Chouette je me souvenais plus de mon mot de passe :D

Tiens un sujet idéal pour lancer un sondage. C'est quoi votre mot de passe d'ouverture de session ?

En lisant l'article original je constate que les chercheurs n'hésitent pas à utiliser du Nitrogen liquide pour tester la sécurité des ordis : "To extend the life of stored bits with the power removed, the temperature should be dropped below -60 degrees C. Such cooling should lead to weeks, instead of hours or days, of data retention."
Il s'agit de bits stockées dans les mémoires vives.

Je trouve quand même étonnant qu'Apple ne se soit pas rendu compte de ce problème avant : ça semble si évident et si simple.

Mince alors,

Depuis des années que je prêche la sécurité des OS Apple vs Windows, mes amis commencent à switcher depuis 1 an assez franchement et là, on commence à trouver des failles de sécurité en pagaille dans OS X!!! (et pas petites pour le coup).

Attention, Steve, Innovation et Design ne sont que 30% de ce qui me/nous fait utiliser des Macs. La Stabilité de l'OS des Appli et la Sécurité vis à vis des Virus et autres joyeusetés.

En tout cas c'est bien de reconnaitre le problème.
Un peu de transparence ne fait pas de mal.

Si il faut un accès à la machine, il n'y a qu'à fermer sont appartement à clé !!!

Et si on a activé la mémoire virtuelle sécurisée, cela change quelque chose ?
Ou c'est la swap ?

Attention ! Gros problème de sécurité de Mac OS X découvert !
Pas besoin d'être un geek, ni d'utiliser le terminal !
Un DVD d'installation de Mac OS X suffit à réinitialiser les mots de passe...
Pourquoi faire des trucs compliqué...

tines 30% comme le montant pour les iPhones...

tiens, ca n'a rien a voir avec la news,

tiens , je sors !

J'ai peur !

Hypothèse 1 : quelqu'un a mon mot de passe, il peut s'identifier sur mon ordinateur et flasher ma mémoire vive pour trouver mon mot de passe.

Hypothèse 2 : quelqu'un attend que j'allume mon ordi et que je parte aux toilettes pour flasher ma mémoire vive.

Eureka : c'était ça le mec dans le placard...

De toutes manières, une fois qu'on a accès à la machine, le simple CD de Leo posé à coté de nos mac permet de reinitialiser les MDP, alors...

Oui enfin il faut quand même avoir accès à la machine et qu'elle ait été démarrée aupréalable par le propriétaire.
On a trouvé une autre faille si un intrus regarde par dessus votre épaule il se paut que votre mot de passe reste coincé dans une série de ses neurones que LoginWindow.app n'efface pas quand vous vous retournez...

Désolé, mais quand je vois le b.... que me mets un antivirus comme norton sur XP quand il arrive a expiration, je préfère une fissure comme celle ci sur mon mac...

Il intéressant de voir que quasiment toutes les failles trouvées sur OSX nécessitent un accès physique à la machine et pour une large majorité un accès physique loggé... Je peux aussi avec un tournevis ouvrir la machine et piquer le DD, ou bien mettre un DVD d'install et changer le mot de passe.. et la je vous garantis que j'aurais accès a toute votre machine sauf si votre compte est en Filevault..

GillesB

Tout ça ne serait pas arrivé si Amelio avait été subjugué par Gassée plutôt que par Jobs... et sa vieille merde de NeXTStep, lourd, lent, et incroyablement bordélique... Je mets ma main à couper que certaines parties de l'OS n'ont pas été retouchées depuis des plombes parque les gars qui les ont écrites il y a 20 ans doivent être morts ou bien loin d'Apple...

Truc donné par Apple (en anglais, je ne sais pas si j'ai bien traduit) :
Il suffit de déclipser les touches du clavier une à une et de les remettre en place aléatoirement.

@ Feroce : Entre Windows NT et Be OS, je préfère quand même NeXT...

@ kubernan

Nitrogen = Azote en français (symbole "N" dans le tableau de Mendeleev)

:-)

C'est vrai que ça semble assez simple à corriger et assez incroyable que ça n'ait pas été détecté/modifié avant.

