Un MacBook Air hacké en deux minutes

Christophe Laporte |
La conférence CanSecWest a débuté il y a deux jours. Comme l’année dernière, les organisateurs de cet événement dédié à la sécurité ont mis à disposition des hackers un ordinateur sous Linux, un sous Windows et un MacBook Air sous Mac OS X. Le premier qui réussissait à hacker une machine repartait avec ainsi qu’avec un joli chèque de 10 000 $.

Lors du premier jour où les hackers n’avaient pas le droit d’accéder physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis hier, comme le prévoit le concours, ils pouvaient les approcher. Toutefois, ils n’avaient le droit que d’utiliser les logiciels livrés en standard avec le système.

À partir de ce moment-là, il n’a pas fallu deux minutes à Charlie Miller pour mettre en défaut le MacBook Air. Pour parvenir à ses fins, il a semble-t-il exploité une faille de Safari. Il a pu obtenir le contrôle total de l’ordinateur en se rendant sur un site web malicieux à l’aide du butineur d’Apple. Nul doute qu'il avait préparé son coup longtemps à l'avance. Les détails sont pour l’heure très spartiates. Comme le prévoit le règlement du concours, le gagnant ne peut s’exprimer clairement sur le sujet tant qu’Apple n’a pas été prévenu de la faille et tant qu’elle n’a pas été corrigée.

Charlie Miller n’est pas le premier venu toutefois, il fut l’un des premiers à réussir à hacker l’iPhone l’année dernière (lire notre article : une faille pour l'iPhone). En utilisant un procédé similaire, il avait trouvé un moyen permettant de récupérer à l'insu de l'utilisateur un nombre important d'informations (SMS, Carnet d’adresses…).

Si le Mac est hors jeu, les PC sur Linux et sous Windows Vista tiennent toujours. Cela monte bien qu’aucun ordinateur n’est invulnérable, mais ce n'est pas pour cela que du jour au lendemain, le Mac est devenu une véritable passoire. Notez bien que les hackers ont eu un accès physique au MacBook Air, chose plutôt rare, avant de pouvoir le hacker.

L’année dernière déjà, le chercheur en sécurité, Dino Dai Zovi, avait remporté le concours en exploitant une faille non documentée de Mac OS X relative à Java et QuickTime. Cette dernière pouvait d’ailleurs également être exploitée sur un PC. Ayant décidé de ne pas participer au concours cette année, il a tenu cependant à appeler Charlie Miller pour le féliciter.
avatar stephlegab | 
Franchement, ça m'empêchera pas de dormir ce soir. Le mec est un hacker de luxe...et ce genre de mec, on en croise pas tous les jours...et apple corrigera le tir.... et dire que le multi taches est meilleur sur windaube.....c'est trop marrant !!! C'est le multi taches avec 10 appli ouvertes sous leopard que j'aprécie le plus.....
avatar mfam | 
Bon alors ! On s'inquiète ou pas?! S.v.p. Faudrait qu'on m'explique comme on le ferait à un néophyte de l'église Apple. Ça serait apprécié surtout avec moins d"émotivité, étant plus dans la création visuelle qu'un artiste du code.
avatar beus | 
C'est à mourir de rire, maitenant le multi tache est meilleur sur mac que sur windows ! Prends un imac 24 " de base et ouvre un gros fichier sur photoshop cs3, fais pareil avec un pc équivalent sous xp, puis ouvre numbers, excel, pages, word, firefox, safari, ie, itunes Si tu veux on fait un pari ...
avatar Jerry Khan | 
On en fait quoi des 2 lascars ?
