High Sierra révèle le mot de passe des volumes APFS chiffrés à la place de l'indice [màj]

Stéphane Moussie |

Mise à jour — Apple a livré une version "supplemental" de macOS 10.13 qui corrige le bug.

Sur macOS High Sierra, un bug embêtant affecte les volumes APFS chiffrés. Un développeur a remarqué que le système révélait le mot de passe de ces volumes à la place de son indice.

Nous avons reproduit ce bug sur la bêta de macOS 10.13.1, qui ne corrige donc pas le problème. Dans l’Utilitaire de disque, il suffit de créer un volume APFS chiffré, entrer un mot de passe (« toto » dans notre cas) et un indice (« notre mdp habituel »), puis une fois créé, éjecter le volume et le monter. L’indice affiché par la boîte de dialogue n’est pas l’indice que nous avions saisi, mais le mot de passe (qui fonctionne bien).

« toto » est notre mot de passe, pas notre indice…

avatar je-deteste-android- | 

Oh putain ????

avatar C1rc3@0rc | 

Ah oui hein, la crise de fous rire passé, ça devient inquietant de voir la debacle en cours: entre High Sierra et iOS c'est a qui gagnera la palme du bug de la journée, et le moins qu'on puisse dire c'est qu'ils en ont en boutiques les batards!

Mais la je pense que pour aujourd’hui iOS est battu... suite de la serie comique demain.

avatar mmmathieu | 

@C1rc3@0rc

Mon côté "fan d’Apple" me dit; Rho mais il exagère! Un tout petit mot de passe qui ne sert qu’en interne dans certaines situations bien précise et tout de suis on cris au scandale...

Et après je me rappel pourquoi j’ai commencé à apprécier Apple ... et je me dit; ba en fait il a pas tord! Apple nous a habituer a bien mieux...

avatar r e m y | 

@mmmathieu

....Apple nous a habitué à mieux....
Attends! On n'a pas encore tout vu! ?

avatar Malouin | 

Et sans faute d'orthographe surtout ! On est pas obligé d'écrire comme on cause.

avatar adixya | 

Ah ça y est le plus beau jour de l’annee pour toi, noel avant l’heure !
C’est flippant cette joie enfantine, ça se cumule a la paranoia, la distorsion de réalité et l’aigreur habituelles, et surtout cette obsession maniaque anti Apple, dont l’intensite est assez anormale quand même...

J’espère que je te croiserai jamais IRL...

avatar kino | 

@adixya

Si le même bug se produisait chez Microsoft et son Windows, votre discours n'aurait pas été le même, je parie.
L'amour rend rend aveugle, voir même bête... :)

avatar vrts | 

le plus drôle sur ce genre de news c'est tous les fanboys vexés dans les commentaires tentant de ridiculiser n'importe quelle personne emettant une critique ou une moquerie.

Laissez nous nous moquer un peu voyons :) c'est sain de se moquer d'un bug aussi enorme en matière de sécurité.

avatar bunam | 

ok et du coup il faut lui donner un nom ridicule :
post-it-bleed ?

avatar Malouin | 

Ok, complètement d'accord... Sauf qu'il faut noter que ce bug ne s'applique qu'aux disques supplémentaires (et non celui du Mac d'origine). Ok, c'est inadmissible. Pour autant, y'a pas mort d'homme : ce truc était sous la ligne des radars.

avatar House M.D. | 

@C1rc3@0rc

Le discours passerait mieux sans une insulte en plein milieu...

avatar vrts | 

@houseMD : tu vas t'en remettre, ne fais pas ta precieuse...

avatar House M.D. | 

@vrts

Mais dites-moi c’est penible à la fin ! Est-ce qu’Internet doit forcément être un lieu d’insultes gratuites et libérées? Votre connexion ne vous libère pas de la politesse, que ce soit envers un autre contributeur ou toute autre personne ! Donc le « tu vas t’en remettre », non, je n’accepte pas. Soyez polis dans vos propos, vous ou toute autre personne, et arrêtez de penser que la politesse est facultative !

avatar vrts | 

Cela s'appelle la vie, internet ou pas, les gens s'expriment comme ils le souhaitent, que ça te plaise ou non.

