Un MacBook Air hacké en deux minutes

Christophe Laporte |
La conférence CanSecWest a débuté il y a deux jours. Comme l’année dernière, les organisateurs de cet événement dédié à la sécurité ont mis à disposition des hackers un ordinateur sous Linux, un sous Windows et un MacBook Air sous Mac OS X. Le premier qui réussissait à hacker une machine repartait avec ainsi qu’avec un joli chèque de 10 000 $.

Lors du premier jour où les hackers n’avaient pas le droit d’accéder physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis hier, comme le prévoit le concours, ils pouvaient les approcher. Toutefois, ils n’avaient le droit que d’utiliser les logiciels livrés en standard avec le système.

À partir de ce moment-là, il n’a pas fallu deux minutes à Charlie Miller pour mettre en défaut le MacBook Air. Pour parvenir à ses fins, il a semble-t-il exploité une faille de Safari. Il a pu obtenir le contrôle total de l’ordinateur en se rendant sur un site web malicieux à l’aide du butineur d’Apple. Nul doute qu'il avait préparé son coup longtemps à l'avance. Les détails sont pour l’heure très spartiates. Comme le prévoit le règlement du concours, le gagnant ne peut s’exprimer clairement sur le sujet tant qu’Apple n’a pas été prévenu de la faille et tant qu’elle n’a pas été corrigée.

Charlie Miller n’est pas le premier venu toutefois, il fut l’un des premiers à réussir à hacker l’iPhone l’année dernière (lire notre article : une faille pour l'iPhone). En utilisant un procédé similaire, il avait trouvé un moyen permettant de récupérer à l'insu de l'utilisateur un nombre important d'informations (SMS, Carnet d’adresses…).

Si le Mac est hors jeu, les PC sur Linux et sous Windows Vista tiennent toujours. Cela monte bien qu’aucun ordinateur n’est invulnérable, mais ce n'est pas pour cela que du jour au lendemain, le Mac est devenu une véritable passoire. Notez bien que les hackers ont eu un accès physique au MacBook Air, chose plutôt rare, avant de pouvoir le hacker.

