Connexion
Abonnez-vous

Les Mac touchés par une faille 0-day provoquant une escalade des privilèges

On ne peut même plus déjeuner en paix

Les Mac touchés par une faille 0-day provoquant une escalade des privilèges

Le 05 août 2015 à 07h00

Il y a environ un mois, un chercheur en sécurité avait prévenu qu’une faille dans OS X pouvait provoquer une escalade des privilèges si l’on disposait d’un accès à la machine. À peine quelques semaines plus tard, la société Malwarebytes indique avoir repéré une exploitation de cette faille.

Le chercheur en sécurité Stefan Esser avait prévenu il y a un peu moins d’un mois que la dernière mouture d’OS X, Yosemite, était vulnérable à une faille par escalade de privilèges. Exploitée, elle permettrait à un code de s’exécuter avec des privilèges root et donc d’obtenir le maximum des droits, lui permettant alors d’effectuer de nombreuses opérations, comme des modifications et des suppressions de fichiers.

Un code sans garde-fou

Le problème réside dans dyld, le dynamic linker d’OS X. Ce composant, que l’on retrouve sur pratiquement tous les systèmes d’exploitation du monde, permet de charger et de lier les bibliothèques dont un exécutable a besoin pour fonctionner. Sous Windows par exemple, ces bibliothèques sont (en partie) les fameux fichiers DLL. Dans OS X, tout allait bien jusqu’à ce qu’Apple ajoute avec Yosemite de nouvelles fonctionnalités dédiées à la journalisation des erreurs.

Esser indique que le vrai souci vient de la variable d’environnement « DYLD_PRINT_TO_FILE » ajoutée dans dyld. Selon le chercheur, cet ajout n’est accompagné d’aucune des mesures de protection habituellement mises en place quand du code est ajouté dans ce composant. Sans garde-fou, la variable accepte en entrée n’importe quel fichier stocké sur le disque, y compris ceux dont l’accès est normalement restreint, par exemple dans le dossier système.

La brèche avait probablement déjà été repérée

Et malheureusement, il n’aura pas fallu bien longtemps pour qu’une exploitation de cette faille soit repérée. MalwareBytes a en effet indiqué avoir trouvé un installeur capable d’exploiter la brèche afin de déposer silencieusement sur le Mac de l’utilisateur différents logiciels indésirables, notamment VSearch et MacKeeper. Et il n’y a rien de spécial à faire, car la faille permet d’installer ces éléments sans même qu’une action particulière soit requise.

Comme l’explique chez l’éditeur le chercheur Adam Thomas, l’installeur exploite la brèche pour modifier le fichier de configuration sudoers. Il s’agit en temps normal d’un fichier caché faisant partie de l’environnement Unix (auquel OS X emprunte bon nombre de ses bases) et précisant qui peut obtenir des droits de type root sur le système (via la commande sudo justement). Conséquence : la modification du fichier permet à l’installeur d’obtenir ces droits et d’effectuer les opérations prévues sans être inquiété, puisque le mot de passe de la session utilisateur n’est du coup pas réclamé.

Il ne manquerait plus qu'une faille 0-day dans un navigateur pour tout automatiser

Dans l’absolu, il faut évidemment qu’un utilisateur lance une application vérolée pour que l’exploitation de la faille se lance. Ce qui signifie que jusqu’à ce qu’Apple corrige le problème, la prudence va être largement de mise pour ce que l’on télécharge sur le web. Pendant un temps, et si la chose est possible, il est ainsi préférable de se contenter des applications récupérées sur le Mac App Store ou dont la source est clairement officielle et connue.