Et personne n'a insulté personne ici, ah oui "les batards" en parlant d'Apple...pfiouuu heureusement qu'Apple à sa police de l'internet prêt a tout pour la defendre.

avatar House M.D. | 

@vrts

Ce n’est encore une fois pas une question de police, que ce soit n’importe qui qui soit insulté, ça n’a pas sa place. Vous vous feriez insulter, ou cet autre intervenant au nom imprononçable, je réagirais de la même manière. Rien ne justifie une insulte gratuite.

avatar vrts | 

Sauf que personne n'a été insulté ici... Ah si, une marque déposée, wow !!! :)

tu te vexes tout seul dans ton coin pour rien.

avatar Malouin | 

Je partage...

avatar occam | 

@House M.D.

« Le discours passerait mieux sans une insulte en plein milieu...»

L'insulte, c'est Apple qui la commet. À l'égard de ses clients. Et par ces temps de lancement d'une nouvelle version d'OS, l'insulte est devenue journalière.

J'ignore si vous travaillez en environnement mixte. Moi, si.
Et le rire tourne plutôt au jaune, dès que la Mac-connerie du jour est révélée.
Ce qui blesse, en dehors du simple fait d'avoir à essuyer les plâtres après des mois et des mois de β, c'est l'incroyable stupidité des bugs qui émergent, et le degré d'incurie que cela trahit.
C'est insultant d'être pris à tel point pour des ploucs.
C'est insultant de se retrouver en face de tant d'amateurisme, mâtiné d'une superbe inoxydable.

Et c'est humiliant de devoir demander aux collègues s'ils ont réellement besoin de telle ou telle fonctionnalité, et en cas affirmatif de devoir leur recommander de rétrograder leur macOS ou de passer "for the time being" à Windows 10, à une distro Linux ou BSD.

avatar House M.D. | 

@occam

Je comprends largement votre position, l’ayant subie pendant des années. Mais est-ce vraiment une raison pour utiliser une insulte pensez-vous? Je ne crois pas…

avatar fte | 

@occam

"de devoir leur recommander de rétrograder leur macOS"

Et cette fois, le rétropédalage est loin d’être simple, moins encore rapide.

J’y songe moi-même, je me choppe des kernel panics quotidiennes et ça m’énerve puissamment, sans parler des autres bugs irritants.

avatar macam | 

@occam :
"C'est insultant d'être pris à tel point pour des ploucs(...)mâtiné d'une superbe inoxydable."
Merci de nous rappeler que bêta vient du grec...
Ca me rappelle lorsque tu parlais de "BFA (attaque par brute force)" au lieu de simplement dire "brute force"...

avatar Malouin | 

Ok, complètement d'accord... Sauf qu'il faut noter que ce bug ne s'applique qu'aux disques supplémentaires (et non celui du Mac d'origine). Ok, c'est inadmissible. Pour autant, y'a pas mort d'homme(s) : ce truc était sous la ligne des radars. Pour avoir bossé sous windows avant, je ne changerai pas de crémerie !

avatar C1rc3@0rc | 

@House M.D.

«Le discours passerait mieux sans une insulte en plein milieu..»

Ah la réactivité du fanatisme paroxystique... deja, je ne pense pas que dans ton cas la moindre critique ou simple constatation de l’incompétence ou de l'inconscitance d'Apple puisse "passer".

Et non il n'y a pas d'insulte, et j'utilise bien ce terme dans son sens originel français et non dans celui de l'insulte commune dans le langage "djeuns", qui est un dérivé de l'insulte systématique provenant de la culture britannique.

Honnêtement, je vois de moins en moins la filiation légitime qu'il y a entre MacOS et iOS aujourd'hui et les versions d'il y a 6-7 ans et encore moins ou sont les bases Unix et leurs qualités (dont la fiabilité, sécurité, efficacité, frugalité)... Par contre je vois de plus en plus la génétique de Windows 95 (ou Vista, concernant macOS 10.10) et Windows Mobile 5.

avatar House M.D. | 

@C1rc3@0rc

Alors on va faire simple, et je réponds à tous en même temps sur ce sujet : oui, « batards » est une insulte, et que ce soit en ancien ou en djeunz. Non, c’est quelque chose que je n’accepte pas, et ceci envers quiconque. Pour finir et plus précisément concernant la personne quotée dans mon post, en utilisant le terme batards dans ce post d’origine, ce sont les développeurs qui sont visés.