avatar Brewenn | 
Simple question d'égo De développeurs qui sont persuadés d'avoir écrit le meilleur programme (Un génie de l'informatique) De hakers qui se sentent valorisé d'avoir pu hacker ou découvert une faille (Un génie de l'informatique) Et les [i]indélicats[/i] qui vont trouver des failles et rester très discrets.... allez savoir pourquoi ? :((
avatar daito | 
"ardon, je suis pas fanatique d'apple alors je connais rien à mac os. Ah oui, d'ailleurs je suis pas fanatique de microsoft, donc je ne connais rien a windows. Une chose est sûre, je suis un fanatique du confort de travail, de la productivité, et j'ai devant moi 4 écrans branchés sur 2 ordinateurs dont un IMAC 24" sur leopard et un PC équivalent, avec dessus 4 systèmes d'exploitation : linux, leopard (hackintosh vous connaissez ?), xp et vista 64bit. Ce qui au final fait : 2 écrans sous xp et 2 écrans sur léopard, souris et clavier partagé grace à ce fabuleux programme : synergy (http://synergy2.sourceforge.net/) Cette configuration est la plus propice à mon travail car elle m'offre les qualités d'un xp et celles d'un leopard. C'est bon, j'utilise un mac vous voyez, j'ai le droit de pas être traité comme un ignorant ???" Soyons sérieux. Quand je lis que Safari est propriétaire, je suis en droit de me poser des questions sur tes compétences. Alors ça : "uoiqu'il en soit j'apprécie Mac OS X pour son apparence léchée et dans une moindre mesure pour son ergonomie idéaliste, choses qui m'inspirent dans la conception d'applications, mais pour tout ce qui est technique, performance, stabilité, productivité il n'y a rien de mieux qu'un windows XP controlé par quelqu'un qui connait vraiment bien windows XP ! " moi je suis tombé de ma chaise. Si tu connaîtrais vraiment Mac OS X, tu saurais qu'il est plus stable, bien plus stable que le XP (d'ailleurs l'argument de vente de Microsoft avec Vista a été une meilleur stabilité de ce dernier, on se demande pourquoi) bien plus rapide que le XP....tout ce que tu veux. Mac OS X a une bien meilleur gestion de la mémoire que XP, il faut arrêter de dire n'importe quoi! Le XP, tu lui lances plusieurs programmes, gourmands en ressources et c'est tout de suite les ralentissements, les blocages, les plantages. Et puis quand un type me parle de productivité et me dit utiliser aussi Vista 64 bits, c'est l'apothéose.
avatar Mac1978 | 
Synthèse de l'article et des 8 pages passionnantes: Si on veut éviter d'être "hacké", il ne faut pas laisser n'importe qui approcher de sa machine, puisque le gars a eu un accès physique (voire métaphysique) au MBA.
avatar fr1man | 
@beus Je bosse sans problème avec Eclipse sous Tiger. Et même que j'arrive à lancer un Eclipse, un JBoss, un iTunes, un safari. C'est fou, non ? Et pour Safari, que lui repproches tu exactement ? Moi je le trouve bien et je crois qu'au niveau des standards, il est pas mal placé. En tout cas, il a sa place parmi les navigateurs possibles, quoi que tu en dises.
avatar Stanley Lubrik | 
MAC CONTRE WINDOWS VULNERABILITES 2007 Dans les failles hautement critiques en 2007, on obtient 12 pour Vista, 19 pour XP et 234 pour OSX.... A en croire cet article : http://blogs.zdnet.com/security/?p=758 Je reprendrais bien un petit verre d'experts en tous genre pour commenter... 3 pages de nouveaux commentaires ????
avatar daito | 
à Stanley... Non pas la peine, étude Zdnet anti Apple (comme d'habitude) basé sur une méthodologie douteuse. Je t'invite à lire ceci : http://www.roughlydrafted.com/2007/12/21/vista-vs-mac-os-x-security-why-george-ous-zdnet-vulnerability-numerology-is-absurd/
avatar beus | 
"WebKit is an open source web browser engine. WebKit is also the name of the Mac OS X system framework version of the engine that's used by Safari, Dashboard, Mail, and many other OS X applications" Si j'en juge par cette petite phrase magique, WebKit est opensource, et est un framework utilisé par Safari, ce qui ne veut pas dire que safari est opensource. (Pour exemple, le noyau linux est open source, pourtant des distributions utilisant ce noyau sont payant (notammant redhat)) D'ailleurs, si je me rappelle bien, il y a eu une news aujourd'hui parlant d'une histoire dans les termes de licence d'utilisation de safari interdisant son utilisation sur une autre plateforme que mac, qui a du etre corrigé pour pouvoir l'utiliser légalement sur PC ! Si ça ce n'est pas une preuve de propriété ???? Bref, rien avoir avec mes compétences, d'ailleurs je ne suis pas omniscient, et je considère que se tromper n'est pas une preuve d'incompétence mais une façon de s'enrichir et de ne plus faire les même erreurs. J'aime bien tester et m'ouvrir aux systèmes existant. J'ai donc installé sur mon PC les 4 OS du moment donc XP Vista leopard et linux, par soucis de découverte. Cela ne veut pas dire que j'utilise Vista, oh non, d'ailleurs j'ai dit utiliser en production XP et leopard cote à cote alors il faudrait mieux lire monsieur ! Vista est réellement inexploitable, et super vérouillé, lent, graphiquement lourd et d'une ergonomie identique à XP ! Leopard est lent et nécessite plus de ressources que des systèmes linux ou windows mais il apporte une ergonomie et un plaisir graphique impressionant.
