La nuit porte conseil

Christophe Laporte |
Dino Dai Zovi s'est fait un nom en peu de temps. Le grand gagnant du concours CanSecWest est parvenu, rappelons-le, à mettre en défaut la sécurité d'un Macintosh, en exploitant une mauvaise prise en charge du code Java par QuickTime.

Les règles de ce concours, organisé lors d'une conférence à Vancouver du 18 au 20 avril, étaient simples : deux MacBook Pro reliés à un réseau Wi-Fi, configurés par défaut et équipés de la toute dernière version de Tiger, étaient jetés aux mains des hackers. Celui qui parvenait à s'octroyer les privilèges d'un utilisateur repartait avec un MacBook Pro 15" alors que celui qui réussissait à obtenir les privilèges de superutilisateur (root) emportait un MacBook Pro 17". Pour pimenter le tout, les organisateurs avaient également décidé de mettre 10 000 $ en jeu.

Dans un premier temps, les portables n'étaient accessibles qu'à distance. Puis dans un second temps, il était possible d'utiliser Safari d'un des deux ordinateurs pour l'exposer à une attaque provenant d'un site web. C'est via cette technique que Dino Dai Zovi, et son acolyte, Shane Macaulay qui était présent physiquement à la conférence, ont réussi leur affaire.

Apprenant jeudi vers 21 h 30 que le concours n'avait été remporté par personne, Dino Dai Zovi décida de se mettre au travail. Il restait alors 24 heures au chercheur pour "accomplir sa mission". Il lui fallut cinq heures pour débusquer une faille et quatre heures pour mettre au point un dispositif permettant de l'exploiter. Le chercheur en sécurité se dit chanceux. Trouver une faille peut aussi bien prendre quelques heures que plusieurs semaines. La faille en question permet à une personne malintentionnée de s'octroyer les privilèges de l'utilisateur. C'est suffisant pour s'en prendre à vos documents par exemple. Si le compte en question possède le statut d'administrateur, il est même possible de s'attaquer aux dossiers "Applications" et "Library". Cette vulnérabilité peut également être exploitée sur un PC, selon lui, à condition qu'il dispose de QuickTime. En attendant qu'Apple réagisse, il recommande de désactiver temporairement Java.

Dans une interview donnée à Daring Fireball, Dino Dai Zovi qui se présente comme un véritable Mac User, prodigue quelques conseils à ceux qui veulent améliorer la sécurité de leur système. Parmi les recommandations, utiliser principalement un compte dépourvu des privilèges administrateur, stocker dans un trousseau vos mots de passe importants et le paramétrer de manière à ce qu'il se verrouille automatiquement au bout de cinq minutes d'inactivité ou encore faire régulièrement des sauvegardes chiffrées de vos données. Dino Dai Zovi dit ne pas utiliser un logiciel d'antivirus payant. Pour la petite histoire, Dai Zovi va empocher les 10 000 $ alors que son collègue gardera le MacBook. Cela valait bien une nuit blanche…

avatar jibe | 
Félicitations à eux, mais aussi à Apple pour s'être mis en danger. Les utilisateurs que nous sommes y gagnent.
avatar tbr | 
Reste à voir, si tout cela n'est pas encore une fausse opération (comme la plupart des précédentes), quel va être le niveau de réactivité de Apple : rapide, j'espère. Car c'est au final cela qui nous importe le plus : que Apple corrige rapidement les failles de son OS.
avatar matthieu2278 | 
Je trouve la démarche d'apples très bien, rien de mieux qu'un hacker pour tester les sécurités d'un ordi...
avatar Nicky Larson | 
Moui, je trouve que ce logiciel fait bien plus peur !<br /> http://macbidouille.com/news/2007-04-30/#14326
avatar p4bl0 | 
Bravo à eux, et moi je préfère les 10000$ que le macbook, avec 10000$ il y a de quoi prendre un MacBook gonflé à bloc ! (2.116,99 € le MacBook blanc 2.0GHz avec AppleCare, 2Go de ram et un DD de 160Go, mon rêve !) :-)
avatar Nicky Larson | 
Mouai, j'ai réagis un peu vite, en fait le logiciel en question ne fait rien d'extraordinaire ...
avatar sdf | 
Félicitations à eux, mais aussi à Apple pour s’être mis en danger. Les utilisateurs que nous sommes y gagnent. Gagne quoi ? Aucun système informatique est inviolable pour ceux qui veulent y passer du temps.
avatar remy | 
Côté réactivité d'Apple, c'est pas mal... la mise à jour de Quicktime colmatant la faille est déjà disponible!

CONNEXION UTILISATEUR