Débats sur la mise à jour de sécurité d'Apple

Florian Innocente |
Une semaine après avoir distribué une série de correctifs pour des failles de sécurité dans Mac OS X, Apple est toujours critiquée pour son peu d'empressement à avoir corrigé l'une d'entre elles et par ce qui semble être un travail à moitié fait.

A l'origine, une faiblesse dans tous les serveurs DNS qui permettait à des tiers d'écrire de fausses données dans leur cache et de détourner ainsi un internaute vers un site malintentionné, alors même qu'il avait saisi la bonne URL.

Il y a quelques temps une réunion secrète chez Microsoft avait réuni les principaux acteurs concernés, dont Apple. Première critique, cette dernière a tardé à apporter les corrections nécessaires à Mac OS X alors même que tous les participants s'étaient mis d'accord pour agir vite, et surtout de concert, afin de ne laisser aucune opportunité pour des pirates d'exploiter cette disposition des serveurs.

Plusieurs spécialistes en sécurité (ISC ou encore nCircle) s'étonnent qu'Apple n'ait finalement amendé que Mac OS X Server alors que la version cliente n'a pas été modifiée à l'identique. Elle n'utilise donc pas les paliatifs trouvés.

Pour Dan Kaminsky qui avait découvert ce problème, la lecture de la situation est différente. Il convient de lâcher la grappe à Apple qui a fait le plus important. Et même si la version cliente de Mac OS X peut présenter des risques ce n'est que dans des situations très particulières et qui n'appellent pas une réponse urgente. A noter que sur Mac OS X Server comme sur le client le serveur DNS est désactivé par défaut. Et les Mac ne sont probablement pas les plus nombreux dans la population des serveurs DNS…

Des débats, très techniques, se poursuivent ainsi entre ceux qui estiment qu'Apple n'a pas fini le travail et les autres pour qui l'essentiel a été fait, même côté client où les risques sont mineurs. En outre, par définition, ces machines ne sont pas prévues pour faire office de serveur DNS.

Enfin, ces échanges nourris et bruyants ne rendent que plus notable le silence d'Apple sur la question. Ce faisant elle laisse s'instaurer un climat de suspicion alimenté par des arguments pas nécessairement pertinents mais qui peuvent trouver un écho en l'absence de mise au point ferme et précise.

Sur le même sujet :
Pourquoi Apple n'a toujours pas mis à jour Bind
Apple tarde à mettre à jour BIND
Le jour où le Net s'écroulera