avatar daito | 
à beus toujours, Si tu remontes un peu, tu verras que j'ai bien indiqué que c'est webkit, le moteur de rendu qui est OpenSource (ce qui est déjà conséquent)!! Dire que Safari dans sa globalité est OpenSource est erroné mais dire aussi que Safari est propriétaire est faux aussi (indépendamment de la licence d'utilisation, c'est un autre problème, un autre sujet). Donc toi tu installes un OS que tu n'utilises pas?? Bon bref... Leopard qui demande plus de ressources que XP....il faut relativiser et cela dépend de l'utilisation!! Leopard fournit à l'utilisateur de nombreuses technologies que XP ne fournit pas...qu'il demande plus de ressources (notamment processeurs et carte graphique) c'est de la logique technique!! Compare ce qui est comparable!! je prends un autre exemple. Tiger fournit déjà plus de technologies que XP et pourtant les ressources demandées sont moindres que XP!! Et enfin, NON, NON, Leopard n'est pas plus lent que XP, c'est faux!!
avatar Jerry Khan | 
Avant de comparer XP à Leo, il faut déjà regarder les technologies embarquées dans l'un et dans l'autre...... Quid de Spotlight ou assimilé sur XP ? Quid de CI ou de CA ? Quid de Quartz ? Quid de TimeMachine ? J'en passe et des meilleurs.....
avatar daito | 
Juste l'exemple de la recherche sur XP!! Elle a des années d'une technologie comme Spotlight!!
avatar Brewenn | 
[url=http://lists.apple.com/archives/security-announce/2007//Jan/index.html]Janvier 2007[/url] :AirPort Extreme et QT. [url=http://lists.apple.com/archives/security-announce/2007/Feb/index.html]Fevrier 2007[/url] : OSX [url=http://lists.apple.com/archives/security-announce/2007/Mar/index.html]Mars 2007[/url] : iphoto, OSX, Airport, QT [url=http://lists.apple.com/archives/security-announce/2007/Apr/index.html]Avril 2007[/url] : OSX, Airport Extreme [url=http://lists.apple.com/archives/security-announce/2007/May/index.html]Mai 2007[/url] : Xserve, QT, OSX, PGP, Darwin, QT, OSX [url=http://lists.apple.com/archives/security-announce/2007/Jun/index.html]Juin 2007[/url] : Safari, OSX, OSX, APPLE TV, Safari [url=http://lists.apple.com/archives/security-announce/2007/Jul/index.html]Juillet 2007[/url] : OSX, Safari, iphone, QT, OSX [url=http://lists.apple.com/archives/security-announce/2007/Aug/index.html]Août 2007[/url] : Airport [url=http://lists.apple.com/archives/security-announce/2007/Sep/index.html]Septembre 2007[/url] : iPhones, iTunes [url=http://lists.apple.com/archives/security-announce/2007/Oct/index.html]Octobre 2007[/url] : Xcode, QT [url=http://lists.apple.com/archives/security-announce/2007/Nov/index.html]Novembre 2007[/url] : OSX, Safari, OSX, iPhone, iPod, QT [url=http://lists.apple.com/archives/security-announce/2007/Dec/index.html]Décembre 2007[/url] : Safari, OSX, Safari, OSX, Java, QT - [url=http://lists.apple.com/archives/security-announce/2008//Jan/index.html]Janvier 2008[/url] : QT, iPhone, iPod Touch [url=http://lists.apple.com/archives/security-announce/2008//Feb/index.html]Février 2008[/url] : OSX, QT, iPhoto [url=http://lists.apple.com/archives/security-announce/2008//Mar/index.html]Mars 2008[/url] : OSX, Aperture, DCR, Airport, OSX, Safari au 28 mars. Failles officielles [b]corrigées[/b] par APPLE
avatar pad-awan | 
@ daito: mais si beus a raison: léopard est plus lent que XP ............. si l'un est installé sur un ibook G3 et l'autre sur core2duo !!! Je fais beaucoup de MAO, et j'ai eu l'occasion de faire un stage de mastering où j'étais le seul à posséder un macbook pro. Et autour de moi, c'était un massacre. La plupart des pc portables avaient beau être quasiment neuf, windows xp était à la ramasse dès que 3 instru et deux plug in étaient en marches sous cubase (je ne me prononcerai pas non plus sur ce logiciel). Et je vous parle pas de vista ! Donc même si c'est SELON L'UTILISATION qu'on en a, Léopard est quand même bien plus rapide et stable !
