Un MacBook Air hacké en deux minutes

Christophe Laporte |
La conférence CanSecWest a débuté il y a deux jours. Comme l’année dernière, les organisateurs de cet événement dédié à la sécurité ont mis à disposition des hackers un ordinateur sous Linux, un sous Windows et un MacBook Air sous Mac OS X. Le premier qui réussissait à hacker une machine repartait avec ainsi qu’avec un joli chèque de 10 000 $.

Lors du premier jour où les hackers n’avaient pas le droit d’accéder physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis hier, comme le prévoit le concours, ils pouvaient les approcher. Toutefois, ils n’avaient le droit que d’utiliser les logiciels livrés en standard avec le système.

À partir de ce moment-là, il n’a pas fallu deux minutes à Charlie Miller pour mettre en défaut le MacBook Air. Pour parvenir à ses fins, il a semble-t-il exploité une faille de Safari. Il a pu obtenir le contrôle total de l’ordinateur en se rendant sur un site web malicieux à l’aide du butineur d’Apple. Nul doute qu'il avait préparé son coup longtemps à l'avance. Les détails sont pour l’heure très spartiates. Comme le prévoit le règlement du concours, le gagnant ne peut s’exprimer clairement sur le sujet tant qu’Apple n’a pas été prévenu de la faille et tant qu’elle n’a pas été corrigée.

Charlie Miller n’est pas le premier venu toutefois, il fut l’un des premiers à réussir à hacker l’iPhone l’année dernière (lire notre article : une faille pour l'iPhone). En utilisant un procédé similaire, il avait trouvé un moyen permettant de récupérer à l'insu de l'utilisateur un nombre important d'informations (SMS, Carnet d’adresses…).

Si le Mac est hors jeu, les PC sur Linux et sous Windows Vista tiennent toujours. Cela monte bien qu’aucun ordinateur n’est invulnérable, mais ce n'est pas pour cela que du jour au lendemain, le Mac est devenu une véritable passoire. Notez bien que les hackers ont eu un accès physique au MacBook Air, chose plutôt rare, avant de pouvoir le hacker.

L’année dernière déjà, le chercheur en sécurité, Dino Dai Zovi, avait remporté le concours en exploitant une faille non documentée de Mac OS X relative à Java et QuickTime. Cette dernière pouvait d’ailleurs également être exploitée sur un PC. Ayant décidé de ne pas participer au concours cette année, il a tenu cependant à appeler Charlie Miller pour le féliciter.
avatar Cactaceae | 
Quelle belle claque ! On va avoir droit à une petite mise à jour de Safari dans pas longtemps !
avatar Cactaceae | 
@larson45 : nan , c'est pas *aussi* mais *plusss* vulnérable qu'un pc ! C'est un KO technique ahurissant. Donc c'est une *très* sale journée qui commence !
avatar xavier25 | 
En fait c'est n'importe quoi. Pour pouvoir le hacké il faut : - avoir le mac avec soit - avoir une session utilisateur ouverte et non protégé (mot de passe exigé après economiseur d'écran par exemple) OU avoir un DVD d'install de mac os x pour recupérer le mdp. En clair, très peu pratique pour le hacker du dimanche et la CIA ou équivalent ont bien d'autres moyens plus efficaces pour hacker un système, qu'elle qu'il soit. Donc bon, à moins d'etre cambriolé, je vois pas en quoi c'est inquietant. Et puis si on est cambriolé, généralement, le mec il fait une clean install par dessus il s'en fout un peu de ta vie privée. En entreprise, le compte utilisateur est normalement vérouillé si on est pas trop bête.
avatar supermoquette | 
Rien de tel que Safari pour compromettre Vista :D
avatar divoli | 
Merci xavier25, c'est bien ce qu'il me semblait. Donc cela relativise énormément les choses...
avatar gwena | 
c'est clair, ma journée vient d'être gâchée, déjà que j'ai la tête dans le cul mais la, c'est pire...
