OS X Lion : un mot de passe qui se réinitialise trop facilement ?
Le blog Defence in Depth qui suit depuis des années de très près la façon dont Apple protège les mots de passe dans Mac OS X vient de faire une belle découverte. Sous Lion, la commande terminal dscl permet de changer le mot de passe sans avoir à entrer l'ancien.
Pour cela, il suffit de taper l’instruction suivante : dscl localhost -passwd /Search/Users/NOMDEL’UTILISATEUR. Un mot de passe vous sera alors demandé. Ce qui est gênant dans cette affaire, c’est qu’il est possible de réaliser cette opération sans avoir les privilèges administrateur et/ou sans avoir à saisir votre ancien mot de passe…
Alors est-ce grave ? Oui et non… Car si une personne veut vous faire des misères en utilisant cette méthode, il faut qu’elle dispose d’un accès physique à votre machine ou à la limite d’un accès SSH à votre ordinateur.
Mais une telle possibilité n’est pas nouvelle en soi : il existe d’ores et déjà un moyen similaire de modifier le mot de passe de n’importe quel utilisateur sans être un hacker de haut vol si vous avez accès à l’ordinateur... Il suffit de démarrer sur la partition de restauration, ouvrir le terminal et taper l’instruction resetpassword (lire : Astuce : réinitialiser le mot de passe admin sur OS X Lion).
En attendant qu’Apple rectifie le tir, il existe plusieurs manières de se prémunir : il est recommandé notamment de désactiver l’ouverture de session automatique (qui d’un point de vue sécurité a toujours été une saloperie), de suspendre les comptes invité, ainsi que de paramétrer le système de manière à ce qu’il vous demande votre mot de passe après la suspension d’activité ou le lancement de l’économiseur d’écran.
CNET qui propose quelques conseils suggère également de désactiver l’accès au terminal aux utilisateurs qui n’en ont pas besoin.
De manière générale, pour améliorer la sécurité de votre ordinateur, deux options (complémentaires) sont à envisager. La première consiste à activer FileVault, qui protège les données de votre disque dur en chiffrant son contenu. Sur les SSD, cette option n’a quasiment aucun impact sur les performances. En démarrant sur la partition de secours, vous ne pourrez pas faire grand-chose tant que vous n’aurez pas entré votre mot de passe.
Seconde option à considérer et que l’on peut activer via l’Utilitaire de mot de passe du programme interne inclus dans la partition de restauration, la possibilité d’exiger un mot de passe lorsque vous démarrez sur un autre support que votre disque dur interne (ou SSD).
Toutes ces précautions sont à étudier, mais le plus important avant tout est de savoir quel degré de sécurité vous désirez avoir.
Pour cela, il suffit de taper l’instruction suivante : dscl localhost -passwd /Search/Users/NOMDEL’UTILISATEUR. Un mot de passe vous sera alors demandé. Ce qui est gênant dans cette affaire, c’est qu’il est possible de réaliser cette opération sans avoir les privilèges administrateur et/ou sans avoir à saisir votre ancien mot de passe…
Alors est-ce grave ? Oui et non… Car si une personne veut vous faire des misères en utilisant cette méthode, il faut qu’elle dispose d’un accès physique à votre machine ou à la limite d’un accès SSH à votre ordinateur.
Mais une telle possibilité n’est pas nouvelle en soi : il existe d’ores et déjà un moyen similaire de modifier le mot de passe de n’importe quel utilisateur sans être un hacker de haut vol si vous avez accès à l’ordinateur... Il suffit de démarrer sur la partition de restauration, ouvrir le terminal et taper l’instruction resetpassword (lire : Astuce : réinitialiser le mot de passe admin sur OS X Lion).
En attendant qu’Apple rectifie le tir, il existe plusieurs manières de se prémunir : il est recommandé notamment de désactiver l’ouverture de session automatique (qui d’un point de vue sécurité a toujours été une saloperie), de suspendre les comptes invité, ainsi que de paramétrer le système de manière à ce qu’il vous demande votre mot de passe après la suspension d’activité ou le lancement de l’économiseur d’écran.
CNET qui propose quelques conseils suggère également de désactiver l’accès au terminal aux utilisateurs qui n’en ont pas besoin.
De manière générale, pour améliorer la sécurité de votre ordinateur, deux options (complémentaires) sont à envisager. La première consiste à activer FileVault, qui protège les données de votre disque dur en chiffrant son contenu. Sur les SSD, cette option n’a quasiment aucun impact sur les performances. En démarrant sur la partition de secours, vous ne pourrez pas faire grand-chose tant que vous n’aurez pas entré votre mot de passe.
Seconde option à considérer et que l’on peut activer via l’Utilitaire de mot de passe du programme interne inclus dans la partition de restauration, la possibilité d’exiger un mot de passe lorsque vous démarrez sur un autre support que votre disque dur interne (ou SSD).
Toutes ces précautions sont à étudier, mais le plus important avant tout est de savoir quel degré de sécurité vous désirez avoir.
Si je comprends bien, il faut :
- mettre un mot de passe EFI
- activer Filevault 2
- activer le mot de passe en sortie de veille d'activité, mais pas nécessairement l'ouverture de session automatique (puisque mot de passe EFI)
J'ai bon ?
Par contre, j'ai d'autres questions :
- pour mon backup, j'utilise Carbon Copy Cloner : comment je fais pour crypter ce DD externe (tout en gardant la possibilité qu'il soit bootable) ?
- je peux changer à l'avenir de mot de passe Filevault ?
Merci d'avance ;-)
Si tu lances un logiciel contenant la commande Shell tu le lances dans ta session ouverte.
J'ai pu changer le pass de mon voisin (avec son accord) après lui avoir fait lancer un logiciel qui à la base fait tout autre chose et j'ai reçu un tas de renseignements sur mon ftp impossibles à obtenir sans le pass admin.
Bien entendu, il n'avait plus accès à aux fonctions nécessitant son mot de passe d'origine.
Ne me demandez pas la recette, je ne la donnerai pas.
Je n'ai pas fait d'essais poussés avec les protections citées au-dessus.
Je précise que je ne suis qu'un programmeur d'occasion débutant mais opiniâtre ...
Alors pour un hacker malfaisant, c'est du gâteau.
Bonjour,
J'ai eu cette fenêtre sur mon mac book air Os-X-Lion me demandant de saisir un nouveau mot de passe et de le confirmer! alors que je voulais juste ouvrir une nouvelle session. Je ne connaissait pas cette fenêtre. Et ma Mac est protégée avec un code. Après avoir vu votre article je ne sais pas comment interpréter tout cela.
Est-ce que le seul moyen de faire apparaître cette fenêtre ce en tapant ce code?
Pouvez vous m’éclairer svp.
jean
Bonjour,
J'ai eu cette fenêtre sur mon mac book air Os-X-Lion me demandant de saisir un nouveau mot de passe et de le confirmer! alors que je voulais juste ouvrir une nouvelle session. Je ne connaissait pas cette fenêtre. Et ma Mac est protégée avec un mot de pass. Après avoir vu votre article je ne sais pas comment interpréter tout cela.
Est-ce que le seul moyen de faire apparaître cette fenêtre ce en tapant ce code?
Pouvez vous m’éclairer svp.
jean
Pages