Une faille de sécurité relative à la commande sudo touche OS X

Stéphane Moussie |
Des chercheurs ont réussi à exploiter une faille de sécurité révélée il y a cinq mois qui concerne la commande sudo. sudo est une commande Unix (le système à la base d'OS X) qui permet à l'administrateur système d'autoriser d'autres utilisateurs à exécuter des commandes en tant que super utilisateur.



En réglant l'horloge système sur le 1er janvier 1970, il est possible d'avoir tous les droits sur la machine sans le mot de passe maître. Cette date n'est pas due au hasard, elle est considérée comme étant la date de naissance d'Unix. Il s'agit en quelque sorte de l'an 0 du système.



Des développeurs ont récemment mis au point un module, fonctionnant d'OS X 10.7 à 10.8.4, qui permet d'exploiter facilement cette faille. La faille n'est pas béante non plus, elle nécessite une série de conditions pour pouvoir être exploitée. L'utilisateur qui est connecté doit avoir les privilèges administrateurs et doit avoir effectué au moins une fois une commande sudo auparavant. Quant à l'attaquant, il doit évidemment avoir un accès, physique ou à distance (grâce à un malware par exemple), à la machine.



Contrairement à OS X, le bug n'affecte pas la plupart des distributions Linux qui requièrent un mot de passe pour modifier l'horloge système.