avatar Yohmi | 
Quand il y a 10 000$ à la clé, effectivement je doute que les participants du concours se pointent à l'improviste. Ces concours sont bien, ils permettent de découvrir de grosses failles... mais Apple gagnerait plus à faire un concours permanent, ou régulier, qui permettrait de découvrir plus rapidement un plus grand nombre de failles. Par contre, impossible pour le moment de juger l'importance de la faille, car le gars navigue sur deux ordinateurs en même temps et va sur l'url qu'il veut, les parametrages routeur et firewall sont inconnus, et avoir deux ordinateurs pilotés en même temps par la même personne, ça aide pour les coïncidences. Je me souviens, la semaine dernière, j'avais deux macs chez moi, j'ai réussi à récupérer plein de fichiers d'un mac sur l'autre. On a décidé d'appeler la faille "un réseau" :P
avatar supermoquette | 
Relativiser ? Je veux bien relativiser 2 minutes. Voilà !
avatar pierrot99 | 
-> xavier25 Apparemment c'est quand même assez grave si ce que dit l'article est juste: Within 2 minutes, he directed the contest's organizers to visit a Web site that contained his exploit code, which then allowed him to seize control of the computer, as about 20 onlookers cheered him on. En clair: En moins de 2 minutes, il a demandé aux organisateurs de visiter un site web qui contenait son "hack", ce qui lui a ensuite permis de prendre le contrôle de l'ordi, alors qu'une 20aine de spectateurs l'applaudissait. Donc oui, c'était préparé, mais apparemment, il n'a pas besoin d'être sur la machine, il suffit que la machine aille sur un site web contenant le code de hack pour qu'il en prenne le contrôle, à distance j'ai l'impression ! Donc pas besoin d'avoir la machine, juste faire en sorte que la machine aille sur un site web donné, ce qui est relativement facile avec le nombre de sites web qui sont hackés et/ou le nombre d'andouilles qui cliquent sur des liens dans leur mail ! Pierre.
avatar Brewenn | 
[url=http://www.google.com/search?as_q=&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=Apple&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Apple[/url], [url=http://www.google.com/search?as_q=Microsoft&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Microsoft[/url], [url=http://www.google.com/search?as_q=Linux&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Linux[/url], [url=http://www.google.com/search?as_q=Sun&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Sun[/url], [url=http://www.google.com/search?as_q=IBM&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]IBM[/url], [url=http://www.google.com/search?as_q=HP&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]HP[/url], [url=http://www.google.com/search?as_q=Cisco&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Cisco[/url] ... [i]J'en des failles[/i]....
avatar YAZombie | 
J'aodre quand on parle de "macmianques sectaires". Il n'a pas dû souvent se coltiner l'écrasante majorité ddes windowsmaniaques ô combien plus sectaires…
avatar SieGo | 
C'est surtout que le gars préférait gagner le MacBookAir plutôt qu'un PC :-)... Tu m'étonnes !
avatar Cactaceae | 
@pierrot99 : exactement ! et c'est évidemment plus grave que démarrer depuis le DVD d'install hein ! Donc on ne relativise pas svp :/ Cette faille de plus est certainement pas au niveau de Safari, mais bien du Webkit, ce qui veut potentiellement dire que toutes les applis utilisant le moteur webkit sont touchées.
avatar disfortune | 
remarquez le nom du concours " PWN 2 OWN", une jolie geekerie ça ;)
avatar Lelong | 
On comprend la motivation du hacker, c'est plus sympa de repartir avec le MacBook Air qu'avec un PC!
avatar Brewenn | 
Ce n'est pas cette faille qui est la plus dangereuse ... puisqu'elle vient d'être découverte et qu'un correctif devrait y remédier. Les plus dangereuses sont celles qui n'ont pas encore été découvertes [i]officiellement[/i] :((
avatar Jerry Khan | 
Faut surtout voir si la config OS X était bien celle par défaut ou pas avec toutes les mises à jour proposées. sinon effectivement ca sentirait le truc bidonné à plein nez.
avatar Binkin | 
"L'invulnérabilité" de os x ne tiendrait elle pas plus du fait d'un nombre infiniment moins important d'attaques du système d'appel que d'une absence de failles? Les failles semblent exister, et en nombre. Peut être même plus nombreuses que sous microsoft selon certain point de vue. L' Os x bénéficierait tout au plus d'une relative indifférence des hackers, mais motivez les un peu, avec 10000 $ par exemple et la messe semble être vite dite pour mon cher Os. Si cette hypothèse est juste et que le résultat de ce concourt n'ai pas un accident, j'ose à peine imaginer les dégâts d'une vrai attaque massive des mac chez tout ceux qui n'utilise pas d'anti virus, se contante du par feu interne et d'un petit "Littel Snitch" pour contrer les curieux !
