Passware parvient à trouver le mot de passe des Mac T2 par force brute

Mickaël Bazoge |

La société Passware, qui s'est fait une spécialité des solutions de déverrouillage des Mac et des PC par force brute, est parvenue à « craquer » la puce T2. Mais attention, le processus nécessite de 10 heures à… plusieurs milliers d'années, en fonction du mot de passe et de sa longueur. Mais cela reste possible grâce à une vulnérabilité exploitée par l'entreprise, dont les clients sont principalement les forces de l'ordre mais aussi des entreprises.

La puce T2, au centre de la carte-mère de l’iMac Pro. Image iFixit (CC BY-NC-SA).

Passware savait déjà récupérer les mots de passe de Mac plus anciens (sans puce T2) et déchiffrer les volumes protégés avec FileVault avec une technique de force brute : grâce à l'accélération GPU, le logiciel pouvait tester des dizaines de milliers de mots de passe par seconde, ce qui lui permettait de pénétrer rapidement par effraction sur les machines.

La puce T2 inaugurée en 2018 (et qui est toujours à l'œuvre dans les derniers Mac Intel au catalogue) a rendu les choses plus difficiles. Son enclave sécurisée conserve le mot de passe du Mac, alors qu'auparavant il se trouvait dans l'espace de stockage de l'ordinateur. Par ailleurs, la puce limite le nombre de tentatives de saisie de mots de passe, avec des délais d'attente de plus en plus importants (lire le livre blanc sur la puce T2).

Test de l’iMac Pro 2017 : tout ce que vous n’avez jamais voulu savoir sur la puce T2 et Secure Boot

Test de l’iMac Pro 2017 : tout ce que vous n’avez jamais voulu savoir sur la puce T2 et Secure Boot

Selon 9to5Mac, Passware a mis au point un moyen de contourner ces protections censées empêcher l'utilisation de la force brute. Les détails techniques sont inconnus, néanmoins le processus est beaucoup plus lent : une quinzaine de tentatives mots de passe par seconde. Pour les Mac T2 protégés par des mots de passe de 6 lettres, le malandrin peut espérer un résultat dans les dix heures.

L'éditeur précise que ce nouveau module de déverrouillage par la force n'est proposé qu'aux gouvernements et aux entreprises qui fournissent une justification valable. Une sécurité bien maigre… Il faut noter que l'outil de Passware ne peut fonctionner qu'avec un accès physique au Mac. Pour se prémunir de ce genre d'attaque, on peut opter pour un mot de passe long qui n'utilise pas de mots communs que l'on peut trouver dans les dictionnaires, et y inclure des caractères spéciaux. Plus facile à dire qu'à faire !


avatar h-de-pierre | 

Donc la puce T2 est une passoire ?

avatar r e m y | 

J'ai pensé la même chose...😂
Je me demande si ceux qui ont choisi le nom sont francophones ou si c'est juste fortuit 🤔

avatar h-de-pierre | 

@r e m y

Sans doute est-ce fortuit.

avatar YetOneOtherGit | 

@h-de-pierre

"Sans doute est-ce fortuit."

J’en doute : c’est assez typique de la culture geek canal historique de jouer avec le sens pour définir des noms de produits, de logiciels et d’entreprises. 😎

Mon pseudo est d’ailleurs un double clin d’œil à cela avec le classique Yet Another et le Git d’autodérision de Linus Torvalds.

Les gags de ce type sont une vieille tradition du secteur, d’autant qu’ici cela « fait sens » comme disent les anglo-saxons.

avatar stefhan | 

@YetOneOtherGit

J’adore ces anecdotes ! 😄👍

(Le mien c’est le diminutif de mon prénom associé aux trois premières lettres de mon nom de famille, ce qui fait un jeu de mot 😉)

avatar YetOneOtherGit | 

@stefhan

"J’adore ces anecdotes ! 😄👍"

😉

https://en.wikipedia.org/wiki/Yet_another

« Torvalds sarcastically quipped about the name git (which means "unpleasant person" in British English slang): "I'm an egotistical bastard, and I name all my projects after myself. First 'Linux', now 'git'."[23][24] The man page describes Git as "the stupid content tracker".[25] The read-me file of the source code elaborates further:[26]

"git" can mean anything, depending on your mood.