Pour finir, contrairement à ce que vous pouvez penser, non, je ne suis pas aveuglément Apple. J’ai connu d’un peu (trop) près cette entreprise pour lui donner un blanc seing sur toutes ses pratiques. Mais ce n’est en aucun cas une raison pour balancer des insultes gratuites. Toute personne en venant aux insultes décrédibilise tout son discours, mais dans un sens, vous concernant, vous n’aviez déjà aucune crédibilité depuis bien longtemps, donc au final, ça ne change pas grand chose.

avatar Malouin | 

CQFD. Merci !

avatar C1rc3@0rc | 

@House M.D.

«Non, c’est quelque chose que je n’accepte pas, et ceci envers quiconque.»

J'ai peu d'espoir que consideres ça, mais dans le texte, le terme «batard» s'applique exclusivement a MacOS 10.13 et iOS 11, nullement a une personne, meme fut elle morale.
Donc la condamnation que tu émets est totalement absurde en plus de relever d'une pure création de ta part, basée, au mieux sur une déficience de la compréhension de la lecture.

De plus si je te dis que mon utilisation du mot français «bâtard» n'est pas une insulte et que je prends la peine de le préciser et développer l'utilisation de ce terme, quand tu persiste a affirmer fallacieusement que c'est une insulte, c'est que pour toi:
- la réalité ne compte pas,
- que tu n'as rien a faire des gens et de leurs intentions et explications,
- que tu te contrefous royalement ce que pense ou vivent les autres
- que seul compte le sens que tu veux attribuer aux mots (même si c'est un sens illégitimes et relevant de conceptions culturelles étrangères) et l'interpretation que tu fais des textes.
Et au final, que ce comportement, méprisant au dernier degré, est une insulte effective de ta part.

La seule chose que tu demontre ici c'est que rien d'autre ne compte que ton opinion et que tu condamnes arbitrairement, et sans appel, tout et tous ceux qui osent aller (meme si c'est dans ton imaginaire délirant) contre ce que tu crois et tu que tu veux imposer aux autres!
C'est juste la définition de ce qu'est un fanatique intégriste. Ce qui au moins te confère une certaine coherence, puisque l'integriste est bien celui qui se veut le gardien d'un moralisme et qui est offusqué que la réalité elle même dévie de cette norme morale arbitraire.

avatar frankm | 

la bourde !

avatar tyga tiger | 

@je-deteste-android-

"Ho putain" c'est tout !??

Je m'attendais à un : "c'est de la merde" bien cinglant ??

#tesuntroll

avatar r e m y | 

Bah... c'est un indice comme un autre, non?
Pour ceux qui n'aiment pas les casse-tête, c'est bien je trouve.
High Sierra va encore plus loin pour nous simplifier la vie....

Au fait, vous avez vérifié que toto est bien accepté comme mot de passe, et que le mot de passe n'est pas devenu "la tête à"?

avatar misterbrown | 

C'est ballot oui! Et dire que Windows c'est de la merde...

avatar C1rc3@0rc | 

@misterbrown

Ben avec Windows tu as une bonne protection par mot de passe, qui n'apparait pas quand on le demande meme poliment, par contre, ça n'arrete que l'utilisateur qui a des trouble de la memoire, parce que les portes d'entrées sont legions... bon sur MacOS ça semble aussi se multiplier les portes d'entree depuis quelques annees (tiens ça me fait penser que la derniere version de Safari a gagné en nombre de failles majeures face a Chrome(le plus securisé), Firefox (sa dauphine), Edge (oui le truc de MS est plus securisé que Safari)..)

Aller Federighi, va falloir penser a autre chose, parce que sinon a la fin de l'année, de la chevelure remarquable, il ne restera plus grand chose, et faire le poney qui s'ebroue devant la camera de l'iPhone X, ça le fera beaucoup moins...

avatar Philbee | 

A mon humble avis, Federighi fait ce qu’il peut avec les moyens que lui donne ce cher Tim Cook...?

avatar C1rc3@0rc | 

@Philbee

Je pense que tu as raison, et je dis pas le contraire (enfin le coup du canasson et de l’excrément vociférateur, il pouvait éviter) et il se trouve que le responsable du développement c'est Federighi, et qu'en tant que tel lorsqu'il une connerie de ce calibre sort, c'est sur sa pomme que ça retombe, et c'est legitime, et donc il va se "faire des cheveux".