La situation pourrait cependant se dégrader rapidement. En tant que telle, il est impossible que la faille soit exploitée de manière automatisée, comme dans le cas d’un ver. Il suffirait toutefois, comme le suggère Ars Technica, qu’une autre faille entre en piste pour lier les deux et provoquer une situation explosive. Une brèche dans un navigateur serait idéale pour amener ce dernier à déclencher un téléchargement et l’ouverture d’un fichier binaire, qui n’aurait plus alors qu’à prendre le relai. Un duo de failles de type 0-day aux conséquences assez redoutables, surtout quand on sait que les groupes de pirates et les agences de sécurité disposent de véritables arsenaux de failles non corrigées.

Il va falloir attendre... ou faire confiance au chercheur

Actuellement, Yosemite 10.10.4 est vulnérable, autrement dit la dernière révision en cours d’OS X. Parmi les autres versions en développement, la situation diffère. La mise à jour 10.10.5, actuellement en bêta, est ainsi vulnérable elle aussi, mais The Guardian indique que la version finale contiendra bien le correctif. Le prochain OS X, El Capitan (dont la sixième bêta est sortie hier soir), n’est pour sa part pas sensible à cette exploitation.

Du côté des utilisateurs, il n’y a pas de solution, à part attendre qu’Apple corrige le tir. En attendant, Stefan Esser propose un correctif temporaire, mais il est délicat de recommander un patch non officiel pour corriger un problème aussi sensible.

Commentaires (82)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Les versions alu 12” ne sont effectivement pas concernées.

votre avatar

Le problème vient rarement du code BSD.

 

Mais plus des libs à eux. Par exemple dyld contient un nombre un poil élevé de variable à mon gout et cela ne m’étonne pas que cela est pété.

votre avatar

Les crackers ont toujours cherché le pognon, si la plupart des malwares ciblent windows, c’est parce qu’il s’agit du plus répandu sur les desktops.

Si on lit de plus en plus de news sur des failles de sécurité (que ça soit du foss avec heartbleed, du mobile avec android/ios, etc) c’est peut être juste que le monde de l’informatique commence à reconnaître la sécurité comme étant importante et devant être discutée, non ?

votre avatar

D’après ce que je peux lire ici, l’environnement mac est à éviter en mode pro et aussi en mode perso si on est un peu concerné par sa sécurité.

 Sachant qu’il ne s’agit plus que de simples PCs, rien ne les différencie du monde PC, avec maintenant les mêmes design/tailles fonction. (excepté le mac pro en tube).

 

 Et l’environnement logiciel est quasi-identique (au moins pour 97% des utilisations, excepté jeu)

 

Du coup, qu’est-ce qui justifie les tarifs bien plus élevés de mac?

 

 

votre avatar

marketing <img data-src=" />

votre avatar

il suffit de taper dans un terminal :&nbsp;

&nbsp;echo ‘echo “$(whoami) ALL=(ALL) NOPASSWD:ALL” &gt;&3’ | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s&nbsp;

&nbsp;si vous faites ensuite un whoami, vous êtes root…&nbsp;

votre avatar

Le sous titre&nbsp;<img data-src=" />&nbsp;(enfin si elle le permet hein)

votre avatar

Oh, je me doute bien que le code BSD est propre, mais reste à savoir s’ils intègrent les updates où s’ils se contentent de rajouter leur code à côté. C’est plus ça qui doit foutre le bordel je pense.

votre avatar

Comme quoi dès que les part de marché augmente les failles sont découvertes.

votre avatar

<img data-src=" /><img data-src=" /> ca, plus le nom du chercheur qui s’en rapproche… <img data-src=" />

votre avatar

à croire qu’il y aurait une cause à effet, dis donc <img data-src=" /> <img data-src=" />

votre avatar

Non, ce ne sont pas que de “simples PCs”: il y a - ou en tous cas il est/était censé y avoir - une intégration beaucoup plus forte entre l’OS et le matériel. Et comme ça a déjà été dit de très nombreuses fois, le fait que les iMac soient des ordis tout en un impose une fabrication façon portable qui augmente les prix. Les PCs “standard” tout en un sont d’ailleurs rarement beaucoup moins chers que les Macs.