Random three-letter combination that is pronounceable, and not actually used by any common UNIX command. The fact that it is a mispronunciation of "get" may or may not be relevant.
Stupid. Contemptible and despicable. Simple. Take your pick from the dictionary of slang.
"Global information tracker": you're in a good mood, and it actually works for you. Angels sing, and a light suddenly fills the room.
"Goddamn idiotic truckload of sh*t": when it breaks. »

avatar marenostrum | 

c'est une société israélienne. ils ont des codes sources de tous les programmes qui existent. ça les aide de trouver les failles facilement.

avatar YetOneOtherGit | 

@marenostrum

"israélienne. ils ont des codes sources de tous les programmes qui existent"

Et même de tous ce qui n’existe pas encore c’est dire s’ils sont fort 🙄🙄🙄🙄🙄

avatar marenostrum | 

ils ont des programmeurs dans tous les plus grosses boites informatiques. même dans le jailbreak ou le darknet sont actifs. c'est des gens apte de programmer (mieux que les asiatiques par ex) mais leurs manque la créativité ou plutôt le pragmatisme anglo-saxon (question de langage aussi, comme les asiatiques). donc ils sont plus apte de déconstruire que de construire un système.

je les critique pas ou contraire. c'est pas tout le monde qui sait faire ça.

avatar YetOneOtherGit | 

@marenostrum

"ils ont des programmeurs dans tous les plus grosses boites informatiques"

Oui c’est connu ils sont partout 🤢🤮🤮🤮🤮

Ton antisémitisme latent ou assumé en fonction des cas, une de tes horreurs avec la misogynie, l’homophobie, le complotisme, le conspirationnisme, le sexisme… 🤢🤮🤮🤮🤮

avatar marenostrum | 

j'ai complété ma pensé. je ne suis pas du tout antisémite. on a à faire avec les plus vieux et les plus spirituels peuples (les juifs et les arabes) du monde toujours vivants. c'est rare.

et puis je pense que pour construire il faut être plus con de nature. il faut se fatiguer. l'intelligent cherche la facilité, d'y arriver à son but sans dépenser inutilement. pour ça qu'il résiste au temps. ils dépensent pas beaucoup d'énergie.

avatar marc_os | 

@ marenostrum

> on a à faire avec les plus vieux et les plus spirituels peuples (les juifs et les arabes) du monde toujours vivants

Mais oui.
Et l'Asie, en particulier la Chine viennent juste d'apparaître.
Qu'est-ce qu'il ne faut pas lire comme conneries et préjugés !

avatar Krysten2001 | 

@YetOneOtherGit

J’en peux plus de lui 😂🤣🤣🤌

avatar reborn | 

@h-de-pierre

C’est mieux qu’avant, avant il n’y avait quasi rien.

https://www.macg.co/os-x/2015/08/thunderstrike-2-le-retour-de-la-faille-90358

avatar marenostrum | 

quand t'as le mac dans tes mains, oui, rien ne peut empêcher de tout déverrouiller ou modifier. tu peux intervenir physiquement, en changeant les puces, des pièces, etc.
chez Apple ne travaillent pas des génies, des gens uniques, mais des simples ingénieurs comme partout ailleurs. leur connaissance est limitée.

avatar Scooby-Doo | 

Passware ou Passoire telle est la question ?

😁

avatar Pépinlelutin | 

@Scooby-Doo :
Chez Tupperware aussi ils font des passoires…😂

avatar Scooby-Doo | 

@Pépinlelutin,

« Chez Tupperware aussi ils font des passoires »

Du temps de NeXT et NeXTstep, un éditeur de logiciels pour faire forte impression avait fait de la publicité dans NeXTworld, l'équivalent papier de MacG de l'époque.

Il vendait une suite logicielle similaire à Office avec un traitement de texte, un tableur, un logiciel de présentation, etc.

Il y avait bien 5 logiciels compris dans cette suite, mais voilà, l'éditeur n'avait pas encore écrit la moitié du premier !!!

Du coup, chez NeXT, on parlait de VaporWare !!!

Un terme peu connu et certainement plus du tout utilisé de nos jours...