avatar daito | 
à Brewenn, SVP, peux tu lire ceci : http://www.roughlydrafted.com/2007/12/21/vista-vs-mac-os-x-security-why-george-ous-zdnet-vulnerability-numerology-is-absurd/
avatar beus | 
Bon daito, apparemment je t'ai déstabilisé sur le sujet de SAFARI, mais je n'utiliserais pas cela pour te décrédibiliser complètement car je ne suis pas un fanatique, je suis juste une personne plus ouverte que toi sur ce qu'il existe en matière de logiciels et de systèmes d'exploitation. Aussi excuse moi d'avoir oser installer Vista 64bit pour voir à quoi ça ressemblait !!!! Mais tu vois, mon ordi n'en est pas mort pour autant, et moi non plus d'ailleurs, je suis juste plus à même que toi de juger VISTA car moi je l'ai utilisé et j'ai pu constaté ses lacunes alors que toi apparemment tu préfèrerais mourir plutot que de l'installer (évite juste de critiquer vista donc à l'avenir). Dire de manière absolu que Leopard n'est pas plus lent qu'XP est une erreur comme dire le contraire, donc j'ajouterais une part de relativité dans mes dires : "Par rapport aux logiciels que j'utilise que j'ouvre quotidiennement pour travailler ou pas sur un ordinateur, Leopard EST extremement plus lent qu'XP"
avatar spleen | 
Un coup de pied au derrière, de temps en temps, ça ne fait pas de mal... Au fait, on s'en fout totalement de savoir si le Mac est plus sûr ou moins sûr que Windows. Je précise ça juste pour que les pseudos experts en sécurité qui passent leurs journées à poster sur Macgé nous épargnent leurs analyses à 1 euro... L'important, c'est L'IDEE que les gens s'en font !!! Et là, je peux vous dire qu'avec une ou deux expériences de ce genre, avec un bon buzz, il faudra un peu plus que les réactions indignées de quelques lobotomisés de la Pomme ici et là pour remonter la pente !!!!!
avatar oomu | 
c''est pas pour être désagréable (je vous paye une bière ?) mais la mémoire c'est fait pour être utilisé. si vous voyez un système qui annonce avoir alloué fièrement vos 2go de ram, est ce que cela veut dire que c'est 2go rempli de bêtises et qui fait raaaaAmer l'ordi ? pas nécessairement. -- évidemment que spotlight avec son cache, il va vouloir le mettre en mémoire, et je dis "oui bravo !" du moment que si je lance aperture et lui ouvre 5 photos, l'os dise "spotlight, zou dans le disque dur" bref, encore une fois, avez vous le disque dur qui pédale ? l'ordi qui rame, à fonctionnalité égale? - et c'est le point que je conteste mordicus , évidemment que leopard a des technologies couteuses, pourtant , vous me donneriez un léopard avec 1go et un windows xp avec 1go, j'ai clairement l'impression que leopard fait un meilleur travail ! spotlight efficace, exposé fluide, mise en veille et réveil super rapide et j'en passe. ho et le finder me lourde moins que Explorer. Après hein, je reconnais pleinement qu'il existe des logiciels plus lourdingues sur mac que sur windows, et inversement. mais le truc de base est: la mémoire c'est fait pour servir ! je veux un os et des logiciels qui PROFITENT de la mémoire intelligemment pour aller + vite et un os capable de bien ordonner les choses. - et j'en reviens au coup des 3go. à moins d'avoir un windows vista premium Extrem death ++ 64B, ou un windows 2003 , les gens ont typiquement un windows qui n'adresse pas au dela de 3go. plus exactement un logiciel n'exploitera pas au delà de 3go et vos programmes sont tous collectivement restreints dans ces 3go. or, ca ne coute pas si cher de nos jours d'exploser cette limite, mon mac a 4,5go, et c'est vraiment un confort.
