Une vulnérabilité dans macOS Monterey permet de localiser et de suivre un utilisateur de Mac M1

Mickaël Bazoge |

Oups, il y a comme un bug vraiment embarrassant dans le processus de mise à jour des Mac équipés d'une puce M1. Quand il doit se mettre à jour, macOS Monterey demande à Apple une signature de démarrage spéciale, un « ticket », auprès d'Apple. D'après la découverte de Jeffrey Paul, chercheur en sécurité, cette communication passe par une requête HTTP, donc très mal sécurisée puisqu'elle est transmise en clair, sans chiffrement.

La requête HTTP vers le serveur hôte gs.apple.com inclut l'identifiant matériel unique à 16 chiffres de la puce (ECID), qui est donc visible sans difficulté par tous ceux qui savent où chercher : n'importe qui sur un réseau local LAN, le fournisseur d'accès à internet, et bien sûr Apple.

Un malandrin qui écouterait aux portes aurait non seulement accès à ce numéro ECID, mais aussi à l'adresse IP de l'utilisateur du Mac, donc une localisation plus ou moins précise. Celle-ci s'affinera au fil des mises à jour de macOS qui tombent tous les deux ou trois mois, sachant qu'à chaque fois une requête HTTP est envoyée à Apple.

Bloquer cette connexion durant le processus de mise à jour revient à le faire planter, si on veut un Mac à jour, et donc bénéficiant des derniers correctifs de sécurité, il faut absolument que l'ordinateur envoie son ECID à Apple via ce protocole non sécurisé qui permet aux appareils dotés d'une puce ARM de démarrer suite à une mise à jour.

Cette insécurité existe sous macOS 12.3.1 — la version actuelle du système —, mais aussi sous la version précédente 12.3. Selon Jeffrey Paul, il est possible qu'iOS soit aussi concerné.


Source
Merci @kled, vignette : AltumCode (Unsplash)
avatar 421 | 

Pas glop, pas glop…

avatar Mac1978 | 

« …il faut absolument que l'ordinateur envoie son ECID à Apple via ce protocole non sécurisé qui permet aux appareils dotés d'une puce ARM de démarrer suite à une mise à jour. »

À part un contrôle à la « big Brother » de la part d’Apple, je ne vois pas bien la nécessité d’obtenir un identifiant unique, qui plus est de la puce elle-même, pour permettre un redémarrage après une mise à jour.😳

avatar marenostrum | 

je préfère ce genre de contrôle par un appareil, que par le corps, comme veulent le faire les autres.

avatar pfx | 

« N’importe qui sur un réseau LAN »… Euuh, c’est fini l’époque des HUB réseau, il faut être un peu plus que n’importe qui pour écouter ce qu’on veut sur le LAN ! ;)

avatar codeX | 

@pfx

Presque tous les switch utilisés en entreprise savent rediriger tout le traffic vers un port. C’est vrai qu’il faut un accès admin, mais bon ……

avatar marc_os | 

@ codeX

> C’est vrai qu’il faut un accès admin, mais bon ...

c'est vrai que le mot de passe admin est en général connu de tous (123456).

avatar fte | 

@marc_os

"c'est vrai que le mot de passe admin est en général connu de tous (123456)."

Ce n’est pas toujours le même hein !

Ici c’est 1234.

avatar oomu | 

@codeX

c'est vrai que ça sert à rien les mots de passe admin, les vlan d'administration, les règles de parefeu et la segmentation des réseaux d'accès en entreprise, mais bon...

(oui évidemment qu'il est possible de profiter, en théorie théorique de la théorie théoritienne, de potentiel ou hypothétique bugs permettent une escalade de chez soi jusqu'aux lanceurs nucléaires russo-américain pour faire le Grand Baoum, mais en pratique le temps du hub qui balance tout trafic sur tous les câbles est fini. L'écoute est donc un soucis mais il faut être un acteur bien placé).

avatar koko256 | 

@pfx

Surtout en wifi...

avatar debione | 

Je comprends pas l'intéret de cette connexion... excepté du data s'entend.

avatar PtitXav | 

L’adresse de localisation via IP est pas vraiment terrible. Si on utilise un VPN ça doit la masquer un peu , non ? De plus quand on passe par le mode modem de son tel, c’est en général absolument pas précis (pas la bonne région et plus de 500 km d’écart).
🤓

avatar David Finder | 

@PtitXav

Surtout si on a activé l’adresse wifi privée et la fonction de limite du suivi de l’adresse IP, en choisissant le pays et le fuseau horaire, et non pas la région.
Ça devrait quand même limiter l’accès à la position du Mac, même après plusieurs mise à jour, et sans abonnement VPN.