Mais comme le remarque NoNo_01 et Louhac, la meilleure protection c'est de ne pas laisser l'accès physique à la machine, qui plus est loggée, à n'importe qui. Comme toujours quand on s'occupe de sécurité, on remarque que tout le monde se focalise sur les hackers, les failles dans Quicktime etc., mais laisse trainer ses papiers confidentiels sur son bureau le soir en partant avant l'arrivée des nettoyeurs, employés inconnus d'un sous-traitant non contrôlé, voire note le code de l'alarme dans son agenda papier perso.

Maintenant, se protéger contre le démarrage depuis le CD d'installation, c'est très facile à faire avec le programme Open Firmware Password qui se trouve sur le DVD d'insatallation de Leopard. Attention, le bougre est invisible et il faut d'abord rendre visible tous les fichiers avec un utilitaire type TinkerTool, Cocktail,... On se demande d'ailleurs bien pourquoi il est rendu invisible par Apple.

Enfin, en plus de l'Open Firmware Password, il reste FileVault à activer sur tous les portables si facilement perdus ou volés par les commerciaux en voyage.

@McRoger

Merci, je me suis cru un moment dans une mauvaise adaptation française d'un film américain...

Oh, mon DIEU!!!!

D'après l'article:
~
~ Apple has confirmed a security glitch that, in many
~ situations, will let someone with physical access to
~ a Macintosh computer gain access to the password
~ of the active user account.
~

Si quelqu'un peut accéder physiquement à une machine, alors il a déjà gagné: il suffit de booter en single user mode... Dans le pire des cas, l'attaquant peut repartir avec le disque dur dans la poche...

nona

ce genre de techniques ("je te vole ta ram illico pour l'analyser, haha tu as rien vu, c'est parce que je suis discret moi et ma glacière") marche à plusieurs niveaux sur windows et linux. vu que vous ne pouvez pas réalistement espérer que l'ordinateur va traiter votre mot de passe sans le .. heu.. traiter en ram.

de plus, en considérant toutes les techniques d'obfuscation, ce que vous tapez au clavier passe quelque part. suffit de voler ce quelque part et de l'étudier. Le système doit oublier le + vite possible, mais le risque théorique existe toujours.

--
enfin, pourquoi se prendre la tête ? un ptit virus dans votre ordi, et hop je reçois le mot de passe que vous tapez par le net. depuis mon salon, au chaud sans glacière.
accessoirement, donnez moi votre ordi, même le plus délirant unix de la nsa, j'obtiens ces données. ho si vous avez tout crypté, ca prendra son temps, mais j'aurais ses données. d'ailleurs j'aurais jeté l'ordi et gardé juste le disque dur.

enfin bon bref, oui les ordis ça craint :)

[quote]Depuis des années que je prêche la sécurité des OS Apple vs Windows, mes amis commencent à switcher depuis 1 an assez franchement et là, on commence à trouver des failles de sécurité en pagaille dans OS X!!! (et pas petites pour le coup).
[/quote]

Il y a des trucs aussi honteux sur les autres OS. La dernière en date permettait à n'importe quel utilisateur de passer root sur linux avec un kernel 2.6 ...

La différence c'est que la plupart du temps sur unix, ces failles sont uniquement exploitable en local, alors que ce qui a fait la renommé de windows, c'est le même type de faille mais exploitable à distance (donc causant bcp de dégats).

@Feroce : NeXTStep une vieille merde bordélique et lente ! Navré mais si aujourd'hui Apple est de nouveau en haut de l'affiche c'est grâce à Jobs et à NeXTStep. Je connais bon nombre d'amoureux de Mac (entreprises, chercheurs, etc...) qui comme moi ont zapé sur NeXT dès le début et sont revenus ensuite à Mac dès l'apparition d'OSX, copie conforme et fabuleuse de ce que certains ont connu et pratiqué pendant des années avec des stations NeXT.
Je souhaite à beaucoup d'être capable de sortir des vieilles merdes comme ça…

@free00,

Le principe du sondage étant d'être basé sur un QCM, on connaît par avance le résultat d'une question aussi explicite que "Quel est votre mot de passe ?"
...
Autre : 100%

Et si un fou s'amusait à prévoir toutes les réponses possibles..... Ce serait le plus long sondage jamais lancé par MacGé, je pense très boulimique en bande passante, en mémoire et surtout en longueur de pages... :p

Pas la peine de vous exciter comme des puces, ce sont des dizaines de failles qui sont trouvées tous les jours sur les SE et applications ...

http://www.frsirt.com/bulletins/

Les SE et applications d'APPLE inclus..