Un MacBook Air hacké en deux minutes

Christophe Laporte |
La conférence CanSecWest a débuté il y a deux jours. Comme l’année dernière, les organisateurs de cet événement dédié à la sécurité ont mis à disposition des hackers un ordinateur sous Linux, un sous Windows et un MacBook Air sous Mac OS X. Le premier qui réussissait à hacker une machine repartait avec ainsi qu’avec un joli chèque de 10 000 $.

Lors du premier jour où les hackers n’avaient pas le droit d’accéder physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis hier, comme le prévoit le concours, ils pouvaient les approcher. Toutefois, ils n’avaient le droit que d’utiliser les logiciels livrés en standard avec le système.

À partir de ce moment-là, il n’a pas fallu deux minutes à Charlie Miller pour mettre en défaut le MacBook Air. Pour parvenir à ses fins, il a semble-t-il exploité une faille de Safari. Il a pu obtenir le contrôle total de l’ordinateur en se rendant sur un site web malicieux à l’aide du butineur d’Apple. Nul doute qu'il avait préparé son coup longtemps à l'avance. Les détails sont pour l’heure très spartiates. Comme le prévoit le règlement du concours, le gagnant ne peut s’exprimer clairement sur le sujet tant qu’Apple n’a pas été prévenu de la faille et tant qu’elle n’a pas été corrigée.

Charlie Miller n’est pas le premier venu toutefois, il fut l’un des premiers à réussir à hacker l’iPhone l’année dernière (lire notre article : une faille pour l'iPhone). En utilisant un procédé similaire, il avait trouvé un moyen permettant de récupérer à l'insu de l'utilisateur un nombre important d'informations (SMS, Carnet d’adresses…).

Si le Mac est hors jeu, les PC sur Linux et sous Windows Vista tiennent toujours. Cela monte bien qu’aucun ordinateur n’est invulnérable, mais ce n'est pas pour cela que du jour au lendemain, le Mac est devenu une véritable passoire. Notez bien que les hackers ont eu un accès physique au MacBook Air, chose plutôt rare, avant de pouvoir le hacker.