😂

avatar YetOneOtherGit | 

@Scooby-Doo

« Du coup, chez NeXT, on parlait de VaporWare !!! »

Le terme n’a pas été inventé par les équipes de NeXT c’est bien plus ancien cela commence dès le début des années 80 😉

avatar Scooby-Doo | 

@YetOneOtherGit,

« Le terme n’a pas été inventé par les équipes de NeXT c’est bien plus ancien cela commence dès le début des années 80 »

Peut-être, mais pour ma part c'est à cette époque que j'en ai entendu parler pour la première fois.

https://en.wikipedia.org/wiki/Vaporware

C'est début des années 80 pour VaporWare, et la création de NeXT Computer, Inc. c'est vers 1988. Donc on est bien dans la même période.

Et je n'ai jamais écrit que c'était chez NeXT qu'on avait inventé le terme !

Donc, où est le problème ?

avatar YetOneOtherGit | 

@Scooby-Doo

"Peut-être, mais pour ma part c'est à cette époque que j'en ai entendu parler pour la première fois."

Je n’en doute pas mais attention à ne pas en tirer de fausse conclusion 😉

Si tu veux aller plus loin 😉

https://en.wikipedia.org/wiki/Vaporware

C’est effectivement dans le début des années 80 que le terme a émergé 🥸

avatar Scooby-Doo | 

Quelle fausse conclusion ai-je tiré de mon commentaire concernant cet éditeur de logiciels ?

avatar YetOneOtherGit | 

@Scooby-Doo

"Quelle fausse conclusion ai-je tiré de mon commentaire concernant cet éditeur de logiciels ?"

Laisse tomber, je te laisse à tes réactions soupe au lait face à un propos qui ne visait qu’à mieux te faire connaître l’usage d’un concept que tu manipulais et que tu méconnais.

Méconnaître n’est jamais honteux, mal réagir à un propos ne visant qu’à faire mieux connaître est regrettable 🙄🙄🙄🙄

avatar YetOneOtherGit | 

@Scooby-Doo

"https://en.wikipedia.org/wiki/Vaporware
C'est début des années 80 pour VaporWare, et la création de NeXT Computer, Inc. c'est vers 1988. Donc on est bien dans la même période.
Et je n'ai jamais écrit que c'était chez NeXT qu'on avait inventé le terme !
Donc, où est le problème ?"

Je l’étais arrêté à la première phrase pour un premier retour.

Amusant que tu tires une conclusion de ce type de l’article Wikipedia, c’est impressionnant quand même l’égo 😳

Ton propos laissait clairement à penser que tu associés le concept à NeXT.

“Du coup, chez NeXT, on parlait de VaporWare !!!
Un terme peu connu et certainement plus du tout utilisé de nos jours...
😂”

Le terme n’est ni peu connu ni peu usité de nos jours.

Étrange cette volonté de ne surtout pas apprendre et tirer profit d’un transfert de connaissances qui n’est en rien une agression 🤔

avatar Scooby-Doo | 

Jean-Pierre, en quoi tu peux conclure ceci :

« Ton propos laissait clairement à penser que tu associés le concept à NeXT. »

En lisant ceci :

« Du temps de NeXT et NeXTstep, un éditeur de logiciels pour faire forte impression avait fait de la publicité dans NeXTworld, l'équivalent papier de MacG de l'époque. Il vendait une suite logicielle similaire à Office avec un traitement de texte, un tableur, un logiciel de présentation, etc. »

Du temps de NeXT, okay je parle de cette époque et de cette plate-forme !

Un éditeur de logiciel s'est amusé à promouvoir une suite logicielle qui n'avait quasiment aucune existence réelle.

On parlait de PassWare, de TupperWare, alors pourquoi pas de VaporWare.

Et le terme n'est pas très connu, ni vraiment utilisé par les médias.

C'est clairement une dénomination de spécialistes...

avatar YetOneOtherGit | 

@Scooby-Doo

"On parlait de PassWare, de TupperWare, alors pourquoi pas de VaporWare."

Justement la raison d’être de ton commentaire était d’introduire ce concept et dans ce cadre utilisé un exemple tardif chez NeXT laisse penser que c’est là l’origine du terme.

Quand on introduit un concept par un exemple on remonte au origine ou on précise que l’exemple choisi n’est pas l’origine pour éviter l’ambiguïté.