S'il n'est pas "opérationnellement" responsable du niveau lamentable ou sombre MacOS, il est quand même responsable d'accepter:
- les délais intenables,
- la politique de relargage de softs en beta grumeleuses de bug,
- de l'insuffisance de moyens du contrôle qualité
- de la probable inexistence d'une équipe dédiée au Mac
- du souk résultant de l’intégration de fonctions gadget au détriment du "bétonnage" des fonctions et pratiques de securité
- du travail de dégradation imposée par la politique de l'obsolescence programmée,
- la soumission aux diktat des incompétents du marking
- de l'effacement des fondamentaux identitaires de MacOS et du Mac, par le griffonneux en chef
...
Dans un role similaire, Luc Julia avait claqué la porte. Y a un moment ou la responsabilité c'est aussi de mettre la direction face a ses incohérences et refuser d'aller dans le mur parce que les objectifs sont absurdes et qu'il n'y a pas de d'objectif de moyens.

C'est que le gaillard, il est dans l'histoire d'Apple depuis NeXT, et vu ses qualifications on peut pas douter de sa compétences en ingénierie système. Pour tout te dire, s'il prenait la tête de la conception d'Apple, j'en serai le premier ravi...
Donc oui, ton commentaire est apropos, mais Federighi porte la responsabilité de sa fonction.

avatar Philbee | 

@C1rc3@0rc
Tes arguments sont pertinents mais j’ai un principe : j’evite de m’en prendre aux lampistes ?

avatar C1rc3@0rc | 

@Philbee

mais Federighi n'est pas un lampiste.

avatar macam | 

@C1rc3@0rc alias Moi, moi, moi ! :
Dans le genre à côté de la plaque et hyper-narcissique Federeghi n'a rien à t'envier : dernier exemple, parmi tant d'autres, ton intervention sans avoir lu l'article pour émettre ton "auguste" avis en début de première page du forum : https://www.macg.co/ailleurs/2017/10/amazon-cherche-des-supermarches-francais-ouverts-la-discussion-99930
Evidemment je constate qu'ici tu disparais comme d'habitude une fois passé le début du forum.

avatar creatix | 

J'espère que c'est "juste" un problème dans l'enregistrement de l'indice sur le disque et non pas une grosse faille dans le système de fichiers APFS...

avatar bunam | 

Oui !

En tout cas c'est n'importe quoi !! On va voir le temps de réaction d'Apple...

J'ai bien fait de me tenir éloigné de cette mise à jour...

avatar C1rc3@0rc | 

@creatix

T'en fais pas, quand on atteint ce niveau, on peut s'attendre a bien des choses. D'un autre coté qui se souvient du bug a la maniere du "bug de l'an 2000" dans la precedente version d'iOS... et du dernier "buffer overflow" de MacOS (non ce n'etait pas y a 20 ans...)

avatar françois bayrou | 

Sans parler de l'épique "goto fail"...
les requêtes SSL qui répondent favorablement, quelque soit le certificat SSL présenté par la réponse. Celui là, c'est mon préféré.

avatar ErGo_404 | 

Probablement une option de développement qui n'a jamais été fixée. Sauf qu'un bon développeur aurait aussi écrit un test automatique pour vérifier le comportement et ça n'aurait jamais du passer ...

avatar Issou la chancla | 

Là par contre ça ne relève plus du bug, d'une erreur d'inattention, mais bien d'un gros problème d'incompétence.

avatar C1rc3@0rc | 

Ah c'est clair, mais a quel niveau?
Parce que programmer une connerie du genre, bon c'est deja grave, mais que ça passe les beta, comment dire...

avatar BeePotato | 

@ C1rc3@0rc : « Parce que programmer une connerie du genre, bon c'est deja grave, mais que ça passe les beta, comment dire... »

On voit bien les limites de l’approche beta-test, y compris avec une beta publique distribuée à pleins de gens.
Ça peut marcher plutôt bien pour les fonctions les plus utilisées, mais ça rate facilement des problèmes dans les fonctions les moins utilisées (l’indice de mot de passe pour le chiffrement d’une image disque, ça ne sert pas tous les jours ni à grand monde).

avatar C1rc3@0rc | 

@BeePotato

Je pense surtout que la politique du beta-test c'est un truc de financier et de marketeux et que ça n'a aucun sens en ingénierie.

