Le Mac se sent moins seul

Christophe Laporte |
Après le Mac (lire notre une : Un MacBook Air hacké en deux minutes), c’est au tour du portable Fujitsu U810 sous Windows Vista d’avoir cédé face aux assauts répétés des hackers.

Hier, ils avaient le droit d’installer sur les ordinateurs n’importe quelles applications à partir du moment où elles étaient jugées populaires par les responsables du concours.

Shane Macaulay a exploité une faille de la dernière version de Flash. Il repart donc avec le Fujitsu et un chèque de 5000 $. Le portable sous la distribution Linux Ubuntu tient toujours.

Le concours est organisé selon plusieurs paliers de difficulté. À la différence du Fujitsu, le MacBook Air avait cédé lors d'une épreuve où les hackers n’avaient le droit d’utiliser que les applications livrées avec le système. Et lors de la toute première journée ils n’avaient pas d’accès physique aux trois ordinateurs.

Les machines utilisées sont un VAIO VGN-TZ37CN avec Ubuntu 7.10, un Fujitsu U810 avec Vista Ultimate SP1 et un MacBook Air avec Mac OS X 10.5.2.


avatar Un Vrai Type | 

@ robrob:
Exact, mais il en lui a pas demandé QUE de visiter un site.
S'il a du cliquer sur "Ouvrir l'application" ou valider un certificat java inconnu, cela relativise la faille (tout comme les failles sous OS X.2 qui exécutaient une application téléchargée sans avertissement, c'est bien une faille, mais de l'utilisateur, pas de l'OS) .
Par contre s'il a réussi à avoir accès au disque dur via javascript, une applet java etc.. (normalement impossible) il y a un énorme problème mais que QUE dans safari.
Entre les 2, il peut y avoir un problème dans Keychain par exemple.

Mais ce qui est surprenant, c'est qu'il a pu lancer un accès à distance (alors que par défaut, ils sont tous inactifs dans Mac OS X. Selon le processus, c'est aussi potentiellement une faille de tous les BSD.

Bref, si l'opérateur n'a pas fait d'autres manipulations que de visiter un site web, ce bug est aussi grave et "pathétique" que les .jpeg corrompu sous Windows XP. Même si on execute du code dans une page web, il ne reste pas que la règle est l'interdiction absolue de récupérer des informations sur l'ordinateur.

Il me vient immédiatement une autre piste, le support partiel de HTML5 qui prévoit un accès restreint à l'ordinateur...

avatar Un Vrai Type | 

"mais que QUE" -> Mais pas que.

avatar Mac1978 | 

http://www.letemps.ch/template/economie.asp?page=9&article=228747

Pour ceux qui veulent lire un compte rendu intéressant sur Black Hat, la réunion des hackers à Amsterdam.

avatar aurel74 | 

Faut relativiser tout ca quand même, comme le dit l'article, le concours était organisé en plusieurs paliers. Mais comme la faille sous windows provient de Flash et que ca doit-être une des premières chose que l'on ajoute quand on installe windows, les deux systèmes ne sont pas plus sécurisés l'un que l'autre. A la différence que la faille de Safari sera sans doute comblé par Apple relativement rapidement. Alors que Microsoft est dépendant de la bonne volonté d'Adobe...

Sur 2 bécanes normales, les 2 systèmes n'auraient pas tenu plus de 5 minutes.

avatar Brewenn | 

[i]"Le pirate faisait ce qu'il voulait de mon Mac"[/i].

Victime d'un pirate particulièrement doué, un lecteur de SVM Mac raconte en détail son inquiétante mésaventure....!

avatar Le docteur | 

@BeePotatoe
Tu peux aussi ajouter la question : "est-ce que ce serait arrivé sur un Mac à base de PowerPC (avec le même Leopard et le même Safari) ?". ;-)
Et la réponse : rien n'est moins sûr...

--> Oui, il n'aurait pas démarré :D

avatar Brewenn | 

Et bien, Messieurs si vos activités sont dans la sécurité informatique, en cas de problèmes vos clients auront toujours la ressource de vous poursuivre pour [i]négligence professionnelle[/i]....! :((

avatar Un Vrai Type | 

@ Brewenn:
C'est toi qui affirmait qu'il fallait un anti-virus pour se protéger des failles hier, non ?
Juste LOL.

avatar Brewenn | 

@u "bredaud"
Non je conseillais à quelqu'un de conserver son anti virus, (je n'ai jamais dis qu'un anti virus protégait des failles).
J'ai remarqué qu'au fil des posts, sous vos différents pseudos vous me faites souvent tenir des propos que je n'ai pas tenus.

avatar Un Vrai Type | 

@ Brewenn :
Je n'ai qu'un seul pseudo, que ça te plaise ou non.
Et désolé de jouer ton jeu :
"Alors que les deux spécialistes en sécurité que sont, Jerry Khan et Un Vrai Type nous confirment l'impossibilité d'exploiter ces failles. "
J'ai dis ça où ?