L’année dernière déjà, le chercheur en sécurité, Dino Dai Zovi, avait remporté le concours en exploitant une faille non documentée de Mac OS X relative à Java et QuickTime. Cette dernière pouvait d’ailleurs également être exploitée sur un PC. Ayant décidé de ne pas participer au concours cette année, il a tenu cependant à appeler Charlie Miller pour le féliciter.
avatar daito | 
[quote]SAFARI est comme IE, un logiciel propriétaire qui n'a d'existence [quote] NON NON NON , LE MOTEUR WEBKIT DE SAFARI EST OPENSOURCE ET LIBRE!!!! Il est aussi performant que Firefox, les deux se valent!!! [quote]système anémique qui consomme de la mémoire à outrance.[quote] hein???? C'est quoi le système qui consomme de la mémoire à outrance??
avatar neomac27 | 
ben moi je trouve la news plutot rassurante pour ts les possesseurs d'ordi mac ou pc. Le vrai pb reste l'acces a distance via le reseau pour moi. Apres il faut un que votre ordi soit dans les mains d'un inconnu et deux qu'il soit un des meilleurs hacker du monde, je vais dormir tranquille cette nuit...
avatar gaetanfo | 
«la politique d'Apple de trop croire à l'invulnérabilité de son système» Il faut dire que nous, les utilisateurs, somment bien crédule. Heureusement l'agnosticisme progresse, mëme sur ce site.
avatar USB09 | 
en fait c'est une vielle methode que apple lui meme avait deja explique le truc n'aurait pas du :(
avatar Jerry Khan | 
Les professionnels auto-proclamés comme beus et l'autre neuneu Brewenn qui ignorent que Safari est basé sur webkit qui est un moteur opensource me fait rire à défaut de pleurer.... Et d'ailleurs est-on sur que cela vienne bien de Safari et pas d'un de ses plug-ins ? comme celui de Quicktime par exemple ? Non personne ne sait encore.....donc du calme les nains !
avatar Cactaceae | 
@beus : t'as tout faux ! Juste pour répéter ce qu'a dit Daito : webkit c'est OPENSOURCE (tout caps, pour bien le lire hein)… Je n'aime pas les ayatollahs, quelque soit leurs bords. FF vaut ce qu'il vaut, Safari aussi. L'un est peut-être meilleur que l'autre… j'en sais rien, même si j'ai mon opinion sur la question. Dans le cas présent, la faille est du côté de Safari, car installé de base sur un Mac. FireFox l'est sur Linux. Le linux n'a pas été inquiété. FF est donc aujourd'hui plus sûr que Safari. IE l'est sur Windows. le pc n'a pas été inquiété. IE est donc plus sûr que Safari. Mais ceci c'est juste par ignorance, ignorance actuelle des failles cachées (par définition) de chaque navigateur. Quoiqu'il en soit, Safari a pris une grosse méchante baffe. il n'y a même pas à revenir la dessus !
avatar beus | 
Oui je confirme : MAC OS X Leopard est anémique et consomme de la mémoire (et n'en libère pas souvent) bien plus qu'un windows XP (à configuration rigoureusement équivalente Core2 Duo 2.4 et 2go ram). Quoiqu'il en soit j'apprécie Mac OS X pour son apparence léchée et dans une moindre mesure pour son ergonomie idéaliste, choses qui m'inspirent dans la conception d'applications, mais pour tout ce qui est technique, performance, stabilité, productivité il n'y a rien de mieux qu'un windows XP controlé par quelqu'un qui connait vraiment bien windows XP ! Après pour les gens qui ne font que consulter des mails et aller sur internet ou qui sont nouveaux en informatique, je dis pas, vive MAC OS X. Par contre, excusez moi, mais un logiciel comme SAFARI, ça devrait laisser place à un FIREFOX beaucoup plus supporté, et qui j'insiste sera le seul à pouvoir repousser ie.
avatar lennoyl | 
deux minutes + des mois a cherché la faille de safari, à réussir à l'exploiter, et à prier qu'aucun autre ne la trouve pour qu'elle ne soit pas corrigée d'ici le Cansetwest en tout cas, ça n'enleve rien à l'exploit de la personne. mais moi, ca ne m'empechera pas de continuer à utiliser mon mac sans antivirus, sans firewall, sans anti-spyware, etc...
avatar Brewenn | 
[i]Brewenn qui ignorent que Safari est basé sur webkit qui est un moteur opensource[/i] Si si, moi bien au courant de la chose !
avatar beus | 
Donc parce que WebKit est opensource, j'ai tout faux ??? Au contraire, si Apple prone pour un navigateur basé sur de l'open source, alors il n'a qu'à soutenir FIREFOX !!! Arrêtez de croire que je suis anti mac, parce que je ne me mets pas à genoux devant Apple !!! Je prends ce qui est le mieux pour travailler et pour mon utilisation personnelle, donc les 2 car Windows et Mac OS ont chacun des qualités indégnables ! Arrêtez le sectarisme ça devient vraiment pesant
avatar Jerry Khan | 
On lui dit à beus que: IE n'existe pas (plus) sous OS X ou pas ?
avatar Mikokola | 
Non, je n'ai rien à dire c'est juste pour depasser les 10 pages de commentaires... alors je prend des espaces Vous ne m'en voudrez pas...
avatar daito | 
Il y a une faille dans Safari ok (mais je demande à voir les conditions exactes de l'exploit). Ce qui me gène moi, c'est tout ce qui a autour. NON, il n'a pas fallu à ce type deux minutes pour faire son exploit (la news de MacG est aussi trompeuse que provocatrice)!! Il est clair qu'il a cherché, préparé, élaboré son affaire depuis un moment UNIQUEMENT sur le Mac et rien que le Mac (j'imagine car justement le Mac a cette aura de la sécurité ultime). En d'autres termes, s'il avait cherché, préparé, élaboré son exploit mais sur la machine sous Linux ou Vista, le titre de cette news aurait été, à coup sûr différent. Ok il y a une faille (comme toujours et elle sera corrigée) mais dire, voilà le système Mac a été le plus facile à craquer, c'est faux. Quand on concentre tous ses efforts sur un but précis, on a tout les chances de l'atteindre au détriment du reste.
avatar Brewenn | 