Cela dit, il est clair qu’Apple file un mauvais coton en ce moment: ça devient évident que ce qui leur rapporte de l’argent, c’est les iBidules et plus les Macs, et la qualité d’OS X s’en ressent de plus en plus. Je travaille à la fois sous Linux, Windows et OS X (10.9 “Mavericks” pour moi, la 10.10 “Yosemite” n’a pas l’air d’apporter grand chose à part des bugs et ce look “flat design” immonde): le système le plus instable et le plus buggé, c’est OS X, et de loin…

votre avatar
votre avatar







eb303 a écrit :



Non, ce ne sont pas que de “simples PCs”: il y a - ou en tous cas il est/était censé y avoir - une intégration beaucoup plus forte entre l’OS et le matériel. Et comme ça a déjà été dit de très nombreuses fois, le fait que les iMac soient des ordis tout en un impose une fabrication façon portable qui augmente les prix. Les PCs “standard” tout en un sont d’ailleurs rarement beaucoup moins chers que les Macs.





On pourrait en savoir plus ? Qu’elle différence y a t il sur le plan matériel pour réaliser cette fameuse intégration ?


votre avatar

du RbE (Root by Exploit) ? <img data-src=" />

votre avatar

Pour le patron de Kaspersky Mac OS est moins sécurisé que Windows parce que Apple n’est du tout réactif pour la correction des failles de sécurité.

&nbsp;



&nbsp;En tout cas il faut un antivirus sous mac os comme sous Windows et que Apple arrête de jouer au con avec son “les virus conçu pour Windows n’attaquent pas Mac OS” parce que les gens croient à tord que ça veut que leur système est blindé.

votre avatar

ça marche très bien sous 10.10.4 <img data-src=" />





<img data-src=" />

votre avatar







js2082 a écrit :



D’après ce que je peux lire ici, l’environnement mac est à éviter en mode pro et aussi en mode perso si on est un peu concerné par sa sécurité.





Pas plus qu’un environnement Windows. Et des failles critiques qui aboutissent à une escalade de privilèges, il y en a également eu dans le passé sous Linux et rien ne dit qu’il n’y en aura plus.



Personnellement (et ce terme est important), j’utilise un Mac pour son OS (même si vu les prix je regarderai à l’avenir du coté des Hackintosh, mais il faut fermer les yeux sur l’aspect légal). Pourquoi ? Parce qu’en pratique avec OS X j’ai accès à tous les outils disponibles uniquement sous Unix.



Pourquoi pas Linux alors ? Autant j’apprécie et utilise Linux dans un environnement serveur, autant le fait qu’il n’y ait pas un environnement graphique unique et unifié me rebute pour un OS desktop. Utiliser une application KDE dans un environnement Gnome et inversement pose toujours des problèmes en terme d’expérience utilisateur.





votre avatar

Et ces même consommateurs se plaignent chez moi des couts d’une éventuel réparation de ces machines et pleurent sur la dégradation de l’environement. Et j’ai fallait oublié qu’ils se plaignent que l’argent fout le camps… s’ils arrêtaient de surconsommé pour cause de stupidité des produits venant de l’autre bout du monde ça irait mieux pour leur portefeuille, pour l’environement et pour l’économie de leur pays.

votre avatar







FREDOM1989 a écrit :



Sauf que vu les volumes que produit Apple, du all-in-one ça leur coute moins chers que machine fixe utilisant des standard + écran.





