Un MacBook Air hacké en deux minutes

Christophe Laporte |
La conférence CanSecWest a débuté il y a deux jours. Comme l’année dernière, les organisateurs de cet événement dédié à la sécurité ont mis à disposition des hackers un ordinateur sous Linux, un sous Windows et un MacBook Air sous Mac OS X. Le premier qui réussissait à hacker une machine repartait avec ainsi qu’avec un joli chèque de 10 000 $.

Lors du premier jour où les hackers n’avaient pas le droit d’accéder physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis hier, comme le prévoit le concours, ils pouvaient les approcher. Toutefois, ils n’avaient le droit que d’utiliser les logiciels livrés en standard avec le système.

À partir de ce moment-là, il n’a pas fallu deux minutes à Charlie Miller pour mettre en défaut le MacBook Air. Pour parvenir à ses fins, il a semble-t-il exploité une faille de Safari. Il a pu obtenir le contrôle total de l’ordinateur en se rendant sur un site web malicieux à l’aide du butineur d’Apple. Nul doute qu'il avait préparé son coup longtemps à l'avance. Les détails sont pour l’heure très spartiates. Comme le prévoit le règlement du concours, le gagnant ne peut s’exprimer clairement sur le sujet tant qu’Apple n’a pas été prévenu de la faille et tant qu’elle n’a pas été corrigée.

Charlie Miller n’est pas le premier venu toutefois, il fut l’un des premiers à réussir à hacker l’iPhone l’année dernière (lire notre article : une faille pour l'iPhone). En utilisant un procédé similaire, il avait trouvé un moyen permettant de récupérer à l'insu de l'utilisateur un nombre important d'informations (SMS, Carnet d’adresses…).

Si le Mac est hors jeu, les PC sur Linux et sous Windows Vista tiennent toujours. Cela monte bien qu’aucun ordinateur n’est invulnérable, mais ce n'est pas pour cela que du jour au lendemain, le Mac est devenu une véritable passoire. Notez bien que les hackers ont eu un accès physique au MacBook Air, chose plutôt rare, avant de pouvoir le hacker.