On lui a dit à Jerry Khan que [url=http://www.google.com/search?as_q=safari&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]Safari[/url] et [url=http://www.google.com/search?as_q=webkit&hl=fr&newwindow=1&client=safari&rls=fr&num=100&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=frsirt.com&as_rights=&safe=off]webkit[/url] sont des passoires. ?
avatar beus | 
Crois moi si Internet explorer pouvait disparaitre, ou se conformiser, je serais le plus heureux du monde ! C'est bien pour ça qu'il faut tout miser sur le vrai concurrent d'ie, firefox ! Safari ne pourra jamais avoir la prétention de prendre le dessus sur ie, il doit laisser place à FIREFOX, et les développeurs Web retrouveront alors un respect uniforme des normes !
avatar beus | 
daito, cherche pas d'excuse à SAFARI, en disant que le mec qui l'a hacké avait réussi uniquement parce qu'il avait préparé son affaire depuis des semaines !!!! Ne crois tu pas que les mecs ont cherché la solution la plus facile pour obtenir les 10000 $ ???
avatar enka | 
Sympa ça, avant on avait le malheur de n'avoir plus qu'un navigateur réellement potable (IE 5) et maintenant qu'on a la chance d'avoir plusieurs très bon navigateurs (Sagari, FireFox, etc), toit u voudrais revenir en arrière... On arrête pas le progrès... Et certes, MacOS X bouffe peut-être plus de mémoire que XP, mais au moins y'a du multitache UTILISABLE
avatar beus | 
Bon allez ça suffit, je suis de toute façon bien content de ne pas faire parti d'aucune secte, ça rend tellement idiot !
avatar daito | 
Dire que Mac OS X prend plus de mémoire que XP est un mensonge!!!! C'est faux, ça ne repose que sur les propos d'un type qui a l'air complément ignorant du monde Mac!!! Donc justement, beus. Tu en sais rien que l'exploit décrit ici est le simple ou pas. Tu n'en sais rien du tout. Si il avait cherché sur les deux autres machines, il aurait peut être trouvé quelque chose de plus simple (sur Vista, à coup sûr, moi aussi je troll.....).....Ce que je dis est que le mec s'est concentré sur Mac, depuis un moment je pense, et il a juste utilisé le fruit de son travail. Qu'il existe des exploits plus compliqués, peut être....plus simple à coup sûr aussi!!
avatar daito | 
"il doit laisser place à FIREFOX, et les développeurs Web retrouveront alors un respect uniforme des normes !" c'est beau!!!! Je voudrais bien comprendre le rapport entre la présence de Safari sur le marché des butineurs et l'absence de "respect uniforme des normes"???
avatar oomu | 
je trouve peu de qualités indéniables à windows XP et encore moins à vista le système fonctionne, mais il est clairement moins performant qu'un bon linux ou que leopard. et je n'en démordrai pas. j'ai déjà longuement écrit en long et en large sur des aspects techniques au cours des mois ici l'univers windows est aussi une catastrophe, faites de spywares, de logiciels mal foutus, d'accord et partenariats qui foutent des conneries sur les machines vendues en boutiques, et j'en passe. si on commence ensuite sur des considérations de conforts d'utilisation et design, ca devient l'hallali , j'ose même dire que Linux est plus simple que VISTA à utiliser. (mais les logiciels et le support matériel ? ben... donc mac!) - mAIS BON DIEU on s'en FOUT DE WINDOWS. et des indéniables qualités ou défauts de Vista et XP. rien à fiche, définitivement. et windows peut très bien ne pas la bouffer, la plupart des versions grands publics de windows ne savent pas utiliser au dela du 3eme giga de ram. or, à moi, ca me sert. pas vous ? rien à fiche. le problème ici est que Safari ici a définitivement un bug grave de sécurité. mais on a pas les détails. est ce safari 3.1 ? faut il aller sur une page web alambiqué que personne n'ira jamais parce qu'il est pas possible de tromper l'utilisateur sur l'adresse de la dite page ? no sé. je dis une chose par contre : Firefox 3 sera bourré de mesures pour bloquer ce genre de site, il intégrera même une liste noire des sites de pirates et sera mis à jour régulièrement. rappelons que safari avait le très connu bug du TIFF dont l'entête est exécuté comme du code. un bug qui a frappé presque tout ce qui utilisait tiff depuis des années. l'iphone l'avait aussi (hé!, évidemment vu qu'il hérite du code de safari mac ) bref, la vie c'est dure. - et ce n'est pas nouveau - et encore une fois, je reste accroché comme un poux : C'est toujours pas "je branche le mac et PAF piraté !" alors que windows OUI.
avatar daito | 
"On lui a dit à Jerry Khan que Safari et webkit sont des passoires. ?" J'aime bien ce jeu : http://www.google.com/search?client=safari&rls=fr-fr&q=firefox+faille&ie=UTF-8&oe=UTF-8 http://www.google.com/search?client=safari&rls=fr-fr&q=firefox+memory+corruption&ie=UTF-8&oe=UTF-8 Je continue avec IE7???
avatar Brewenn | 
Logique le sniffeur à plus de chance de tomber rapidement sur les "paquets" des 95 PC/Windows que sur ceux des 3 MAC/OS X.
avatar Brewenn | 
@daito Inutile je les ai déjà mis en page 2
avatar beus | 
Pardon, je suis pas fanatique d'apple alors je connais rien à mac os. Ah oui, d'ailleurs je suis pas fanatique de microsoft, donc je ne connais rien a windows. Une chose est sûre, je suis un fanatique du confort de travail, de la productivité, et j'ai devant moi 4 écrans branchés sur 2 ordinateurs dont un IMAC 24" sur leopard et un PC équivalent, avec dessus 4 systèmes d'exploitation : linux, leopard (hackintosh vous connaissez ?), xp et vista 64bit. Ce qui au final fait : 2 écrans sous xp et 2 écrans sur léopard, souris et clavier partagé grace à ce fabuleux programme : synergy (http://synergy2.sourceforge.net/) Cette configuration est la plus propice à mon travail car elle m'offre les qualités d'un xp et celles d'un leopard. C'est bon, j'utilise un mac vous voyez, j'ai le droit de pas être traité comme un ignorant ???

Pages

CONNEXION UTILISATEUR