Tags
avatar Danielroibert | 
@Un Vrai Type Le métier de journaliste n'est vraiment pas facile... Devoir parler de choses qu'on ne connaît pas... Mais quand même, les corrections ne sont pas inutiles. Il y a toujours bien quelqu'un qui sera content d'apprendre des trucs justes ou d'être détrompé, ou de se rendre compte qu'il ne faut pas avaler les articles tout crus.... Enfin merci à Heret. :-)
avatar Nesus | 
@danielroibert : Ah oui c'est sûr toi tu sais mieux que tout le monde ! Au pont que tu sais même ce que les journalistes de Macgé savent ou non. Sauf que si tu savais si bon tu saurais que même si Stéphane ne savait pas ce qu'est la commande sudo (ce dont je doute), il n'a qu'à tourner sa chaise et demander derrière lui ou à côté étant donné qu'il y a de très bons devs et linuxien dans la pièce. Enfin, c'est vrai que c'est moins classe pour toi de penser ainsi. Ça t'embêterait de te faire mousser... Pour revenir à l'article, c'est vraiment une faille très difficilement exploitable. Rien d'inquiétant pour l'utilisateur lambda. Toutefois j'espère qu'Apple la corrigera. Une faille reste toujours exploitable.
avatar joneskind | 
Dans la mesure où la date correspond à la création d'UNIX, et vu qu'il faut que le Sudo ait été validé au moins une fois avant pour que la "faille" soit opérationnelle, je me demande quand même si c'est pas un genre de Konami code introduit par les développeurs pour ne pas avoir à retaper le mot de passe utilisateur.
avatar bugman | 
Fermeture du cadena pour ma part (du coup). Plus qu'a espérer que la machine 'time' chez Apple ne soit jamais attaquée et qu'une correction arrive.
avatar pyrou | 
En une ligne de commande : timezone=$(/usr/sbin/systemsetup -gettimezone | awk '{ print $3 }'); /usr/sbin/systemsetup -setusingnetworktime Off -settimezone GMT -setdate 01:01:1970 -settime 00:00 > /dev/null; sudo -k; sudo /usr/sbin/systemsetup -setusingnetworktime On -settimezone $timezone > /dev/null; sudo /bin/bash
avatar BeePotato | 
@ heret : « "sudo est une commande Unix qui permet à l'administrateur système d'autoriser d'autres utilisateurs à exécuter des commandes en tant que super utilisateur" : non. » En fait, si. Cette formulation est correcte. Il faut juste ne pas l'interpréter comme signifiant : « l'administrateur doit exécuter la commande sudo pour autoriser d'autres utilisateurs blabla… ». C'est juste que le but de sudo est effectivement de permettre, via son fichier de configuration, à l'administrateur de définir quels droits supplémentaires (et temporaires) certains utilisateurs auront lorsqu'ils exécuteront cette commande.
avatar BeePotato | 
Sinon, concernant cette faille : rien de dramatique ni de vraiment exploitable, en effet (sauf à arriver à se faire passer pour le serveur NTP interrogé par la machine visée).
avatar iBook 68 (non vérifié) | 
10.7 à 10.8.4 vous dites ?... Ah ouf je suis resté sur 10.6 Mais quand même comment peut-on rajouter des bugs pareils dans, je cite, "le système d'exploitation le plus avancé au monde" ? C'est les apprentis stagiaires qui codent? Vive le progrès quoi...
avatar Psylo | 
Une fois à la FNAC j'ai vu un vendeur déverrouiller un mac de démo en appuyant juste sur enter. Je suis discrétement passé après, et j'ai effacé tous les fichiers en lançant un gentil 'sudo rm -rf /*' dans un terminal, histoire de leur rappeler les règles élémentaires de sécurité. Depuis ils ont mis de vrais mots de passe.
avatar bugman | 
@ iBook 68 : Trouve moi, stp, un OS sans faille que je puisse l'acquérir.
avatar iBook 68 (non vérifié) | 
@bugman Je pense que ça n'existe pas. Mais c'est pas une raison pour excuser Apple. Quand on se vante d'avoir la plus grosse, on assume.
avatar apossium | 
on ne protège pas sous Unix l'horloge uniquement pour ce type de problème … l'horloge a d'autres implications aux niveaux des logiciels notamment … un exemple qui n'a rien à voir sous Let' Golf 3, si vous changez l'heure système, vous gagnez de PE. C'est bien représentatif des dépendances qu'il peut y avoir. Sebastien
avatar patrick86 | 
@iBook 68 : La fameuse phrase que tu as cité ne dis pas qu'OS X est parfait, elle dit qu'il est mieux que les autres. Nuances.
avatar patrick86 | 
@bugman : 'Trouve moi, stp, un OS sans faille que je puisse l'acquérir.' iBook 68 nous le développera dés qu'il aura fini son stage. ;)
avatar pacou | 
Mais il "suffit de" mettre le cadenas et de mettre comme règle de sécurité qu'il faut le mot de passe admin pour ouvrir les préférences cadenassées. Comme ça on ne peut plus modifier la date. C'est le réglage de sécurité de base sur tous mes macs. C'est parfois chiant mais c'est efficace.
avatar iMakSe | 
C'est une équipe de chercheur qui a trouve la faille. Ils sont donc payés a changer la date... Si ils recrutent, je connais plein de postulant !
avatar Anonyme (non vérifié) | 
@iBook 68 : Le module (programmé pour exploiter la faille) fonctionne sous "Mac OS 10.7-10.8.4, and possibly lower versions." La "faille" existe peut etre avant, et je suis assez d'accord avec joneskind, ca ressemble a un konami code mis en place pour eviter a avoir a se taper le pass sans arret. Un peu comme les backdoors utilisées pour le jailbreak, pas réellement des failles
avatar lemail2mi | 
Cette faille a l'air de toucher aussi les anciennes versions d'OsX. La faille vient des anciennes version de sud et est facilitée sur mac par le fait qu'on puisse changer la date sans mot de passe...
avatar iljang | 
@Psylo l'enfoiré !!! mdr, nan j'ai bien rigolé ^^ il me semble qu'ils ont masqué l'accès au Terminal, j'ai voulu y aller un fois, via Application, mais pas trouvé ... question : ça aurait marché un : nohup sudo rm -rf /* ; shutdown -r now & ? comme ça tu fermais en plus la fenêtre et après le rm, il reboot, enfin, il aurait essayé on est des sadiques lol
avatar Francis Kuntz | 
Apple en 2013: toujours incapable de faire des services web fiables, toujours incapable de corriger les failles de securite rapidement. Par contre pour rachater pour 15 milliards de $ d'actions et donner des milliards en dividende ya du monde. Mais payer des experts en secu, ya plus personne.