L’année dernière déjà, le chercheur en sécurité, Dino Dai Zovi, avait remporté le concours en exploitant une faille non documentée de Mac OS X relative à Java et QuickTime. Cette dernière pouvait d’ailleurs également être exploitée sur un PC. Ayant décidé de ne pas participer au concours cette année, il a tenu cependant à appeler Charlie Miller pour le féliciter.
avatar Cactaceae | 
Quelle belle claque ! On va avoir droit à une petite mise à jour de Safari dans pas longtemps !
avatar Cactaceae | 
@larson45 : nan , c'est pas *aussi* mais *plusss* vulnérable qu'un pc ! C'est un KO technique ahurissant. Donc c'est une *très* sale journée qui commence !
avatar xavier25 | 
En fait c'est n'importe quoi. Pour pouvoir le hacké il faut : - avoir le mac avec soit - avoir une session utilisateur ouverte et non protégé (mot de passe exigé après economiseur d'écran par exemple) OU avoir un DVD d'install de mac os x pour recupérer le mdp. En clair, très peu pratique pour le hacker du dimanche et la CIA ou équivalent ont bien d'autres moyens plus efficaces pour hacker un système, qu'elle qu'il soit. Donc bon, à moins d'etre cambriolé, je vois pas en quoi c'est inquietant. Et puis si on est cambriolé, généralement, le mec il fait une clean install par dessus il s'en fout un peu de ta vie privée. En entreprise, le compte utilisateur est normalement vérouillé si on est pas trop bête.
avatar supermoquette | 
Rien de tel que Safari pour compromettre Vista :D
avatar divoli | 
Merci xavier25, c'est bien ce qu'il me semblait. Donc cela relativise énormément les choses...
avatar gwena | 
c'est clair, ma journée vient d'être gâchée, déjà que j'ai la tête dans le cul mais la, c'est pire...
avatar Yohmi | 
Quand il y a 10 000$ à la clé, effectivement je doute que les participants du concours se pointent à l'improviste. Ces concours sont bien, ils permettent de découvrir de grosses failles... mais Apple gagnerait plus à faire un concours permanent, ou régulier, qui permettrait de découvrir plus rapidement un plus grand nombre de failles. Par contre, impossible pour le moment de juger l'importance de la faille, car le gars navigue sur deux ordinateurs en même temps et va sur l'url qu'il veut, les parametrages routeur et firewall sont inconnus, et avoir deux ordinateurs pilotés en même temps par la même personne, ça aide pour les coïncidences. Je me souviens, la semaine dernière, j'avais deux macs chez moi, j'ai réussi à récupérer plein de fichiers d'un mac sur l'autre. On a décidé d'appeler la faille "un réseau" :P
avatar supermoquette | 
Relativiser ? Je veux bien relativiser 2 minutes. Voilà !
avatar pierrot99 | 
-> xavier25 Apparemment c'est quand même assez grave si ce que dit l'article est juste: Within 2 minutes, he directed the contest's organizers to visit a Web site that contained his exploit code, which then allowed him to seize control of the computer, as about 20 onlookers cheered him on. En clair: En moins de 2 minutes, il a demandé aux organisateurs de visiter un site web qui contenait son "hack", ce qui lui a ensuite permis de prendre le contrôle de l'ordi, alors qu'une 20aine de spectateurs l'applaudissait. Donc oui, c'était préparé, mais apparemment, il n'a pas besoin d'être sur la machine, il suffit que la machine aille sur un site web contenant le code de hack pour qu'il en prenne le contrôle, à distance j'ai l'impression ! Donc pas besoin d'avoir la machine, juste faire en sorte que la machine aille sur un site web donné, ce qui est relativement facile avec le nombre de sites web qui sont hackés et/ou le nombre d'andouilles qui cliquent sur des liens dans leur mail ! Pierre.
avatar Brewenn | 
[url=http://www.google.com/search?as_q=&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=Apple&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Apple[/url], [url=http://www.google.com/search?as_q=Microsoft&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Microsoft[/url], [url=http://www.google.com/search?as_q=Linux&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Linux[/url], [url=http://www.google.com/search?as_q=Sun&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Sun[/url], [url=http://www.google.com/search?as_q=IBM&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]IBM[/url], [url=http://www.google.com/search?as_q=HP&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]HP[/url], [url=http://www.google.com/search?as_q=Cisco&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Cisco[/url] ... [i]J'en des failles[/i]....
avatar YAZombie | 
J'aodre quand on parle de "macmianques sectaires". Il n'a pas dû souvent se coltiner l'écrasante majorité ddes windowsmaniaques ô combien plus sectaires…
avatar SieGo | 
C'est surtout que le gars préférait gagner le MacBookAir plutôt qu'un PC :-)... Tu m'étonnes !
avatar Cactaceae | 
@pierrot99 : exactement ! et c'est évidemment plus grave que démarrer depuis le DVD d'install hein ! Donc on ne relativise pas svp :/ Cette faille de plus est certainement pas au niveau de Safari, mais bien du Webkit, ce qui veut potentiellement dire que toutes les applis utilisant le moteur webkit sont touchées.
avatar disfortune | 
remarquez le nom du concours " PWN 2 OWN", une jolie geekerie ça ;)
avatar Lelong | 
On comprend la motivation du hacker, c'est plus sympa de repartir avec le MacBook Air qu'avec un PC!
avatar Brewenn | 
Ce n'est pas cette faille qui est la plus dangereuse ... puisqu'elle vient d'être découverte et qu'un correctif devrait y remédier. Les plus dangereuses sont celles qui n'ont pas encore été découvertes [i]officiellement[/i] :((
avatar Jerry Khan | 
Faut surtout voir si la config OS X était bien celle par défaut ou pas avec toutes les mises à jour proposées. sinon effectivement ca sentirait le truc bidonné à plein nez.
avatar Binkin | 
"L'invulnérabilité" de os x ne tiendrait elle pas plus du fait d'un nombre infiniment moins important d'attaques du système d'appel que d'une absence de failles? Les failles semblent exister, et en nombre. Peut être même plus nombreuses que sous microsoft selon certain point de vue. L' Os x bénéficierait tout au plus d'une relative indifférence des hackers, mais motivez les un peu, avec 10000 $ par exemple et la messe semble être vite dite pour mon cher Os. Si cette hypothèse est juste et que le résultat de ce concourt n'ai pas un accident, j'ose à peine imaginer les dégâts d'une vrai attaque massive des mac chez tout ceux qui n'utilise pas d'anti virus, se contante du par feu interne et d'un petit "Littel Snitch" pour contrer les curieux !
avatar supermoquette | 
Bon, ben pas de porno aujourd'hui.
avatar thierry61 | 
lol, Supermoquette tu vas être obligé de repasser au support papier :-))))
avatar Brewenn | 
C'est que des conneries tout ça, et des mensonges .... ... notre OS X il est le meilleur, on peut pas le craker, et puis c'est tout! :)) D'ailleurs ce sont les Mac users, l'élite de l'informatique et du développement, qui le disent , et puis c'est tout :))
avatar Jerry Khan | 
Binkin ---> Une faille n'a rien à voir avec un anti-virus......mais alors rien du tout.
avatar fransik | 
..."visit a Web site that contained his exploit code" = à priori/ jusque preuve du contraire, quasiment aucun danger pour qui ne donne pas dans les "sites exotiques" (Et désactive la pub, cf. SafariBlock 2.1). Comme d'habitude donc, mais avec certainement une faille de plus (Safari ou un plugin, Flash par exemple), et ceci me rappelle que tout le monde a réellement intérêt à ne pas utiliser son compte perso. en mode administrateur (Ergo, se prendre 10min. pour créer un nouveau compte administrateur, limiter son ancien compte en mode simple utilisateur) et surtout à ne jamais entrer son mot de passe admin. simplement parcequ'un site ou un fichier douteux le demande...
avatar EricBZH | 
Certes, mais bon, A votre avis, si vous utilisez un Mac et un PC pendants quelques jours (heures???) sans antivirus, anti spyware, firewall, lequel des 2 aura des tonnes de problèmes? Et lequel n'en aura aucun? Moi je suis tous les jours sur internet sur des site risqué pendant plusieurs heures et je n'ai jamais aucun problème. Alors que lorsque je faisais le 100ième de ça sur PC... En théorie bien sûr qu'il y a aussi des failles sur Linux et OS X, mais en pratique il n'y a pas photo ! Ce qui est important pour Linux et OS X, c'est qu'ils ne deviennent pas trop à la mode, qu'un nombre restreint de personnes les utilisent, pour que les virus restent chez Windows. Après chacun choisit l'OS qu'il veut, et je souhaite que peu de monde ait OS X... Mais pour moi il n'y a pas photo.
avatar supermoquette | 
"à priori/ jusque preuve du contraire, quasiment aucun danger pour qui ne donne pas dans les "sites exotiques"" Avec une pareille réflexion, IE est absolument sûr hein…

Pages

CONNEXION UTILISATEUR