avatar supermoquette | 
Bon, ben pas de porno aujourd'hui.
avatar thierry61 | 
lol, Supermoquette tu vas être obligé de repasser au support papier :-))))
avatar Brewenn | 
C'est que des conneries tout ça, et des mensonges .... ... notre OS X il est le meilleur, on peut pas le craker, et puis c'est tout! :)) D'ailleurs ce sont les Mac users, l'élite de l'informatique et du développement, qui le disent , et puis c'est tout :))
avatar Jerry Khan | 
Binkin ---> Une faille n'a rien à voir avec un anti-virus......mais alors rien du tout.
avatar fransik | 
..."visit a Web site that contained his exploit code" = à priori/ jusque preuve du contraire, quasiment aucun danger pour qui ne donne pas dans les "sites exotiques" (Et désactive la pub, cf. SafariBlock 2.1). Comme d'habitude donc, mais avec certainement une faille de plus (Safari ou un plugin, Flash par exemple), et ceci me rappelle que tout le monde a réellement intérêt à ne pas utiliser son compte perso. en mode administrateur (Ergo, se prendre 10min. pour créer un nouveau compte administrateur, limiter son ancien compte en mode simple utilisateur) et surtout à ne jamais entrer son mot de passe admin. simplement parcequ'un site ou un fichier douteux le demande...
avatar EricBZH | 
Certes, mais bon, A votre avis, si vous utilisez un Mac et un PC pendants quelques jours (heures???) sans antivirus, anti spyware, firewall, lequel des 2 aura des tonnes de problèmes? Et lequel n'en aura aucun? Moi je suis tous les jours sur internet sur des site risqué pendant plusieurs heures et je n'ai jamais aucun problème. Alors que lorsque je faisais le 100ième de ça sur PC... En théorie bien sûr qu'il y a aussi des failles sur Linux et OS X, mais en pratique il n'y a pas photo ! Ce qui est important pour Linux et OS X, c'est qu'ils ne deviennent pas trop à la mode, qu'un nombre restreint de personnes les utilisent, pour que les virus restent chez Windows. Après chacun choisit l'OS qu'il veut, et je souhaite que peu de monde ait OS X... Mais pour moi il n'y a pas photo.
avatar supermoquette | 
"à priori/ jusque preuve du contraire, quasiment aucun danger pour qui ne donne pas dans les "sites exotiques"" Avec une pareille réflexion, IE est absolument sûr hein…
avatar Un Vrai Type | 
@ Binkin : Un anti virus resterai inutile. Sauvegarder et ne pas laisser des données sensibles traîner est bien plus simple, moins onéreux et plus efficace. Par exemple, un disque dur externe que l'on éteint lorsqu'on a fini notre travail + des clés USB en cas de défaillance du disque. Et comme d'habitude, ne jamais exécuter un fichier dont on en connaît pas la provenance. Par contre, Safari demande toujours une confirmation avant d'ouvrir un document provenant du Web. Y'a t'il eu cette demande ? A-ton cliqué sur "Ouvrir" et y'a t'il eu demande de mot de passe ? Si on répond non à la première question, webkit a un énorme soucis de gestion des affichages (leur permettant d'être exécutable) tout comme Windows en avait avec les .jpeg il y a quelques années.
avatar kitetrip | 
Faudrait que le Mac ait beaucoup moins de succès, au moins ça n'attirait pas les hackers... Mais bon, depuis les Intel, c'est plus la même chose, on achète un Mac sans ses inconvénients :/ alors qu'avant c'était un geste fort de se priver de Windows... Mais bon, la société avec son culte de "je veux tout, tout de suite et sans les inconvénients" (si, si, ça a un rapport indéniable, réfléchissez)...