Source? Je ne dis pas que je ne te crois pas, hein, c’est clairement grâce à ses marges qu’Apple est aussi riche, mais ils ne font pas de miracles non plus: ils ne produisent pas en si grande quantité que ça par rapport aux fabricants de PCs “classiques”, et ils changent quand même de design assez régulièrement, ce qui a forcément un INpact sur leurs chaînes de fabrication et leurs coûts de production. Donc en arriver à avoir des all-in-one moins chers que des PCs tour, franchement, j’ai des doutes…


votre avatar







jb18v a écrit :



nextinpact.com Next INpact



<img data-src=" />





Ça ne répond strictement pas à la question posé, mais ce n’est pas bien grave, ça doit satisfaire ton esprit de fanboy. <img data-src=" />


votre avatar

<img data-src=" /><img data-src=" />

votre avatar







eb303 a écrit :



Parce qu’il n’y a que le matériel qui coûte? Je dirais que le prix au niveau matériel vient surtout du côté “tout en un”. L’intégration OS/matos a sans doute plus d’impact au niveau soft qu’au niveau hard, mais ça aussi, ça se paie… Enfin, quand ça marche… La seule expérience que j’en ai eue, c’est au niveau de la gestion de l’énergie: OS-X gère l’alimentation des composants de façon très fine apparemment, et la maintient au niveau le plus bas possible pour éviter de consommer plus que nécessaire. Ca a l’air d’être une bonne idée comme ça, mais ça m’a posé pas mal de problèmes sur la conf que j’avais au début: il semble que l’alim n’était pas assez puissante pour mes 32 Go de RAM. Je te laisse imaginer ce que ça fait une RAM sous-alimentée…





J’ai un peu de mal à comprendre la fixette sur le tarif. J’ai simplement lu que ce n’était pas un simple PC par ce qu’il y avait une intégration plus forte entre l’OS et le matériel (sans préciser par rapport à quoi mais ce n’est pas bien grave). J’aurais voulu avoir des détails la dessus.


votre avatar

Cela va faire depuis 2007 que l’imac à son design alu et les changements depuis sont pas énorme sur la méthode de montage.

Cela doit être uniquement des réglages sur les chaines à chaque nouvelle génération et pas de vrai changement.

D’ailleurs les derniers modèles ils ont poussés le vice pour aller plus vite sur les chaines avec la ram est soudé.

Donc plus de trappe à l’arrière donc des étapes en moins sur la chaine.

votre avatar

Oh la fixette sur le tarif ne vient pas de moi, hein, mais du coup, oui, j’ai un peu toujours l’impression que c’est de ça qu’on parle. <img data-src=" />

Pour l’intégration entre l’OS et le matériel, OS X est développé pour les Macs, avec un ensemble de configurations restreint et donc ne posant pas le problème de devoir supporter n’importe quelle config de PC possible, donc oui, l’OS est fait pour ces confs, et optimisé pour. Il n’y a qu’à voir les restrictions que tu as pour pouvoir faire un Hackintosh: tu ne peux pas mettre n’importe quel composant et supposer qu’OS-X fonctionnera avec, ça ne sera pas le cas. Maintenant, pour avoir vraiment des détails, à moins de connaître quelqu’un qui bosse chez Apple, ça risque d’être difficile… Dans le travail de tous les jours, ça ne se manifeste que par ses effets, c’est à dire un système plus stable et plus rapide quand ça marche, et des emmerdements à n’en plus finir quand ça ne marche pas, comme avec l’exemple que je donnais… <img data-src=" />

votre avatar

Les macs utilisent un EFI et&nbsp; non un UEFI…

Ce qui fout un poil la merde pour des distrib linux

&nbsp;

&nbsp;Sinon le reste c’est du PC&nbsp; au niveau composant

&nbsp;il y a juste que les drivers sont made in Apple par rapport à microsoft qui laisse la gestion des drivers aux fabricants.