L’année dernière déjà, le chercheur en sécurité, Dino Dai Zovi, avait remporté le concours en exploitant une faille non documentée de Mac OS X relative à Java et QuickTime. Cette dernière pouvait d’ailleurs également être exploitée sur un PC. Ayant décidé de ne pas participer au concours cette année, il a tenu cependant à appeler Charlie Miller pour le féliciter.
avatar james85 | 
[quote=Jerry Khan]Bref, tant qu'on a pas de réponse à ces 3 questions, on sait pas vraiment si le vainqueur a mérité ses 10 000 euros.[/quote] Il est bien sûr évident que le concours se déroulait sur Windows XP SP1, sur Mac OS X 10.2 et sur RedHat 1.0, qu'il y avait des post-it collés sur l'écran avec marqué le mot de passe de l'admin (lequel mot de passe était "password") et que chaque hacker est venu avec une machine qui lui avait été confiée 6 mois avant afin de bien la préparer. Il est bien sûr évident que les 10.000$ (et pas euros) ont été attribués à celui qui avait le plus joli t-shirt. D'ailleurs, la preuve que ce concours est bidon, c'est que cette conférence est sponsorisée par Microsoft, Google et Cisco et pas par Apple. Qu'est-ce que tu veux encore comme réponse ? Est-ce que le vainqueur a été payé en faux billets pour un faux hackage ?
avatar Jerry Khan | 
James, Ya déjà eu des "exploits" du même acabit pour lesquels un des 3 points que j'ai cités était d'actualité. Fais des recherches dans macgé mon grand.
avatar pad-awan | 
Vous savez ce que donne le titre de cette news en Ch'ti ? "Un Picon bière Air hacké en deux minutes" !!! C'est "lolesque". [url=http://chti.logeek.com/]
avatar françois bayrou | 
Pour récapituler, jerrykhan, au lieu de spéculer sur des 'ouaaais si ca se trouve ils ont installé macos sans mises à jour' il suffit de lire les infos. > Est-ce que le hacker a eu besoin de "préparer" son mac avant de le faire tomber Non. > Est-ce que le hacker a eu besoin de rentrer (donc de connaître) le mot de passe admin du compte ? Non. Tu pensais VRAIMENT qu'ils allaient donner le password admin aux hackers ? > Est-ce que le hacker a bien utilisé l'OS dans sa dernière mise à jour ? Three targets, all patched. All in typical client configurations with typical user configurations. Voilà. En attendant, tu peux minimiser l'affaire comme tu veux mais vista lui, il a tenu combien de temps, dans les mêmes conditions ?
avatar pad-awan | 
C'est HS, mais ça me fait rire. Surtout la page d'accueil de macgé http://chti.logeek.com/
avatar Jerry Khan | 
Bayrou, T'es aussi limité sur macgé qu'en politique. Il s'agit pas de "minimiser", il s'agit de "relativiser"...Pour résumer cette affaire pour le moment, ni toi ni moi n'avons de détails précis.
avatar pacou | 
@supermoquette Enfin quelque chose de drôle dans ces réactions. Merci
avatar Brewenn | 
Le fanatisme prospère [s]souvent[/s] toujours sur le terreau de l'ignorance. :((
avatar françois bayrou | 
Mais au moins je sais lire ... Les questions que tu poses ont leurs réponses sur le site. Des détails précis il y en a. Il en manque certes mais il y en a : Les machines sont patchées. Pas de logiciels additionnels installés sur les machines. Les browsers ont les plugins habituels installés par défaut. Les réglages réseau, partage, etc. sont ceux par défaut. Accès physique à la machine le 2nd jour.
avatar Jerry Khan | 
Bayrou, C'est donc bel et bien Safari 3.1 ?
avatar Un Vrai Type | 
@françois bayrou : Ils ont eu le droit de demander des manipulations aux opérateurs. Aussi on NE SAIT PAS si : "Safari demande toujours une confirmation avant d'ouvrir un document provenant du Web. Y'a t'il eu cette demande ? A-ton cliqué sur "Ouvrir" et y'a t'il eu demande de mot de passe ?" Ce qui est CERTAIN : Il faut aller sur un site préparé à l'avance, exécuter une application (sciemment ou non mais à ma connaissance, tout script passe par une boite de dialogue). Pourquoi ne pas demander d'autres manipulations ? Quelles ont été ces manipulations ? Cela n'enlève rien à la faille, ça la rend juste inexploitable. Enfin, quelles accès a t'il eu et par quel mécanisme ? Si il a eu un accès ssh en root c'est une faille du système (probablement existante dans tous les BSD) même si la porte est safari. S'il a eu accès aux log/pass relatif à Safari, c'est une faille de Safari S'il a eu accès à Keychain, c'est une faille dans Keychain accessible depuis safari... Bref, inutile de spéculer à l'heure actuelle, puisque la faille est inexploitable sans manipulation volontaire de l'utilisateurs. La vraie question est quelles manipulations ont été demandées...
avatar françois bayrou | 
moi je lis "all patched"...
avatar BananaJoe | 
Moi qui me croyais en sécurité totale avec OS X. Bon, je vais me remettre à travailler uniquement au fax, comme les avocats tiens... C'est plus sûr.
avatar divoli | 
J'ai beau lire toutes vos réactions, toutes vos critiques, je n'arrive pas à donner grande importance à cette news, en étant simple utilisateur (et non pas ingé réseau ou je ne sais quoi). Ce que je lis, surtout, et en essayant de garder un minimum les pieds sur terre, c'est que: 1. le type a du avoir accès physiquement à l'ordinateur (parce qu'à distance il n'y est pas arrivé, et cela c'est important), 2. il a pu avoir accès à un compte utilisateur. C'est-à-dire que, pour être pragmatique, on lui a déjà très largement faciliter le travail (qu'il a du certainement préparer à l'avance). Le reste, cela me semble un concours de tirage à l'élastique, de la masturbation intellectuelle pour trouver une simple faille (dont j'ai du mal à estimer réellement la gravité) qui sera vite corrigée.