Au revoir :)

avatar Brewenn | 

@u "bredaud"
[i]Bref, inutile de spéculer à l'heure actuelle, puisque la faille est inexploitable sans manipulation volontaire de l'utilisateurs.[b]?[/b] La vraie question est quelles manipulations ont été demandées...[/i]

avatar fde | 

Je me répète, mais ce qu'il faut savoir aussi, c'est que le bon vieux Charlie Miller a déclaré avoir choisi de hacker Mac OSX "par facilité" car, selon lui, "[b]quand [il] cherche une faille sous Mac OSX, [il] en trouve une[\b]", ce qu'il ne se permet pas de dire pour Vista et Ubuntu.

Et ce n'est pas juste un trolleur, puisque lui-même est un Mac user. Il y a tout de même un minimum d'introspection à faire de ce côté chez Apple, pour que la phrase "Mac OS X est un système sécurisé" devienne une vérité et plus seulement un slogan marketing.

avatar Un Vrai Type | 

@ Brewenn :
LA faille.
Unique,
Celle du sujet de la news.

Apprend à troller, parce que tu pêches un peu en ce moment, malgré que tu brasses beaucoup.

avatar Brewenn | 

@u "bredaud"

[i]LA faille.Unique, Celle du sujet de la news.[/i]

[url=https://www.macg.co/unes/voir/127098/un-macbook-air-hacke-en-deux-minutes]C'est bien de celle la dont vous parlez comme inexploitable[/url]

avatar Brewenn | 

[url=http://fr.wikipedia.org/wiki/Méthode_Coué]Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable . . . . [/url]

avatar bugman | 

Bon, allez stop maintenant, vous mettez vos pyjamas et au lit !

avatar Mc-aïe | 

@ Brewenn
très bon la methode coué..!

Encore une fois, la plus part d'entre vous ont le jus qui rentre dans les chaussettes..!

Pour se servir d'une faille sous safari, en deux minutes, il faut déjà savoir que celui-ci possède une faille
Ce qui implique d'être aux faits, et de travailler pas mal de temps à réfléchir à la solution de l'exploiter..

Alors si en plus on a accès à la machine, deux minutes c'est déjà trop long...!

Conclusion, ce hacker connaissait déjà la faille, et savait déjà comment faire pour l'exploiter..

C-tout

avatar Mc-aïe | 

Mais comme toutes application qui rentre sur le réseau est susceptible d'avoir des failles, ils suffit d'être prudent, et de bien configurer son système, mise à part celà, toujours pas de virus connu à ce jour.

Tiens, mettons plutôt un prix de 50 000 $ au premier qui fera un virus pour mac..!

La ce serait du SPORT !

avatar Gabone | 

alors les adolescents on fait mumuse !!!!

avatar pacou | 

Euh ... juste une question là sur le vif : vous n'allez pas refaire 15 pages ou plus de commentaire sur cet article qui n'est que la suite d'un autre?

Et puis le p'tit père Brewenn de mes deux, là, faut qu'on le trouve physiquement et qu'on lui foute une branlée pour qu'il comprenne qu'il nous emmerde?

JE DEMANDE AUX MODERATEURS D'ARRETER CES FILS DE DISCUSSION SANS FIN, MAIS SANS SUCCES. PEUT ETRE QU'ECRIVANT EN GROS DANS LE FIL LUI MEME ILS VONT COMPRENDRE QU'IL Y A NECESSITE DE LE FAIRE ...

avatar Brewenn | 

@pacou
Menaces verbales, intimidation sur le Net contre une personne se contentant de dénoncer la stupidité de certains [i]im[/i] posteurs voués "corps et âmes" à la cause APPLE, n'admettant pas que l'on puisse dire que la plate-forme APPLE est aussi sujette à des failles [i]comme les autres[/i], il suffit de voir les [url=http://www.google.com/search?as_q=&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=OS+X&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]correctifs[/url] régulièrement publiés par APPLE.

Je vous conseillerais donc d'éviter ce genre de menaces, qui ne pourrait que vous apporter des [url=http://www.legifrance.gouv.fr/]ennuis[/url], sans compter les soucis et tracas au diffuseur de vos menaces.