&nbsp;

Donc moins de mauvaise surprise qu’avec certains fabricants indélicat… (non je n’ai pas une liste noire de noms <img data-src=" />

)

votre avatar

Apple change de design une fois par an au grand maximum, chaque design c’est des millions de machines écoulées. Aucun fabricant de pc n’écoule un tel volume sur un design, ils vendent plus oui mais avec des dizaines de modèles différents.

votre avatar







eb303 a écrit :



Oh la fixette sur le tarif ne vient pas de moi, hein, mais du coup, oui, j’ai un peu toujours l’impression que c’est de ça qu’on parle. <img data-src=" />

Pour l’intégration entre l’OS et le matériel, OS X est développé pour les Macs, avec un ensemble de configurations restreint et donc ne posant pas le problème de devoir supporter n’importe quelle config de PC possible, donc oui, l’OS est fait pour ces confs, et optimisé pour. Il n’y a qu’à voir les restrictions que tu as pour pouvoir faire un Hackintosh: tu ne peux pas mettre n’importe quel composant et supposer qu’OS-X fonctionnera avec, ça ne sera pas le cas. Maintenant, pour avoir vraiment des détails, à moins de connaître quelqu’un qui bosse chez Apple, ça risque d’être difficile… Dans le travail de tous les jours, ça ne se manifeste que par ses effets, c’est à dire un système plus stable et plus rapide quand ça marche, et des emmerdements à n’en plus finir quand ça ne marche pas, comme avec l’exemple que je donnais… <img data-src=" />





A priori le matos est le même, je veux bien croire qu’en limitant les composants possible on puisse faire des drivers un peu plus fin (disons un peu moins permissif). Pour ce qui est des perfs et de la stabilité je demande à voir, à matériel et à génération d’OS équivalent. Vu les pb qu’on rencontré certains de mes amis je me pose des questions sur la réalité de cette meilleur intégration (hors du boitier qui est effectivement plutot jolie).


votre avatar

T’as pas lu une ligne du lien, avoue <img data-src=" />

votre avatar







psn00ps a écrit :



T’as pas lu une ligne du lien, avoue <img data-src=" />





Si j’ai commencé à le faire puis je me suis dis que je n’allais pas faire plus d’effort que le gars qui a mis le lien (j’ai tout de même fait ctrl-f intégration, aucun résultat, j’ai tout envoyé dans /dev/null).


votre avatar

De toute manière la réponse à ta question t’as été donnée un peu plus haut dans les commentaires ;)

votre avatar







philanthropos a écrit :



De toute manière la réponse à ta question t’as été donnée un peu plus haut dans les commentaires ;)





Si c’est l’impression que tu as. Pour l’instant j’ai juste lu que moins de matériel était supporté donc que c’était mieux fait. Que ça consommait moins (avec la conséquence de planter dans certains cas). Reste la différence EFI/UEFI mais à part mettre en avant un pb de compatibilité il n’y a rien sur l’avantage pour l’utilisateur. Ce n’est pas bien grave, je resterais sur ma faim.


votre avatar







psn00ps a écrit :



T’as pas lu une ligne du lien, avoue <img data-src=" />





Moi je l’ai lu, et j’ai notamment lu le “publié le 25/08/2008”. Un comparatif qui date de sept ans, ça ne nous éclaire pas forcément beaucoup sur la réalité du marché dans un domaine où les choses évoluent assez rapidement. :-)


votre avatar







TaigaIV a écrit :



Si c’est l’impression que tu as. Pour l’instant j’ai juste lu que moins de matériel était supporté donc que c’était mieux fait. Que ça consommait moins (avec la conséquence de planter dans certains cas). Reste la différence EFI/UEFI mais à part mettre en avant un pb de compatibilité il n’y a rien sur l’avantage pour l’utilisateur. Ce n’est pas bien grave, je resterais sur ma faim.







Bah c’est ça justement <img data-src=" /> : L’intégration supérieure (enfin, sur le papier).



Apple ne développant que pour un matériel relativement “restreint” (comme pour le reste de ses produits d’ailleurs), ils peuvent se permettre de passer beaucoup plus de temps à concevoir des pilotes & co’ maximisent l’utilisation du-dit matériel.



Il faut ajouter aussi que l’intégration matérielle est plus intéressante puisqu’ils “maitrisent” la chaine logistique de bout en bout. Donc choisir des composants qui fonctionnent en synergie est nettement plus avantageux que de les prendre au pif pour faire vendre alors que d’autre composants vont être fortement limitants.