avatar Brewenn | 
D'ailleurs les équipes de développements de chez APPLE sont stupides à publier régulièrement des correctifs [i]Risque : Critique (4/4)[/i] pour OS X, Safari, Quicktime, Aperture, iPhoto etc.. Alors que les deux spécialistes en sécurité que sont, Jerry Khan et Un Vrai Type nous confirment l'impossibilité d'exploiter ces failles. C'est pourtant pas compliqué :[b]SUR APPLE VOUS NE RISQUEZ RIEN[/b] Sont lourds chez APPLE, et un grand merci à nos deux "Experts".
avatar Brewenn | 
Et si vous ne comprenez pas ce qu'expliquent nos deux experts! [url=https://www.macg.co/news/voir/129460/une-banque-d-organes-mac-en-suisse]Le hasard, fait bien les choses...[/url]
avatar annafred | 
A ceux qui disent que c'est trop facile, il a eu accès à l'ordinateur physiquement ... Le problème n'est pas là en fait. Safari a une faille exploitable en allant sur une page web dont le contenu utilise cette faille pour, par exemple, installer un VNC sur l'ordi avec vos droits (la pluparts admin d'ailleurs ...). Une personne mal intentionnée crée une bannière de pub dont le contenu exploite la faille, la publie pour 50 dollars sur google, macg, ou autre. Toute personne accédant avec Safari à cette bannière de pub exécute ce code malicieux sans le savoir, et installe à son insue n'importe quoi sur son poste : keylogger, vnc, serveur smtp pour envoyer du spam ... bref, ce qui a été prévu par le hacker. Et là, linux, windows ou OSX, ça marche parce que celui qui exécute ce code, c'est l'utilisateur admin lui-même.
avatar Jerry Khan | 
Toi le vioc ferme donc ton claque-fiantes arrogant et commence par ecrire Apple correctement ...... et à pas confondre tout et n'importe quoi ! Mais écoutez donc Brewenn et installez un anti-virus vous serez eparné par une faille BSD !! ha ha ha !
avatar GasyKaManja | 
Ca devrait bien arriver un jour et cela ne m'étonne pas. Moi, quand je suis passé à OSX en 2005, ça m'a toujours étonné qu'en 3 ans, je n'ai encore rien chopé. Car contrairement a ce que pense les swicheurs et autres fanatiques récents, il avait des virus sous Mac OS < 10, très peu, mais ça existait. Pourtant dans les années < 2000, le mac n'était pas du tout connu, donc très peu d'utilisateurs. A la fac, même sans le net et rien qu'en s'échangeant des disquettes avec 3 pecnos et chopait des virus. Donc j'avais fortement des doute sur l'argument du : le mac c'est pas connu, donc il n'y a pas de virus. Peut être que ça y contribue, mais ce n'est pas toute la raison. Moi ma théorie, c'est que les pirates étaient très rarement sur Mac ou ceux qui en avait préféraint polluer les windosiens. Et, c'est bien connu, qu'en général, et n'en déplaise a ces détracteurs, les macqueux, chérissent leurs machines (pirate ou pas) Maintenant, le risque, c'est plutôt, la jalousie, on en parle tellement du mac en ce moment que les pirates, vont s'y interresser. Surtout que ça peut faire tourner Windows aussi. Donc, on était tranquille, le temps qu'ils découvrent le plate-forme toussa, toussa ... Mais là, je pense qu'il faudrait se préparer aux invasions. @shoko & Brewen : tu parle de sectarisme .... faux croire que vous faites parti de la secte des anti-apple. Et comme on dit souvent celui qui dit qui y est. En attendant mon premier virus (le plus tard possible) ... bien le bonjour vous.
avatar divoli | 
annafred, je n'ai pas bien compris. Il faudrait que l'utilisateur procède à l'installation en entrant son code admin, c'est bien ça ?
avatar Brewenn | 
@GasyKaManja Non non moi apprécie, beaucoup mon vieil iMac de chez [b]APPLE[/b], un peu moins les pieds nickelés qui idolâtrent la marque, oubliant toute objectivité.
avatar pacou | 
Y sont vénèrent, y sont vénèrent, y sont vénèrent les p'tits Macqueux! (à lire en chantant, car la musique adoucit les moeurs) Tout ça pour un pôv Mac'Hack. J'en ai Mac'laque. :-)
avatar Anonyme (non vérifié) | 
pas de probleme moins de monde sur mac fera un mac plus sur... que tous les "j hesite" restent sur win.
avatar beus | 
Bonjour tout le monde, je n'ai pas l'habitude de perdre du temps à défendre aveuglément mais surtout avec idiotie des systèmes d'exploitation, mais aujourd'hui je tiens à réagir sur toutes ces réactions qui montrent bien l'esprit étriqué de la niche des utilisateurs acharnés de mac. Une faille existe et a été démontrée, pourtant vous ne l'acceptez pas ! Etant un informaticien professionnel, développeur et concepteur d'application web ou pas, j'utilise actuellement 2 ordinateurs pour travailler, un imac sur leopard et un pc sur windows xp. Je développe sur windows, car des outils comme eclipse sont inexploitable sur un mac, quelque soit sa puissance, car c'est un système anémique qui consomme de la mémoire à outrance. Du coup, j'utilise mon imac pour lire mes mails et afficher le résultat de mes projets web sur FIREFOX et malheureusement sur cette horreur qu'est SAFARI. SAFARI est comme IE, un logiciel propriétaire qui n'a d'existence que par besoins de concurrence. L'avenir, c'est FIREFOX, d'ailleurs je comprends rien à la politique d'Apple qui ne remplace pas son SAFARI par un FIREFOX bien plus soutenu, et qui à terme est le seul à pouvoir vaincre cette drouille de IE. Conclusion : utilisateurs de mac acharnés : utilisez FIREFOX, pour le bien de l'humanité !
avatar divoli | 
Ben on en est à la 13ème màj de sécurité de FF2 (la dernière a corrigé 6 failles)...

Pages

CONNEXION UTILISATEUR