avatar marabouma | 
Cette mise a jour a mis un sacré boxon dans mon macbook
avatar Florian Innocente | 
Il fait serveur de boxon maintenant ?
avatar pommefred | 
J'imagine qu'il doit y en avoir beaucoup des serveurs DNS qui tournent sous Leopard !...
avatar jeff34 | 
Oui mais. Le principe de précaution, ils connaissent pas chez Apple. Je ne connais rien en serveurs DNS, alors je reste dans un climat de suspiscion. N'y a t'il vraiment aucun risque ? Honnêtement je n'en sais rien. Hein Apple ! Une p'tite com' ca rassurerait !
avatar kisco | 
pour faire serveur de boxon avec OS X c'est suffisant ou OS X Serveur est obligatoire ?
avatar Hindifarai | 
Le délai pour osx server est compréhensible, ils voulaient inclure ce correctif dans une grosse mise à jour et ne voulait pas l'isoler. AMA c'est peu judicieux, mais ça reste compréhensible. Les admins s'occupant d'un serveur tournant sur osx server en tireront les conséquences, mon opinion est dorénavant bien forgée, je ne la développerai pas ici je l'ai fait bien assez de fois. La seule question qui reste en suspens est pourquoi avoir restreint ce patch spécifique à osx server? Le parc restant n'en a pas un besoin fondamental c'est un fait, mais pourquoi ne pas l'avoir couvert? Plusieurs réponses peuvent suivre comme le manque de développeurs, le jemenfoutisme sur la politique de sécurité, une non urgence mais c'est prévu pour la prochaine mise à jour...personne n'en sait rien et c'est là que le bât blesse, la communication d'Apple est bien plus volubile lorsqu'il s'agit de marketing et c'est dommageable.
avatar treizep | 
@marabouma Un macbook avec Leopard serveur ?
avatar pommefred | 
Pour rappel : un serveur DNS, tout le monde n'en a pas chez soi ! Il n'y a que les FAI (Fournisseurs d'Accès à Internet) et les grands comptes qui en disposent ; et, très sincèrement, tous les serveurs DNS tournent sous un Unix X ou Y ou un Windows Server, mais certainement pas sous un Mac. Enfin, c'est mon avis. Je dirais donc qu'il n'y a pas (eu) de danger, mais que Apple aurait tout de même dû réagir un peu plus vite (juste une communication aurait suffit).
avatar Cactaceae | 
Apple travaille en interne sur une app top secrete nommée "iTalk"… pour enfin communiquer en dehors des keynotes.
avatar marabouma | 
macbook avec tiger :@
avatar spleen | 
Pommefred : très juste. Si UN client a un serveur Apple comme serveur DNS, il est prié de se faire connaître au plus vite. Mais dès qu'il s'agit d'Apple, certains voudraient nous faire croire que la planète entière est inféodée à iPapy. Donc, comme d'hab, une tempête dans un verre d'eau. "du buzz, encore du buzz, toujours du buzz". Avec de bonnes et de mauvaises nouvelles, tout est bon à prendre, l'essentiel étant d'occuper le terrain, y compris avec des conneries. C'est tellement énorme que ça en devient grotesque...
avatar jerome74 | 
@pommefred beaucoup de petites boites ou même de gérants de sites indépendants utilisent un DNS. Et bien sûr, certains le font avec un Mac OS client, ne serait-ce que parce que la version srever ne tourne pas sur un Mac mini, par exmple. Et puis zut, si Apple a choisi de fournir un serveur DNS dans Mac OS client, c'est bien pour qu'on s'en serve non?
avatar Mac1978 | 
Apple est simplement rationnelle. Combien de serveurs DNS tournent sous MacOS X 10.4.11 à 10.5.4 (et pas la version serveur) ? La réponse est 0. Pourquoi attribuer des ressources à un faux problème, alors qu'on en a des vrais (MobileMe par exemple). Ceci dit, ils devraient communiquer là dessus, c'est sûr. La petite part de marché d'Apple est souvent avancée - pas toujours à tort - comme une faiblesse. Mais lorsque c'est en fait une force, Apple ne devrait pas en tenir compte ?
avatar popey | 
Le fait que mac OS X serveur n'est pas l'OS serveur le plus utilisé est certain. Néanmoins, un admin système qui hésiterai à mettre un tel serveur dans son infrastructure ne pourrait que être inquiété par ce délai à corriger des failles sévères. De mon côté, je continuerai à conseiller du linux, avec parmi mes arguments la réactivité lorsqu'un problème est découvert. Bref, cette absence de réactivité et de communication est un bâton que Apple mets dans ses propres roues. A l'heure où ils font des appels de pieds à l'entreprise (cf iPhone avec support d'exchange), c'est vraiment pas très rusé ...
avatar Hindifarai | 