Alors ces deux grosses particularités amènent évidement, comme tu l’as dis, une meilleure gestion de l’alimentation (enfin quand ça veut <img data-src=" />) & compagnie, mais ça reste, je trouve, assez léger dans l’ensemble.



A l’inverse, évidement, quand il y a un problème matériel/logiciel, tu l’as plutôt bien dans l’anus si tu vois ce que je veux dire <img data-src=" />



Alors après quid de la justification de la hausse de prix par rapport à un “pc traditionnel”, c’est sujet à débat.

Pour un “power user” je pense que ça n’a strictement aucun intérêt vu que, dans l’ensemble, nous savons choisir nos composants, faire nos MAJ & co’ de façon intelligente ; mais pour le péquin moyen qui ne veut pas s’emmerder, ça a un certain avantage tu l’avouera.



En soit, AMHA, Apple n’a plus l’avantage “d’autrefois” où sa réputation de stabilité & puissance était “justifiée” par rapport à la concurrence vis-à-vis de ces points précis, cet argument de fanboy ne fonctionne plus du tout.


votre avatar

c’est pareil aujourd’hui : si tu fais une liste de composants à la carte, le mac sera plus cher, mais en intégrant l’OS, les applis déjà fournies et l’écosystème, c’est moins évident. Mais ça reste difficile d’en débattre <img data-src=" />

votre avatar







philanthropos a écrit :



Bah c’est ça justement <img data-src=" /> : L’intégration supérieure (enfin, sur le papier).







Ça donne envie tant que l’on ne lit pas la suite de commentaire que je n’ai pas cité.







philanthropos a écrit :



En soit, AMHA, Apple n’a plus l’avantage “d’autrefois” où sa réputation de stabilité & puissance était “justifiée” par rapport à la concurrence vis-à-vis de ces points précis, cet argument de fanboy ne fonctionne plus du tout.





C’est sur quand changeant d’archi pour venir sur la même que tout le monde c’est difficile de garder les avantages liés à l’archi (quoi qu’il reste possible de vendre du SATA au prix du SAS mais pas plus cher;)).


votre avatar







jb18v a écrit :



c’est pareil aujourd’hui : si tu fais une liste de composants à la carte, le mac sera plus cher, mais en intégrant l’OS, les applis déjà fournies et l’écosystème, c’est moins évident. Mais ça reste difficile d’en débattre <img data-src=" />





Par rapport à une Debian, j’ai plus qu’un gros doute. Pour le cas MS et applis il faut voir au cas par cas, les vendeurs de machines toute fait en fournissent aussi, tu as rarement juste un Windows. Pour la partie écosystème, je ne vois pas bien comment devoir acheter un tel à 800€ ou un cable USB thunderbolt à 45€ va permettre d’équilibrer la balance. <img data-src=" />


votre avatar

@Philanthropos

&nbsp;

Je ne vois pas trop la différence du coup avec d’autres constructeurs de PC… Ça n’est qu’une question de partenariat. Dell et HP font pareil.

Du reste, je ne suis pas sûr qu’un seul d’entre eux prennent les compo au pif comme tu dis :) Le prix est sûrement un critère puisqu’ils visent un marché plus vaste (du bas de gamme au top) alors qu’Apple lui ne vise que le haut du panier et ne s’embête pas trop la dessus.



Quand aux drivers, est-ce sûr que c’est mac qui les créé…? là aussi je doute.

&nbsp;

votre avatar







razibuzouzou a écrit :



@Philanthropos

 

Je ne vois pas trop la différence du coup avec d’autres constructeurs de PC… Ça n’est qu’une question de partenariat. Dell et HP font pareil.

Du reste, je ne suis pas sûr qu’un seul d’entre eux prennent les compo au pif comme tu dis :) Le prix est sûrement un critère puisqu’ils visent un marché plus vaste (du bas de gamme au top) alors qu’Apple lui ne vise que le haut du panier et ne s’embête pas trop la dessus.