avatar Brewenn | 
@Binkin Continuez d'utiliser votre anti-virus, surtout si vous travaillez en réseau avec d'autres entités. :)
avatar Jerry Khan | 
Brewenn, Ce que tu viens d'écrire ne veut rien dire surtout dans le cas qui nous intéresse. Une faille potentielle dans Safari.
avatar Brewenn | 
Une petite [url=http://www.formation.ssi.gouv.fr/stages/]formation[/url] serait peut être nécessaire, quoique pour certains il vaut mieux carrément envisager un changement d'orientation !
avatar Jerry Khan | 
Brewenn, Comment tu te la pètes (pour rien, chacun l'aura remarqué).......
avatar Ritchie_007 | 
Bon, faut tout de même pas exagérer. Donc, il a utilisé une faille de Safari, pas du kernel d'OS X. Où est vraiment la faille, à quel niveau des bibliothèques, système ou Safari pur (l'histoire le dira plus tard). Est-ce que c'est la même chose sous Windows, où tourne Safari ???? Si c'est le cas, c'est pas mieux ! Pour moi, ce n'est pas une faille d'OS X, puisqu'on est pas obligé d'utiliser Safari pour naviguer, il y a FF et Opéra qui peuvent servir de navigateur (et d'autres surement). Donc, relativisons un peu tout de même !!!
avatar v1nce | 
Moi je hack un mac le temps d'un démarrage de ce dernier. Donc pas à distance mais sur place. Genre l'ordi de mon boss.... je branche mon portable en Firewire et démarre l'ordi de mon boss en mode target... la je récupère tous les fichiers... ;-)
avatar shoko | 
Mouahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahhaha !!! La fessée cul nul ... de temps en temps ça fait du bien, ça décoince les fanatiques, ça ouvre les yeux, les oeillères, les esprits tout ça ... (ps : non pas la peine de me mettre dans la catégorie des vista users, je suis pro mac à 100% mais ce genre de niouze ça me fait marrer)
avatar Jerry Khan | 
Ce qui serait drole, c'est que la faille nécessite le mot de passe admin :-)
avatar pacou | 
"raoolito [28/03/2008 09:29] dans 2 heures, yaura 3 pages de commentaires.." Non! 3 et une qui commence. Bon pronostique. Chapeau bas
avatar Brewenn | 
@Jerry Khan Je ne me la pète pas, C'est vous qui manquez de connaissances sur certains domaines, mettez votre orgueil dans votre poche, et ce sera déjà un grand pas pour devenir un [i]développeur[/i] qui tient la route. :)
avatar helmuthelmut | 
Mauvaise pub pour Apple !!! Hier j'ai fait un cauchemar... j'allumais mon Mac et il ne démarrait qu'en Windows XP... c'était horrible... Il n'y avait pas de faille certes, mais : - j'ai attendu 20 minutes que le système démarre - j'ai assisté à une suite continue de messages m'informant que l'antivirus est actif, l'antivirus n'est plus à jour, l'antivirus va être mis à jour, l'imprimante ODB spool 32 est introuvable, windows live messenger démarre ( merci de me le dire au cas où j'avais pas vu) live messenger est demarré !! (merci encore du fond du coeur). Et là, je me suis réveillé... Back to my Mac avec ses failles...
avatar Jerry Khan | 
Brewenn, Argumentez au lieu d'avancer des thèses qui vous dépassent... On le répète à votre petit cerveau....La faille en question - avec ou sans anti-virus ->> même résultat. Que vous le vouliez ou pas.
avatar shoko | 
A quand les Mac livrés avec Norton ?