Je ne suis peut être plus en activité, mais je possède encore un carnet d'adresses actif, et deux ou trois coups de fil à quelques administrations pourrait rapidement vous ramener à des propos plus modérés. :)

avatar Un Vrai Type | 

@ Brewenn:
Dépôt de plainte pour insulte en public déposé ce matin à 9h30.
Bon courage pour la suite.

avatar BeePotato | 

@ Le docteur : "--> Oui, il n'aurait pas démarré :D"

Euh... j'ai pas saisi la blague, là... :(

avatar BeePotato | 

Et ça y est, Brewenn est reparti avec "APPLE"... Ce n'est qu'un détail, mais à la longue presque aussi agaçant que toutes les inepties qu'il nous sort.
Ce serait pas mal qu'il profite de sa retraite pour aller prendre quelques cours. En plus, ça l'occuperait et peut-être que du coup il passerait moins de temps à poster des brewenneries. ;)

avatar Brewenn | 

Si c'est comme pour vos affabulations, pas prêt de voir la suite :)

avatar Mickjagger | 

[quote]"Brewenn [29/03/2008 16:28]

"Le pirate faisait ce qu'il voulait de mon Mac".

Victime d'un pirate particulièrement doué, un lecteur de SVM Mac raconte en détail son inquiétante mésaventure....!"[/quote]

T'es gentil tu te répètes, t'as déjà publié ça dans les comms y'a 1 semaine ou 10 jours...
T'as une liste de copier-coller ou quoi?!
Surtout que le blaireau de SVM Mac, il a constaté une faille en allant sur un site de rencontres "à caractère sexuel" comme le dit pudiquement le magazine... Et en gros il a utilisé Flash qui lui demandait d'allumer sa webcam (même le cybersexe n'est pas sans risques... ;)
Et puis il avait pas mis de mot de passe à son ordi, etc etc
Le plus drôle étant que le mec est censé être quelqu'un qui bosse dans la sécurité informatique.

avatar pat3 | 

Rigolo ce fil; ce qui a de bien avec les dimanches, c'est qu'on peut prendre le temps de lire ce genre de fil et d'en rire ;-)
Ça fout tellement un coup cette annonce au discours Apple que peut des contributeurs sont allés vérifier la procédure du concours. De plus, les informations les plus cruciales ne sont pas divulguées, ce qui fait que l'essentiel des réactions sont épidermiques. Enfin, le VRAI gagnant de ce concours, c'est clairement son organisateur, qui tous les ans crée un buzz formidable sur une information totalement inexploitable. Décidément, avec l'avènement d'internet, on vit de plus en plus dans un vaporworld…

avatar pacou | 

@Brewenn
VOS menaces et insinuation ne me font pas peur.

Par contre vous nous emmerdez, ça c'est vrai. Et puis le Mac pas sûr et tout, dont acte. On attend les réponses par patches et autres correctifs.

avatar Brewenn | 

@pacou

Aucune menace dans mes propos, juste une mise en garde, d'ailleurs je suis étonné du fait de votre profession, que vous vous laissiez aller à de telles dérives verbales.

Quand à ma liberté d'expression, si elle vous dérange parce que je [i]mets le doigt la ou ça fait mal[/i] ... ne consultez pas le blog ! :)

avatar revol | 

FabriceG : oui, certes ce n'est pas l'OS qui a été cracké directement mais Safari... Mais le résultat pour Apple c'est qu'un produit Apple a été cracké pour pénétrer FACILEMENT OS X.

Alors que dans le cas de Windows, c'est un produit ADOBE qui a été utilisé (et il est d'ailleurs possible que les crackers aient également pu utiliser la même faille côté Mac OS X s'ils n'avaient pas pu cracker si vite via Safari.)

Ubuntu tient toujours... Est-ce qu'il y a Flash installé?? (Et dans la même version!)

La seule et triste conclusion, c'est que derrière un discours médiatique et tapageurs, Mac OS X et Safari détient la palme du couple OS / Navigateur les moins fiable du marché.

On ne le dira jamais assez : GET FIREFOX !

avatar Almux | 

Le "problème" ici, c'est qu'il fallait venir avec un hack "nouveau", donc:
• Tous ceux qui existent sous vista et Linux sont exclus d'office, même s'ils ne sont pas "patchés".
• Il était couru d'avance qu'Apple serait LA cible, parce que Apple agace terriblement l'industrie et les PC geeks avec sa montée en force.

Donc, à part quelques arguments balancés pour faire baisser le chiffre d'affaire d'Apple pendant quelques semaines, il n'y a pas de quoi s'en faire. Aucune comparaison possible avec le déclin irrémédiable de M$, par exemple...

avatar Almux | 

Aah! Encore une chose:
@revol (entre autres)
Dans quelques jours "ON" apprendra que linux est un véritable Emmental bouuré de failles "SURTOUT" sous Firefox 3 et (mais cela on le sait déjà) qu'une centrale de serveurs sous windows (XP ET vista) est tombée sous le contrôle de hackers sans scrupule...
Tout le monde se crêpe le chignon et essaye d'arracher les yeux des autres... dans ce domaine et dans bien d'autres ;)

avatar james85 | 

Si je comprends bien Safari est moins sûr qu'IE, sauf si on installe y installe Flash.