Quand aux drivers, est-ce sûr que c’est mac qui les créé…? là aussi je doute.







Entre Dell, HP et Apple, ils n’ont pas vraiment la même étendue de gamme de produits (desktop/portable), et je n’entendais pas qu’ils prennaient les composants au pifomètre.



Le travail sur l’intégration est simplement bien plus étendu chez Apple, ce qui justifie une partie du prix.



Après quand tu tape sur les flagship Dell pro par exemple, c’est tout à fait équivalent aux meilleurs Macbooks pro (et parfois meilleur même), mais bon vu les prix on peut s’y attendre <img data-src=" />



Quand aux drivers ils en conçoivent une partie, et l’intégration logicielle spécifique au hardware (intégré dans l’OS) n’a strictement aucun équivalent (ce qui est plutôt logique en soit).

Mais bon ça, forcément ça ne se voit pas vu que c’est sous le capot de l’OS ^^


votre avatar







pentest a écrit :



Le seul danger à être logué en utilisateur root, c’est l’interface clavier/chaise.  Mais le réel danger vient de toutes ces distributions GNU-Linux, en particulier la famille des Ubuntu et les dérivés comme Linux Mint qui utilisent sudo et donnent les droits administrateurs à l’user. <img data-src=" />



       






Sur ce, je retourne à ma FreeBSD :incline::top:







Je ne vois pas le soucis avec sudoers s’il est bien utilisé.

Il permet d’offrir une certaine granularité en plus de celles des utilisateurs classiques ou utilisateurs selinux.


votre avatar







Nikodym a écrit :



Je ne vois pas le soucis avec sudoers s’il est bien utilisé.







C’est justement ça le problème, en particulier sur les OS dérivé UNIX : tout le monde, très loin de là (et même ici) n’est pas un power-user et ne sait pas ce que ça implique d’utiliser sudo/être root.

Et une connerie est très vite arrivée sans y faire gaffe, même quand on pense maitriser son outils.


votre avatar







oldchap a écrit :



La réputation du mac en tant qu’environnement sécurisé commence à prendre un paquet de coups en ce moment. Quand madame michu apprendra ça…





La sécurité aujourd’hui, c’est (sans considération de disponibilité) :

Si je suis attaqué, combien de temps mon système va tenir ?

Ai-je le temps de réagir entre temps ?

Si mon temps moyen de réaction est supérieur à celui de la résistance du système, il y a un problème sinon tout baigne :oui2:



Sa base de code est en revanche suffisemment robuste pour considérer un patch avant 4 mois… If you know what I mean <img data-src=" />


votre avatar







apwal a écrit :



Pas plus qu’un environnement Windows. Et des failles critiques qui aboutissent à une escalade de privilèges, il y en a également eu dans le passé sous Linux et rien ne dit qu’il n’y en aura plus.



Personnellement (et ce terme est important), j’utilise un Mac pour son OS (même si vu les prix je regarderai à l’avenir du coté des Hackintosh, mais il faut fermer les yeux sur l’aspect légal). Pourquoi ? Parce qu’en pratique avec OS X j’ai accès à tous les outils disponibles uniquement sous Unix.



Pourquoi pas Linux alors ? Autant j’apprécie et utilise Linux dans un environnement serveur, autant le fait qu’il n’y ait pas un environnement graphique unique et unifié me rebute pour un OS desktop. Utiliser une application KDE dans un environnement Gnome et inversement pose toujours des problèmes en terme d’expérience utilisateur.





Si, c’est à éviter en environnement pro. Non qu’il y ait plus de failles dans mac OS que dans windows, mais il n’y en a pas moins et les MaJ de sécurité sont pour le moins longues à être déployées.