avatar Brewenn | 
@Binkin Malgré les bons conseils des [i]bidouilleurs[/i]. Je confirme Continuez d'utiliser votre anti-virus, surtout si vous travaillez en réseau avec d'autres entités. :)
avatar james85 | 
[quote=Ritchie_007]Donc, il a utilisé une faille de Safari, pas du kernel d'OS X. Où est vraiment la faille, à quel niveau des bibliothèques, système ou Safari pur [...] Pour moi, ce n'est pas une faille d'OS X, puisqu'on est pas obligé d'utiliser Safari pour naviguer [/quote] Bon là, c'est du "il faut sauver le soldat Apple" à tout prix. Safari est le browser livré en standard avec Mac OS X (d'ailleurs pour télécharger FF, il te faudra Safari, non ?). Ensuite les règles disaient qu'il fallait utiliser les outils standards. Tu peux contester les règles si tu veux, mais ce sont celles-là qui sont utilisées. Avec ce genre d'argument, on peut dire que Windows est sûr puisqu'il suffit d'utiliser FF ou Opera à la place d'IE. Et puis limiter un OS à son seul kernel, c'est un peu réducteur, non ? C'est du purisme qui ne tient pas compte de la réalité : un OS, c'est un kernel plus des dizaines d'outils (la plupart indispensables) qui sont livrés en standard. Le jour où on livrera Mac OS X ou Windows sans browser, dans éditeur de texte simple, sans logiciel de parcours des disques durs, sans logiciel de connexion au réseau, .. àa risque de devenir assez coton à utiliser.
avatar annafred | 
Croire qu'un OS est totalement sur et dénué de faille est un leurre. De plus, ne se préoccuper que de l'OS est une erreur. Adobe reader et acrobat reader, largement répandu sur mac malgré aperçu (qui lit les pdf), présente une belle faille de sécurité qu'aucune mise à jour apple ne corrigera : http://www.adobe.com/support/security/advisories/apsa08-01.html (le pire chez Adobe, c'est que toutes les versions sont affectées et qu'un correctif ne sera dispo que pour les versions 7 et 8 !!!)
avatar Jerry Khan | 
Binkin, Oubliez les propos de l'autre illuminé.....c'est un ingé NT à la retraite....le genre même de type qui a fait la "gloire" de Microsoft. Il est imprégné des mécanismes windoze et de facto ne comprend rien à rien.
avatar kotek | 
@Brewenn +1 J'ajouterai même : lavez-vous les dents tous les soirs. Ca aussi c'est utile !
avatar Brewenn | 
Entre l'OS, kernel, outils, devices, utilitaires, codecs, applis .... combien de lignes de code ? Le Risque 0, ce n'est pas pour demain ...
avatar Jerry Khan | 
Récapitulons: Est-ce que le hacker a eu besoin de "préparer" son mac avant de le faire tomber (changer les paramètres systèmes etc etc ?) ? Est-ce que le hacker a eu besoin de rentrer (donc de connaître) le mot de passe admin du compte ? Est-ce que le hacker a bien utilisé l'OS dans sa dernière mise à jour ? Bref, tant qu'on a pas de réponse à ces 3 questions, on sait pas vraiment si le vainqueur a mérité ses 10 000 euros.
avatar thierry61 | 
Moi ce que je n'ai pas compris c'est si cette manip' équivaut à une sorte d'escalade de privilèges. En fait difficile de comprendre quelque chose, vu que de toute façon, on n'a pas le détail de la manip'. A part s'engueuler avec Brewenn, je voies pas ce qu'on peut dire d'autre pour le moment. Une chose est sur, c'est que le coup du "2 minutes" ne correspond à rien du tout.
avatar pad-awan | 
Ouch ! le "kickinyourface" fait bien mal quand même. "Si le Mac est hors jeu, les PC sur Linux et sous Windows Vista tiennent toujours. Cela montre bien qu’aucun ordinateur n’est invulnérable." Bon en gros "os x: Shame on you". Ok, le discours sur "OS X ça craint rien, c'est une tuerie" n'est plus vrai, mais je suis pas près de le lâcher pour des raisons de failles. Parce que Linux et la MAO, bah c'est pas gagné ! Et ne parlons pas de vista, qui a lui tout seul nécessite une barrette de mémoire de 1 Go et des m***** à chaque utilisation. Donc je resterai sur ma bonne vieille passoire OS X coûte que coûte. Na !
avatar Hindifarai | 
Toutes ces pages pour une faille critique certes mais en remote??? A moins de fournir votre machine à un mec capable de découvrir la faille dont safari semble souffrir il n'y a pas vraiment de quoi sourciller. Quant à Brewenn le fait de différencier "OS, kernel, outils, devices, utilitaires, codecs, applis" dans ton post montre à quel point tu maitrise le domaine de la sécurité informatique(et informatique en général)...un vrai professionnel qui sait de quoi il parle!!

Pages

CONNEXION UTILISATEUR