Même si ce n’était pas ton objectif, l’ambiguïté de ton propos, pourrait faire que le lecteur ne connaissant pas le terme va imaginer que l’anecdote que tu mets en avant en est l’origine 😉

Je ne dis pas ça pour t’embêter ou te rabaisser très loin s’en faut. Mais une longue expérience de la vulgarisation fait que je connais bien des pièges dans lequel un lecteur peut tomber.

Et je te garantis que l’ambiguïté involontaire de ton propos portera une grande part de tes lecteurs à imaginer que tu parles de la naissance du concept avec ton anecdote.

Mon commentaire visait juste à lever cette ambiguïté et éviter à tes lecteurs de se faire une fausse idée que tu n’a pas voulu.

Ce qui compte ce n’est pas ce que l’on veut dire mais comment cela peut être interprété par le lecteur, c’est très difficile de voir les failles dans la structure d’un propos visant à partager une connaissance 😉

avatar YetOneOtherGit | 

@Scooby-Doo

"Et le terme n'est pas très connu, ni vraiment utilisé par les médias."

D’où l’intérêt de chercher à le vulgariser comme tu l’a fait si par “pas très connu” tu veux dires que c’est un propos de spécialistes 👍

Et d’où la nécessité de ne pas laisser une ambiguïté involontaire d’interprétation 😉

Vraiment strictement aucune attaque personnelle dans mes propos, juste la volonté de lever une ambiguïté pouvant véhiculer de fausses idées

avatar Neo_007 | 

@h-de-pierre

Sache que quoi qu’il arrive ce sera toujours toi le maillon faible de la sécurité.

avatar DG33 | 

@h-de-pierre

"Donc la puce T2 est une passoire ?"

C’est venu de « passe voir » ton Mac/PC/bidule, que je teste un truc…

avatar iHac 45 | 

Rien est infaillible, même les cœurs les plus dure au monde à une faiblesse ( pouvoir, argent, femme, voiture etc...) alors les cœurs des processeur sont plus faibles. Lol😅

avatar laraigneegypsymontealagouttiere | 

Challenge macgé 2022: pondre des articles avec des synonymes de malandrin 😝

avatar Smoky | 

@laraigneegypsymontealagouttiere

Alors là je valide totalement ! Depuis au moins un an on nous le sert à toutes les sauces dans la quasi totalité des articles. Comme un enfant qui découvre un nouveau mot qu’il veut absolument employer tout le temps 🤣

D’ailleurs ce mot du moyen âge est tellement vieux qu’il n’est plus employé nulle part..sauf par la rédac de MacGé et ça fait plutôt has been 😝

Aller, prochaine étape ce sera brigand ou malotru, et même pire : scélérat 😅

avatar YetOneOtherGit | 

@Smoky

« Alors là je valide totalement ! »

Ce qui n’empêche pas que c’est faux : MacGe explore tout le champ lexical du banditisme, même si malandrin est devenu un running-gag.

C’est une des qualité rare de MacGe dans le tout venant des sites d’informations tech : un véritable goût pour la langue, un jeu avec le vocabulaire et les mots, des titres digne de la grande époque de Libé…

À une époque de paupérisation du vocabulaire et du langage c’est remarquable 👍

avatar supermars | 

@YetOneOtherGit

À une époque de paupérisation du vocabulaire et du langage c’est remarquable 👍

Je souscris.

avatar YetOneOtherGit | 

@Smoky

« D’ailleurs ce mot du moyen âge est tellement vieux qu’il n’est plus employé nulle part..sauf par la rédac de MacGé et ça fait plutôt has been 😝 »

Choisi mieux tes fréquentations et tes lectures 🤓

avatar macam | 

Mieux vaut être un malotru que d'avoir malotrou.

avatar Bigdidou | 

@macam

“Mieux vaut être un malotru que d'avoir malotrou.”