avatar beus | 
pad-awan : Ce qui confirme que selon l'utilisation qu'on en a l'un peut être plus rapide que l'autre ou inversement. Je vais quand même préciser que je fais du développement (avec eclipse), et dans une moindre mesure je fais du flash, de la PAO (avec notamment Photoshop ImageReady Quark InDesign ). Avec ces applications lancés, je fais tomber rapidement un Imac 24" Core2Duo 2.4Ghz 4Go RAM sous Leopard alors que mon PC Core2Duo 2.4Ghz 2Go RAM sous XP résiste très bien à la charge et consomme beaucoup moins de RAM (autant dire que 4Go sur un imac c'est un minimum syndical)
avatar oomu | 
enfin, bref, tout ca pour dire que je n'adhère pas au "je vois dans mon système que ca bouffe + de ram, donc c'est nul !" non! , si on parlait simplement de 2 programmes qui font strictement la même chose : charger une jpeg et la balancer à l'écran, et que l'un exige 500mo pour fonctionner et l'autre seulement 250mo pour l'identique ! ok la oui je dis, d'accord ! l'un est mieux que l'autre parce qu'il est économe en mémoire
avatar beus | 
Encore un paraphrasage fanatique : "je vois dans mon système que ca bouffe + de ram, donc c'est nul !" A puissance égale, pour les même logiciels, l'un se retrouve par terre et l'autre non, j'ai même pas parler de RAM car c'est globalement plus lent chez l'un de toute manière. Mais oui effectivement si un OS consomme plus de RAM et atteint sa limite, alors il swap sur le disque, et il faut pas être un expert pour savoir que la conséquence est une grosse chute de performance ! C'est d'ailleurs avec tout ça que je me retrouve avec un PC à 2Go RAM et un imac à 4Go RAM (à la base 2Go) pour à la base faire la même chose. Et le résultat est indéniable, d'ailleurs j'invite qui veut à venir voir le résultat chez moi ! Mais bon j'imagine que même avec les résultats devant les yeux ça ne changera rien !
avatar daito | 
ahh bon, tu m'as déstabilisé sur Safari?? Euhhh où ça??? J'ai juste répété ce que je dis depuis le début! Je crois que c'est bien toi qui est déstabilisé sur le sujet à dire conneries sur conneries sur ce navigateur. Non mais pourquou Vista 64 bits et pas 32 bits...le 64 bits est inutilisable du fait du manque des pilotes etc....Juste une question??? Tu utilises plus de 4Go de mémoire??? Tu dis maintenant ne voir aucune lacune sur Vista alors que tu disais "Vista est réellement inexploitable, et super vérouillé, lent, graphiquement lourd et d'une ergonomie identique à XP !" Tu me racontes un peu n'importe quoi!! Moi Vista, je m'en fou, je bosse sur Mac à titre perso et les PC que je "croissent" sont sur WP. ""Par rapport aux logiciels que j'utilise que j'ouvre quotidiennement pour travailler ou pas sur un ordinateur, Leopard EST extremement plus lent qu'XP"" Hummm bien c'est ton soft qui est mal optimisé pour Leopard!!
avatar pad-awan | 
@ beus Je t'assures que si je pouvais voir ce que tu prétends, ça m'encouragerai à te croire. Mais là j'ai quand même du mal ! Parceque avec les mêmes caractéristiques de ton imac, je connais beaucoup de graphistes (julien si tu me lis ...) qui font tourner toute la suite Adobe Design sous léopard au quart de tour. Mais bon ... je doute. Et juste par hasard: tu ferais pas tourner tes logiciels sous Rosetta ? :-/

Pages

CONNEXION UTILISATEUR