Essayez de vous imaginer le travail nécessaire pour porter un patch d'osx server vers osx standard...patch léger en taille comme celui-ci...c'est tout sauf énorme. Dès lors je réitère ma question : Pourquoi ne pas l'avoir proposé à osx standard? Les réponses du genre personne n'utilise BIND sur osx standard est un non-sens total, autant le supprimer du système sinon il n'y a aucune cohérence. Pour ce qui est du soit-disant buzz, la faille est présente(ou potentiellement présente suivant les cas) et non patchée volontairement, ça n'a rien d'un buzz c'est un fait. Si quelqu'un a des liens vers des anciennes keynotes où ipapy mettait en avant la sécurité d'osx ou même le serieux d'osx server je suis preneur, j'ai passé une mauvaise journée j'ai envie de rire.
avatar jerome74 | 
@Mac1978 [quote]Combien de serveurs DNS tournent sous MacOS X 10.4.11 à 10.5.4 (et pas la version serveur) ? La réponse est 0. Pourquoi attribuer des ressources à un faux problème[/quote] Ou diable as-tu vu que c'était 0? Je ne sais pas combien, mais je sais qu'il y en a. Pourquoi sinon Apple aurait intégré un serveur DNS à Mac OS client? Certes, les domaines gérés par un Mac OS client ne sont pas ceux qu'un hacker cherchera a détourner en priorité, néanmoins ils existent et sont vulnérables.
avatar hirtrey | 
Et voila les pro apple !!!! Apple fournit un serveur de DNS, il doit donc le mettre a jour dans les plus bref delai même si personne ne l'utilise ( Mac1978 affirme 0 serveur DNS sous OSX, il doit bien être renseigné ;) ) Ou si il sont capable de combler l'erreur il recupere le bind du libre et le recompile. Je ne vois pas ou est la difficulté.
avatar Rivan | 
Beaucoup de bruit pour pas grand-chose. Personne n'a eu le moindre problème à cause de cette vulnérabilité (dans le monde Mac). Elle a été patchée. Dossier clos. Apple a très bien géré ce risque, rien à dire (au niveau comm, pourquoi se casser la nénette à communiquer sur quelque chose qui sera oublié dans trois jours??).
avatar Hindifarai | 
@Rivan Les failles DNS cache poisoning à cette échelle non ce n'est pas grand chose vous avez raison. Personne n'a eu le moindre problème dans le monde mac avec cette faille? Si vous le dîtes je vous crois sur parole. La faille est patchée? Ah...au temps pour moi. Otez moi d'un doute, si le générateur de nombre aléatoire pour les ports coté client n'est pas patché bien sûr il n'y a pas de risque? Non puisque vous le dîtes. Les derniers tests que j'ai fait sur un osx non server doivent être éronnés. Apple a parfaitement géré le risque oui, il a laissé ses fans faire de la desinformation. Les utilisateurs sont bien plus objectifs sur le forum officiel d'Apple, c'est un comble non? http://discussions.apple.com/thread.jspa?threadID=1630236&tstart=0
avatar lukasmars | 
Ce qui est abherrant c'est l'abscence totale de communication de Apple Rien , même pas un petit mot pour expliquer le pourquoi du comment, ou au moins rassurer ... On hesite entre je-m'en-foutisme ou cynisme
avatar Feroce | 
"Si UN client a un serveur Apple comme serveur DNS, il est prié de se faire connaître au plus vite." j'ai 80 domaines gérés sur mon XServe. Ca va, tu m'accordes le droit de me faire connaître ?
avatar MrSoul | 
On est bien d'accord, construite un DNS sur mac, c'est pas la meilleur idée (y'a plus sérieux de ce coté). Donc on peut dire que cette mise à jour n'est pas critique. Mais la question, pourquoi ne pas faire cette mise à jour alors que cette faille est déjà corrigé sur la version serveur de OS X, c'est idiot, ça coute quoi de ne pas le faire ? Et puis, quand on gère un serveur, on sait faire une mise à jour sans passer pour le bouton magique. Retour au source bordel, apprenez à faire un make !
avatar Hindifarai | 
J'avais fait un long paragraphe sur pourquoi ça n'était pas normal que ce patch ne soit pas disponible pour osx non server pour MrSoul. Mais je m'énervais tout seul et ça ne sert à rien, je me contenterai donc de : BIND 9.5.0-P2 est disponible sur le site d'isc et est installable et fonctionnel sur 10.5 pour ceux qui se demandent. Après est-ce que tout s'installe au bon endroit je n'en ai aucune idée je n'ai pas testé. Bonne nuit à tous, oui Apple est soucieux de votre sécurité, vous avez tous un BIND non sécurisé sur votre osx(peu de gens ont osx server il faut dire), mais ce n'est pas grave S.Jobs vous dit de ne pas vous inquiéter! Attendez que le tout nouvel iphone de couleur sorte ça devrait faire passer la pilule...après tout la sécurité on s'en fout pas mal tant qu'on a un mac on ne craint rien non?

CONNEXION UTILISATEUR