L'avantage du beta-test pour le financier c'est que ça coute moins cher que mettre en place un systeme de controle qualité tout le long de la chaine, ça coute moins cher parce que ça prend moins de temps et de ressources humaines que d'appliquer une methodologie de conception et de developpement, ça coute moins cher parce que ça permet de supposer que l'on peut sous traiter a des developpeurs soit de faible niveau, soit a des equipes non dediées qu'on peut allouer et reallouer a x projets, voire a plusieurs a la fois... et puis c'est dans la ligne du spencerisme, donc ça doit etre efficace dans une culture spenceriste.

Pour les marketeux c'est du pain beni, ça permet de forger un message (évidemment fallacieux) type "rapprocher l'utilisateur de la réalisation de l'outil qu'il utilise", de reporter les erreurs qui passent sur l’utilisateur (ben oui, quoi, enfin c'est l'utilisateur/beta testeur qui a pas fait son travail, la, et il y en avait pas assez, bandes de feignasses de consse assistés), ça donne une image (fallacieuse) d'humilité de l’ingénieur (ben oui, il se la pète plus l'ingé avec sa connaissance et sa logique rationnelle: il dépend des retours de l'utilisateur! - et puis tiens au moins quand on lui demande après de faire des graphiques en forme de chatons (parce que le chaton plus d'impact sympathie qu'une courbe de gauss ), il a plus rien rétorquer)...

Et puis faut aussi se souvenir que la pratique du largage de softs avec des monceaux de scories, n'approchant meme pas la finalisation, l'integration de fonctions majeures en milieu de cycle de vie du soft a grand coup de patch, l'attente des remontées (acides) des gros bug par les utilisateurs,... c'est quand meme le principe commercial de Micrfosoft, au moins dans les annees 90/2000.

Donc la beta publique, ce que j'en pense: c'est pas une méthode de développement, c'est du foutage de gueule pur est simple, symptomatique d'un management et d'une politique qui méprise profondément et l’ingénieur et le client.. et le produit.!

avatar inumerix | 

Oh la boulette ! Joli ça !
Y en a un qui va passer un mauvais quart d'heure...

avatar Hasgarn | 

Mais bon sang de chianli de zut, c'est juste une inversion de 2 pauvres chaînes de caractère, ça prend pas 107 ans à rectifier comme "bug" (ça n'en ai pas un pour moi, c'est juste une preuve d'incompétence).
Par contre, le mot de passe, il est stocké en clair ?
Ça, ce serait une autre preuve de l'incompétence des dev'...

avatar bunam | 

Il faut juste penser a tous les .dmg sécurités qui ont été faites sur High Sierra... il faut les coller à la poubelle et faire un secure erase.Ah, on me dit dans l'oreillette qu'on ne peut plus ?
Les conséquences sont énormes...
À moins que le gars qui ait bossé sur l'utilitaire disque travaille en fait pour la NSA et qu'il ait voulu faire une backdoor, vite fait bien fait, bon elle est un peut grosse là non ?

avatar C1rc3@0rc | 

«À moins que le gars qui ait bossé sur l'utilitaire disque travaille en fait pour la NSA»

Non, je pense pas, la NSA n'a pas intérêt a ce que le backdoor soit utilisable par le scriptkiddy le plus cretin. Aller caviarder les protocoles de securité, oui, mais tout de meme faut que ce soit un peu alambiqué. La on est sur tout autre chose.

avatar BeePotato | 

@ Hasgarn : « Mais bon sang de chianli de zut, c'est juste une inversion de 2 pauvres chaînes de caractère, ça prend pas 107 ans à rectifier comme "bug" (ça n'en ai pas un pour moi, c'est juste une preuve d'incompétence). »

Ça ne ressemble pas à une inversion, vu que le mot de passe semble fonctionner pour déchiffrer.
Je penche plus pour une erreur de copier-coller qui a conduit à utiliser deux fois la même chaîne.

Pages

CONNEXION UTILISATEUR