avatar Francis Kuntz | 
@ bugman OpenBSD. Ils trouvent les failles eux meme avant tout le monde...
avatar BeePotato | 
@ Francis Kuntz : OpenBSD n'est absolument pas un OS sans faille. La preuve : ses développeurs y trouvent des failles très régulièrement.
avatar Seccotine | 
@ heret Il a recopié Wikipedia sans trop réfléchir... ;D
avatar endavent | 
@Francis Kuntz : combien de virus / chevaux de Troie ont infecté votre Mac depuis que vous l'avez ? Pour ma part, en 7 ans, je n'en ai jamais eu un seul. Pourtant je lance CLAMXAV une à deux fois par an mais ce qu'il trouve exceptionnellement c'est un malware attaché à un e-mail...et ne provoquant de dégat que sur Windows. En revanche lorsque j'étais sur PC j'avais régulièrement des alertes et j'ai du reformater 2 machines. Alors ? Tout ce que fait l'homme, l'homme peut le défaire. Il n'y a donc aucun système 100% sûr. D'ailleurs le plus grand risque de perdre ses données, c'est encore la défaillance matérielle sur un Mac. Et pourtant je croise tous les jours des personnes qui n'ont jamais fait de sauvegarde. Le pire cas récemment ? Quelqu'un qui a perdu 4 ans de photos car il stockait tout sur ... un disque dur externe !
avatar havox79 | 
My god ! Je vais passer sous windows !!
avatar Macmmouth | 
Les glandes !!! ( sudoripares )
avatar Psylo | 
@iljang Il me semble qu'il existe des versions encore plus clean et efficaces
avatar bill moruuv | 
Ca c'est du gros bug. Pour info, on peut utiliser sudo -K aulieu de sudo pour eviter le probleme. Je fait un alias direct :-)
avatar Anonyme (non vérifié) | 
@Psylo : Ah c'est futé, c'est grâce a des gens comme toi que les clients FNAC ne peuvent pas essayer les macs en démo et découvrir la différence avec les PC sur le rayon d'a côté.
avatar Anonyme (non vérifié) | 
@hmmmr : 'ca ressemble a un konami code mis en place pour eviter a avoir a se taper le pass sans arret. Un peu comme les backdoors utilisées pour le jailbreak, pas réellement des failles' Tu sais, dans la configuration de sudo, on peut spécifier de ne pas demander le mot de passe. Alors j'ai de très gros doutes concernant ta théorie.
avatar Psylo | 
@graaa ouai, Fukushima aussi c'est ma faute.
avatar Tomgi | 
@Psylo : Ta commande ne marchera malheureusement pas puisque le système plante au moment ou la commande 'rm' est supprimée (sachant que la suppression des fichiers se fait dans l'ordre Alphanumérique, en commençant par les majuscules), donc avant la commande shutdown (qui se trouve dans le dossier /sbin).
avatar Anonyme (non vérifié) | 
@Psylo : Ça aussi c'est futé comme réplique. Tu es très fort.
avatar iljang | 
@graaa pfff, ça va, il n'a pas mis à genoux Apple ou la FNAC non plus ! et puis de toute façon quand j'entends certains vendeurs parler des ordis (pc ou mac), ils ne rendent pas toujours service aux ordis, alors je ne sais pas lequel des 2 est le + néfaste. Alors, ça va, respire, humour !
avatar DTreize | 
.
avatar Danielroibert | 
@nesus Tu es certainement journaliste toi ? Si quelqu'un peu traduire ce que tu écrit ? :-)
avatar Danielroibert | 
@nesus Relativiser n'est pas faire mousser, au contraire. Regarde toi dans un miroir et demande toi qui se fait mousser en écrivant ici ! Si ton copain journaliste as accès à de si bonnes références, pourquoi ne se fait-il pas relire avant de publier ? As-tu remarqué que beaucoup d'intervenant ne sont pas d'accord avec l'article ? De toute façon, sur le fond, je pense qu'il faut garder un esprit critique et ne jamais prendre ce qui est écrit pour argent comptant. Que pense tu de cette réflexion ? Tu as parfaitement le droit de n'a pas être d'accord avec qui tu veux, mais il faut rester respectueux. Daniel ROBERT
avatar eilon | 
Perfect security doesn't exist. Agréablement surpris par les distrib Linux qui avaient pensé à protéger l'horloge par mot de passe...
avatar senghor | 
Je ne sais pas pour vous autre mais dans préférences système sur Mountain Lion, date et heure nécessite un mot de passe pour pouvoir être changé chez moi. Sauf si le cadenas est déjà ouvert, dans ce cas là oui, on peut le changer... Donc l'article ne me semble pas tout à fait juste.
avatar senghor | 
Et j'oubliais en ligne de commande, "date 0613162785" me donne un "Permission denied"
avatar oomu | 
pfiuu, fallait y penser à cette erreur avec sudo -k … chapeau.
avatar Anonyme (non vérifié) | 
Je suis d'accords avec Senghor, je viens de regarder sur mon MacBook Pro et mon Mac mini dans les préférence système la case demander un mot de passe et coché pour modifié la date ou l'horloge.
avatar heret | 
"sudo est une commande Unix qui permet à l'administrateur système d'autoriser d'autres utilisateurs à exécuter des commandes en tant que super utilisateur" : non. Sudo est une commande Unix qui permet à un utilisateur, autorisé à l'utiliser, à exécuter des commandes en tant que super utilisateur. Sudo permet de plus de restreindre les commandes accessibles en tant que super utilisateur.
avatar Anonyme (non vérifié) | 
+1 heret Sudo est typiquement l'équivalent terminal de la fenêtre demandant d'entrer le mot de passe utilisateur disposant des droits administrateur sous Mac OS lors d'une action nécessitant ces privilèges administrateur.. Le reste du temps l'utilisateur n'utilise ainsi pas les droits administrateur..
avatar zellerda | 
C'est pas tellement une faille de sécurité vu qu'il faut être root (linux) ou connecté (mac) pour changer la date
avatar Un Vrai Type | 
@ heret : C'est de la vulgarisation hein... Sinon, que penser de : "sudo est une commande Unix (le système à la base d'OS X) " C'est plutôt une commande disponible sur les système Unix (ou une commande POSIX...) Unix n'est pas "le système de base" d'OS X, mais OS X est un OS de la famille des Unix. Etc. etc. Histoire de noyer les gens sur du détail... Soit tu sais ce qu'est sudo et l'article à un intéret, soit tu ne sais pas et tu as retenu que c'est un truc pour barbu... :D
avatar nicoboon | 
Y'a plus qu'à corriger la faille dans une prochaine mise a jour :)
avatar Mabeille | 
@Un Vrai Type bonne intervention

CONNEXION UTILISATEUR