitre la marque de mon slip...& maintenant, en lisant ça, elle connaitra le degré de mon flip.

avatar abccba | 

Google Drive agit-il de la même façon ?

avatar xav59 | 

En tout cas, ça fait réfléchir, j'ai basculé sur un autre, après avoir étudié l'option owncloud, mais limitative pour le partage de fichier (à cause des uploads encore faiblards des lignes ADSL)
du coup, celui qui se rapproche le plus de dropbox est "sync", avec pour avantage qu'il ne stocke pas les mots de passe, crypte les fichiers, et n'est pas soumis au patriot Act US car hébergé au canada, bref, je pense que si techniquement il est aussi bon que Dropbox, il va le remplacer définitivement,
le lien (c'est avec parrainage pour avoir 1Go en + des 5Go offerts, autant en profiter)
https://www.sync.com/?_sync_refer=41978a7b0

avatar quetzal | 

Bon, Je vais commencer à chercher une alternative sérieuse à Dropbox. Trop dangereux cela. Personnellement, j'en ai rien à fiche du badge Dropbox dans M. Office.

avatar Liena | 

"Quoi qu’il en soit, le service assure ne pas voir ni conserver les mots de passe."

Oui oui on connait la chanson...

avatar stemou75 | 

Bon j'ai supprimé l'autorisation dans les préférences.
Problème réglé.
Google Drive ne fait pas la même chose.

avatar r e m y | 

@stemou
Tu as bien suivi le tutoriel d'AppleHelpWriter? Sinon cette autorisation va être recrée lors du prochain demarrage du Mac.

avatar stemou75 | 

@r e m y :
Oui et mot de passe administrateur changé ;-D

avatar StephanMart | 

Il n'y a pas que Dropbox qui fait cela TeamViewer aussi.

avatar r e m y | 

@StephanMart
Attention à distinguer le fait d'utiliser ce panneau Accessibilité (qui est généralement tout à fait légitime, sinon ce panneau n'existerait meme pas) en demandant à l'utilisateur de valider cette autorisation et en le laissant saisir lui-même son mot de passe admin, et le comportement de DropBox qui le fait à l'insu de l'utilisateur, sans raison valable et de plus conserve le mot de passe administrateur dans un cache quelconque pour le réutiliser à sa guise quand il en a besoin (avec le risque que ca peut représenter si des tiers venaient à utiliser une faille dans le code de DropBox)

avatar bugman | 

Le service martèle qu’il ne peut voir, recevoir ou partager le mot de passe admin « d’aucune manière ».

Le service ment ! Bien sur qu'ils peuvent !

avatar marc_os | 

@ bugman
Ils mentent ? Si tu le dis.

Saches pour autant que si Dropbox utilise les API d'Apple comme préconisé par Apple, alors ils ont raison, leur application ne voit jamais passer les mots de passe et ne peut donc rien faire de ce qu'elle n'a pas.
Par contre, rien n'empêche n'importe quel développeur d'inclure dans son App une boîte de dialogue qui ressemble à celles d'Apple pour demander de s'authentifier, et ainsi voir passer en clair les mots de passe.
De même, quand tu as un compte pour un service quelque part avec mot de passe, ce quelque part peut soit stocker ton mot de passe en clair et le réutiliser comme il veut, soit s'il est honnête et il va stocker un hash du mot de passe qui n'aura d'utilité que pour le service en question.
La question au final est :
Peut-on faire confiance ou non à tel ou tel service ?

avatar bugman | 

@marc_os :
Dropbox utilise sa propre boite de dialogue, donc les API Apple, oui, mais pas les fonctions usuelles (système) pour demander le mot de passe. C'est ce que dit l'article (il me semble). Rien ne l'empêche de récupérer la valeur du champ et d'en faire ce qu'il en veut (methode qu'il adopte pour ses mises a jour, d'ailleurs). Donc, il ment (mais ca ne veut pas dire qu'il le fait... Mais il peut) !

avatar pabar | 

D'où l'éternelle question. Quelle est la meilleure solution pour stocker, partager et archiver ses documents. J'ai bien un NAS sync mais c'est pas aussi simple que Dropbox ou Google drive, en tous les cas pour le commun des mortels

avatar Sethii | 

Je n'ai aucune confiance, ni aucune donnée dans le cloud, sauf dans mon Cloud Synology bien à moi.

avatar r e m y | 

@bugman
Mais meme si ils ne mentent pas et n'ont pas accès au mot de passe, le risque subsiste car l'application, elle, garde le mot de passe à sa disposition, ne serait-ce que pour installer les mises à jour automatiquement sans que l'administrateur de la machine n'ait quoi que ce soit à faire.

A partir de là, l'application constitue un vecteur d'infection grave... Il suffit que le serveur de mise à jour de DropBox soit hacké pour installer sur des millions de Macs un logiciel malveillant qui aura accès au contrôle de la machine (sans meme que le mot de passe ait été divulgué à qui que ce soit)

avatar cham | 

@r e m y :
Imaginez si transmission et son malware avaient fait la même chose...

avatar r e m y | 

@cham
Et c'est un scénario catastrophe tout à fait envisageable via DropBox... Quand on sait qu'ils se sont fait subtiliser les mots de passe de millions de comptes clients, on peut imaginer qu'implanter un malware dans une version légitime de DropBox sur leurs serveurs de mise à jour n'est pas quelque chose de complètement impossible!

Ils ont intérêt à modifier rapidement ce comportement anormal si ils ne veulent pas voir leurs clients (et en particulier les entreprises) changer de service de cloud!

avatar madmak | 

Un grand merci pour cette dépêche ! il est important de faire connaître ce genre de pratique (type cheval de Troie) à tout le monde.

Je vais continuer à utiliser Dropbox avant d'avoir trouvé mieux, mais pas question que je leur laisse la possibilité de prendre la commande de ma machine à distance.
Pour ceux que cela intéresse, j'ai procédé de la façon suivante :
- Quitter Dropbox
- Effacer le dossier DropboxHelperTools de la bibliothèque.
- Supprimer l'autorisation dans les préférences systèmes.
- Relancer Dropbox et répondre 'annuler' à la demande de mot de passe.
- A chaque redémarrage ou relance de Dropbox, répondre 'annuler' à la demande de mot de passe qu'il ne manque pas de vous redemander.
Ainsi, le programme n'est plus capable de modifier les préférences systèmes par lui-même.
Ah oui, j'ai aussi changé mon mot de passe admin. On ne sait jamais.
(PS : Cette méthode m'a été inspiré par ce que j'ai vu sur Mac4ever.)

avatar aspartame | 

de toute façon, quelqu un soucieux de sa securite changera son mot de passe au moins une fois par mois n est ce pas ?

avatar pifpaf | 

A force de ceci de cela du mot de passe et patin couffin j'en suis revenu à la clef USB , faut pas l'oublier mais comme de toute façon j'oublie le mot de passe DropBox 14 signes modifiables tous les mois et que pour tout mémoriser j'utilisais de tout façon une clef USB avec Dashlane Keepass LastPass et tout ceci supervisé par 1 Password alors les 2 go gratuits de DropBox ..........pratique pour partager soit, mais pas nombreux connectés non plus en même temps, alors vivement un produit efficace (rapide) stable et sécurisé (utilisable) partageable et universel (pratique) et 32 go largement suffisant (rentable 16 € en une fois) bref à part une clef je vois pas.

CONNEXION UTILISATEUR