J’ai mal occu, j’ai mal occu, j’ai mal;occupé ma jeunesse,
J’ai trop été, j’ai trop été dans les plaisirs,
Etc..

avatar koko256 | 

"une quinzaine de tentatives mots de passe par seconde."
OK du coup good luck avec mes Macs... Par contre pour la @mamieducantal c'est une autre affaire.

avatar Berechit | 

« L3s p0ules du couV3nt c0uvEnt ! »
Ça, sur T2, ça prend… plusieurs mots : je ne les vaut pas :)
Et il y a une règle qui permet de le retrouver :)

avatar moitoutsimplement | 

Enfin s’ils arrivent à retrouver que mon mot de passe c’est azerty, ils seront forts

avatar Khrys | 

@moitoutsimplement

Tu peux renforcer ton mot de passe assez facilement: qwerty

avatar moitoutsimplement | 

@Khrys

Je pensais sinon à azeqsd

avatar debione | 

@ Khrys:
Beaucoup trop utilisé.... qwertz est sans doute un des moins utilisé (et d'ailleurs cela m'a toujours fait rire à quel point ce clavier Suisse (qui est prévu pour le Français et l'Allemand) est infiniment plus efficace dans les subtilités de langue que le clavier officiel français)

avatar heu | 

Le jour où les gens et surtout les entreprises comprendront qu’il vaut mieux un mot de passe de 20 caractères plutôt qu’un chiffre, une majuscule et un caractère spécial… une phrase est bien plus simple à mémoriser et bien plus difficile à brute forcer.

avatar YetOneOtherGit | 

@heu

« Le jour où les gens et surtout les entreprises comprendront qu’il vaut mieux un mot de passe de 20 caractères plutôt qu’un chiffre, une majuscule et un caractère spécial… une phrase est bien plus simple à mémoriser et bien plus difficile à brute forcer. »

Si ce n’est qu’il est délicat de mémoriser de nombreuses phrases différentes pour les divers mdp et qu’en général cela aboutit à une réutilisation des mêmes phrases pour divers sites ce qui est absolument pas recommandé

Ajoutes à cela qu’une phrase choisie au « hasard » car mémorisable est bien moins aléatoire qu’on ne le pense et risque fort de se retrouver dans un dictionnaire de mdp.

Toutes les martingales sont des illusions en matière de mdp.

La solution du générateur de mdp robuste et du gestionnaire de mdp reste le meilleur compromis actuel et de loin.

avatar debione | 

@ YetOneOtherGit:
C'est une possibilité, mais c'est rare. Perso, j'utilise souvent des "phrases" mais pas écrite en langage normal.
Parce qu'il y a sommes toutes deux façons de choper un mot de passe, la première est la force brute, mais cela demande énormément de moyen, le second c'est ... ce qu'à connu Macg dernièrement, et la les générateurs de mots de passe sont aussi naze et ne protège de rien.
Perso, j'ai eu qu'un seul mot de passe corrompu, celui que j'utilise sur des sites comme ici (car cela ne change rien qu'il soit corrompu ou pas, je m'en fout), un simple 8 lettres à la con.
Je vais donc garder: "JèmLeQ2Yet" ;)

avatar YetOneOtherGit | 

@debione

"et la les générateurs de mots de passe sont aussi naze et ne protège de rien"

Mais ils permettent s’ils sont bien utilisés d’éviter le danger de ce type de situation : un même mdp utilisé sur de nombreux services.

Ce qui reste hélas une pratique trop courante.

Quant aux moyens d’obtenir un mdp tu es loin d’avoir fait un tour exhaustif.

avatar debione | 

@YetOneOtherGit |
"Quant aux moyens d’obtenir un mdp tu es loin d’avoir fait un tour exhaustif."
Force brute (avec plusieurs solutions), corrompre l'endroit ou se trouve les mdp. Pour les hacks à grande échelle, s'entends sans cibles précises... Il y en a d'autres?

Après si on vise une personne en particulier il y a d'autres méthodes basés sur les données récoltées. Bordel, le nombre de mot de passe chez des connaissances qui sont la date de l'anniversaire de junior ou carrément l'adresse... ;)

avatar YetOneOtherGit | 

@debione

"Je vais donc garder: "JèmLeQ2Yet" ;)"

Tu restes effectivement un homme de goût 🙏😉

avatar Yves SG | 

@debione

« les générateurs de mots de passe sont aussi naze et ne protège de rien. »
Ah bon pourquoi ?
Vu la longueur et la complicité des mots de passe générés et le faite qu’ils sont uniques j’aurais eu tendance à penser le contraire ?

Pages

CONNEXION UTILISATEUR