J’imagine que ce n’est pas à la portée de tout le monde, et que pour vouloir exploiter cette faille, il faut vraiment cibler le Mac de quelqu’un de précis (quelqu’un qui détient des infos confidentielles par exemple).

Je pense que l’utilisateur "moyen" n’a pas grand chose à craindre de cette faille, non ?

avatar fte | 

Je vois vulnérabilité, je ne dis que ça doit être subtile et pas évident à reproduire… puis je lis l’article… et je me dis : oui, vraiment, quelle bourde crétine, comment un point aussi évident a pu passer la rampe ? Il y a véritablement un problème de culture sécuritaire chez Apple, ou d’inculture devrais-je dire.

Enfin bref. Ça sera fixé dans un mois ou deux.

avatar MGA | 

Avez vous une idée de ce qui a pu pousser un développeur à échanger des données d’identification en clair ? C’est quand même assez basique comme concept qu’on ne transmet jamais rien en clair sur un réseau, non ?

avatar marc_os | 

@ MGA

Le stagiaire du coin.
Un truc temporaire oublié...

avatar MGA | 

@marc_os

Les trucs temporaires qui ne tiennent pas la route sont un problème dans tellement de métiers…C’est possible, mais ont-ils conscience que sur certains sujets il n’est tout simplement pas possible de raisonner ainsi ? C’est véritablement un problème de culture… alors que l’informatique est de plus en plus encrée dans le quotidien et collecte tout sur nos vies réelles il va bien falloir que les développeurs prennent leurs responsabilités.

avatar oomu | 

@MGA

la peur de l'échec de la négociation de chiffrement/certificat qui rendrait l'opération bloquante ?

-
le mieux serait pour Apple et l'ensemble de l'industrie, que ce genre d'usage d'ID et vérification soient illégales. Une approche simple : on fait po, donc po de bug ou fuite d'information.

"quand on fait po, y a po"

avatar marc_os | 

« Celle-ci s'affinera au fil des mises à jour de macOS qui tombent tous les deux ou trois mois, sachant qu'à chaque fois une requête HTTP est envoyée à Apple. »

Belle affirmation. Si vous le dites.
Mais permettez moi d'en douter fortement vu qu'il y a fort à parier qu'Apple va corriger la chose. Non ?

avatar Crunch Crunch | 

L'informatique est devenue trop compliquée pour moi…
Je suis désormais un "simple" utilisateur. Les admin réseaux sont des demi deux à mon sens, et je les laisse faire leurs jobs !

Merci à vous les gars 😉

avatar r e m y | 

Des demi deux.... ça doit être des Huns, non? 🤔
Attila, le retour!

avatar iluro_64_Clubigen | 

Très mauvaise note pour la sécurité tant vantée comme étant la toute première préoccupation d'Apple. Différentes hypothèses possibles de cette énorme bourde :
• Monumentale erreur de conception
• Contrôle qualité à mettre en cause
• Pas de prise en compte d'alerte

avatar d9pouces | 

Il faut tout de même relativiser très largement la portée du problème.
Concrètement, il y a plusieurs cas :
- soit l'attaquant a un accès complet sur une infrastructure de FAI et sera capable d'avoir l'adresse IP des numéros de série des Mac (mais sans avoir la moindre info sur l'utilisateur ou l'utilisation !) quelque fois par an. Autrement dit, absolument peanuts par rapport à ce qu'il pourrait obtenir via les visites de sites web en clair (oui, ça existe encore). Et si l'attaquant connaît déjà le numéro de série de votre Mac, il y a fort à parier qu'il connaît déjà votre localisation…
- soit l'attaquant est sur le réseau interne (d'entreprise ou de la maison) de la personne concernée… bah dans ce cas, honnêtement, le problème de la localisation ne se pose pas tellement vu qu'il la connaît déjà.

Bref, dans tous les cas, c'est quand même pas grand-chose…

CONNEXION UTILISATEUR