Une faille permettait de pirater un Mac en entreprise dès la sortie de la boîte
La conférence Black Hat qui s’est tenue récemment a été comme d’habitude le théâtre de la présentation de multiples failles de sécurité, parmi lesquelles l’une concernant le Mac. Deux chercheurs ont découvert qu’il était possible de pirater à distance un Mac avant même qu’il soit complètement configuré par l’utilisateur, pourvu que la machine embarque les outils visant à faciliter son intégration dans les entreprises — les Mac achetés par les particuliers n’étaient donc pas concernés.
En exploitant une vulnérabilité dans le processus d’installation, un malandrin pouvait se placer entre l’ordinateur et le serveur de l’entreprise, et remplacer le programme d’installation par une version vérolée. La faille pouvait être dévastatrice dans le cas où l’attaquant était en position d’accéder à tous les Mac d’une flotte, mais elle n’était pas simple à mettre en place. Elle a été comblée dans macOS 10.13.6 sorti le mois dernier.
Des fois je me demande si la seule motivation de la rédaction, lorsque vous rédigez une news sur la sécurité, ne serait pas de placer le terme malandrin.
@fredseg
Tellement ^^ J’adore ces petits mots oubliés ou dénigrés semés par la rédaction :)
@fredseg
Et ton commentaire ne serait-il pas que billevesées en vu de provoquer des carabistouilles ?
@fredseg
Si cela parait désuet , c’est pour ne pas tomber de Charybde en Scylla.
Sus aux tire-laine !
Palsambleu!
C'est un concours :)
Cette fois, vous avez bien tardé à annoncer la nouvelle, qui date du 9 de ce mois, et qui s’est répandue comme un feu de brousse.
La présentation de Max Bélanger et Jesse Endahl, ainsi que leurt article, sont disponibles depuis la conférence.
http://i.blackhat.com/us-18/Thu-August-9/us-18-Endahl-A-Deep-Dive-Into-macOS-MDM-And-How-It-Can-Be-Compromised.pdf
http://i.blackhat.com/us-18/Thu-August-9/us-18-Endahl-A-Deep-Dive-Into-macOS-MDM-And-How-It-Can-Be-Compromised-wp.pdf
Et une lecture attentive de leur présentation indique que vous avez tort d’utiliser l’imparfait, dans le titre comme dans le reste de l’article. Le fond du problème n’est pas réglé : ni la vulnérabilité dans son principe, ni la possible incidence concernant d’autres versions de l’OS.
Ian Beer enfonce le même clou, mais dans iOS.
Pour les plus pressés, voici un condensé de ses thèses :
https://threatpost.com/google-bug-hunter-urges-apple-to-change-its-ios-security-culture/134842/
En cocnlusion, voici les recommandations de Bélanger et Endahl à l’égard d’Apple :
● Fully document the security model for DEP & MDM, including the role of the Apple iPhone Device CA
● Require pinning at each step (currently optional)
● Require any Configuration Profile containing sensitive data (e.g. Wi-Fi password) to be both signed and encrypted (currently optional)
● Make factory installed OS version and build number available via DEP APIs
Beaucoup plus sérieux que votre article ne le laisse penser.
Bon, vous avez droit à l’erreur de temps en temps —c’est dans l’air du temps ; tout est pardonné.
Tu veux pas non qu'ils aillent à l'encontre des fanboys qui vont de la propagande pour qu'yest des macs partout en entreprise au prétexte que c'est plus "sûr" que windows ?
On peut critiquer apple pour ses ptit problèmes mais on n'annoncera pas que c'est ouvert au 4 vents alors que le carton est encore dans le camion de livraison et que personne à part apple n'y a toucher. :)
on se demande parfois si c'est le niveau de bile du hater qui lui rétrécit le cerveau ou si se sont des cerveaux rétrécis qui deviennent haters
en tout cas, quelle médiocrité humaine
La réalité fait mal à ton petit coeur de fanboy ? :)
@pommedor
non moi je m'en fiche en fait, je ne suis pas plus concerné que toi. je vois juste un petit crétin haineux, acerbe, plein de la haine du minable qui doit être "hater ", parce que ça comble un vide en lui
@Pipes Chapman
Exactement, c'est vraiment très bien dit ??
Et ces petits "haters" se disent que pendant ce temps-là, on va en oublier les failles et les faillites tout aussi (sinon plus) béantes dans leur système préféré...
Personne n'est dupe !
@pommedor
"on n'annoncera pas que c'est ouvert au 4 vents alors que le carton est encore dans le camion de livraison"
Bélanger et Endahl ont dûment informé Apple des mois à l’avance. Comme les professionnels responsables qu’ils sont. Ce n’est qu’après qu’Apple eut le temps de combler cette faille pour HS 13.6 qu’ils en firent part publiquement.
Ouai mais ça a durée combien d'années ça ? Et combien d'autres failles du même style entre les mains des agences de renseignement ou les boites spécialisées dans la vente de ce genre de produit ?
@pommedor
Bien entendu, c’est pourquoi Bélanger et Endahl insistent sur le problème de fond, qui n’a pas été résolu.
Et c’est pourquoi je pense que MacG aurait bien fait d’informer plus tôt, ou du moins de manière plus approfondie.
Mais il ne faut pas se leurrer sur le fait que notre sécurité informatique est compromise.
D’ailleurs, si ce commentaire s’arrête de manière de abrupte, c’est que l’une ou l’autre agence de renseig
Faut vraiment rien connaître à la sécurité informatique et être un comique en croyant que les appareils Apple soient plus sûrs que tous les autres ???