Et je ne comprends pas bien les réactions légèrement paranoïaques "ils ont fait exprès de s'acharner sur Mac OS X". Ce sont des réactions argumentées ou de simples envies que cela se soit passé comme ça ?

avatar ziedjo | 

Juste comme ça, mais ça ne viendrai à l'idée de personne de penser que Charlie Miller est tout simplement meilleur que ses confrères ? Ceci expliquerai aussi cela. Pour comparer, ça aurait été bien que ce soit la même personne qui fasse le test sur les trois machines et qu'il dise sur laquelle ça a été le plus simple finalement...

avatar Niejcas | 

brewenn..

Tu troll mal. Pas la peine de nous la jouer "ho vous m'insultez alors que je fais que donner mon point de vue" quand on pretend faire la chasse aux cons, merci bien.

Pourquoi macgeneration ne réagit pas? Ça leur fais des sous?

avatar Nicosun | 

A distance il n'y est pas arrivé, il aura fallu donc un contact physique

contre la seconde attaque je vous conseille un logiciel très performant : "barre de fer en travers la gueule" disponible chez tout les bon quincaillier du coin

avatar CF_melo | 

Brewenn, bien dit :)

Mais dès que quelqu'un est objectif et anti-con prétentieux et communautaristes, il est anti-mac, c'est bien connu.

avatar Brewenn | 

Non non j'ai bien un Macintosh (marguerite) sous OS X.4 de marque APPLE

Et je ne me fais aucune illusion sur la [url=http://www.sound-fishing.net/bruitages/rire/Toy%20.wav]sécurité[/url] des OS, des applications, des drivers et autres utilitaires.

Mais après plus de 40 ans dans les NT, on ne peut être que réaliste :)

avatar Aekold | 

Ce qui est étonnant dans ces commentaires c'est le parti prit de tout un chacun. Ce qui semble clair, c'est que tout OS, aussi bien conçu soit-il, est et restera faillible. Qu'on soit sous linux, osx ou windows, le problème reste entier.

Le seul constat qui peut être fait, tant au niveau de MS qu'au niveau d'Apple, c'est leur force marketing à vanter les mérites en terme de sécurité de leur protégé. Et c'est de là que proviennent les polémiques. Pour preuve, Miller utilise une faille d'un produit apple pour contrôler OSX.

Pour ce qui est des autres systèmes basés sur Unix (Débian, Ubuntu, Fedora...) les développeurs mettent en avant le côté libre de la distribution. Quel intérêt pour un hacker de dire : j'ai hacké un système libre. Enfin, soit dit en passant, une Débian est forcément plus sûre qu'OSX ou Vista tout simplement car la personne qui l'installe, le fait de A à Z. On a un contrôle entier sur son installation, c'est aussi pour ça qu'il est plus difficile de hacker un "linux", vous ne pensez pas ?
OSX qui est lui aussi basé sur un Unix, reste un "operating system" basée sur une solution clé en main pour l'utilisateur lambda. C'est pareil pour Windows.

Après, et c'est mon avis personnel, je continue à penser que pour le moment OsX reste plus sécurisant que Windows. Pas d'antivirus à installer, le firewall de base est, selon moi, assez bien conçu et permet de contrôler la sécurité de sa machine très facilement. Et l'utilisation de tout les jours est la plus intuitive que j'ai pu rencontrée jusqu'alors.

avatar Hindifarai | 

Informations pour ceux qui ne comprennent pas qu'ubuntu ne tombe pas malgré la faille flash, c'est tout simplement parce qu'ubuntu par défaut installe firefox avec gnash comme extension pour les anims flash, si l'utilisateur veut utiliser le plug-in non free d'adobe il doit l'installer de son propre chef.
Installer flash non libre pour regarder des sites ne s'en servant que comme conteneur bitmap dans 98% des cas est une abération...à quand la mort du flash j'ai hate!! La plupart des pseudos designers ne savent pas l'utiliser à 20% de ses capacités et pourraient faire bien mieux sans.

Brewenn faîtes attention vous vous répétez et ne retenez pas les remarques que l'on vous fait mêmes quand elles sont constructives : comme je vous le disais il y a quelques jours discerner applications drivers et utilitaires fait vraiment tâche pour quelqu'un se voulant donneur de leçon en sécurité système faîtes un effort dans votre jeu de rôle sinon ça n'a plus grand interêt...ou bien il y a également l'option qui est de lire les pages des liens que vous vous amusez à donner, et pourquoi pas à essayer de les comprendre(je suis sur qu'avec quelques efforts vous en seriez capables)

Pages

CONNEXION UTILISATEUR