&nbsp;

Pour le reste, le gros problème des macs en environnement pro c’est leur compatibilité….


votre avatar







philanthropos a écrit :



C’est justement ça le problème, en particulier sur les OS dérivé UNIX : tout le monde, très loin de là (et même ici) n’est pas un power-user et ne sait pas ce que ça implique d’utiliser sudo/être root. Et une connerie est très vite arrivée sans y faire gaffe, même quand on pense maitriser son outils.



&nbsp;

&nbsp;rm -Rf /

&nbsp;



&nbsp;<img data-src=" />


votre avatar







philanthropos a écrit :



C’est justement ça le problème, en particulier sur les OS dérivé UNIX : tout le monde, très loin de là (et même ici) n’est pas un power-user et ne sait pas ce que ça implique d’utiliser sudo/être root.

Et une connerie est très vite arrivée sans y faire gaffe, même quand on pense maitriser son outils.





Le problème ne vient pas du système…





Fuinril a écrit :



rm -Rf /

 



 <img data-src=" />





Voilà <img data-src=" />


votre avatar







Nikodym a écrit :



Le problème ne vient pas du système…







J’ai pas dis le contraire ^^

Le problème est indentique sous Windows d’ailleurs (bien que moindre vu que les rm -RF n’ont pas d’équivalent direct).

La quasi-totalité des utilisateurs sont en compte Administrateur, avec les privilèges qui vont avec, et sans se rendre compte de ce que ça implique ._. …


votre avatar







Fuinril a écrit :



rm -Rf /

 



 <img data-src=" />





Dave ?


votre avatar







philanthropos a écrit :



J’ai pas dis le contraire ^^



 Le problème est indentique sous Windows d'ailleurs (bien que moindre vu que les rm -RF n'ont pas d'équivalent direct).       

La quasi-totalité des utilisateurs sont en compte Administrateur, avec les privilèges qui vont avec, et sans se rendre compte de ce que ça implique .\_. ...








 Yup. Un vieux billet sur le web résumait bien ça :      





Le système d’exploitation le plus sûr est celui que vous savez configurer….&nbsp;Il y a des choses qui vous rendront la vie plus ou moins difficile, comme la quantité de vulnérabilités ouvertes et la conception du système, mais un système Windows bien configuré peut être aussi, voire plus, sûr qu’un Linux utilisé par un débutant qui donne des permissions de « root » à tout le monde. Les mesures de sécurité intégrées sont très similaires : Ce qui change, c’est l’utilisateur.



&nbsp;      






&nbsp;(source :&nbsp;http://articles.fr.softonic.com/2013-08-07-quel-est-le-systeme-exploitation-plus...

votre avatar







L’intégration tout en un et le design. Un OS à la base développer pour travailler avec un panel restreint de configuration contrairement aux PC et toutes les confs exotiques possible.

&nbsp;Et en tout cas sur le marché des laptop la comparaison tarifaire n’est pas vraiment différente à matériel égale ou équivalent.

La différence c’est qu’on peut trouver des laptop sous Windows ou “GNU/Linux” à des tarifs plus abordables en entrée de gamme en tirant un trait sur le design et les performances. Marché ou Apple ne se positionne pas.

Niveau desktop là j’ai plus de mal à comprendre vu que l’avantage d’un PC de bureau c’est sa modularité et son évolutivité qu’un iMac n’a pas vraiment (voir pas du tout en fait) et ne parlons pas de l’écran de l’iMac qui n’est quasi pas utilisable dans une grosse majorité des domaines du traitement de l’image (trop de constraste, dalle brillante, saturation, bref calibration merdique). Heureusement y a le Mac mini pour utiliser un vrai écran.

Et les marges chez Apple se font surtout sur les iDevices depuis des années maintenant avec du matos qui souvent secoue le marché où il débarque en version 1 puis s’endort sur ses lauriers sur les versions suivantes tout en conservant ses tarifs qui ne se justifie plus (si tant est il qu’ils étaient justifiable à l’origine).

votre avatar

D’un autre côté les iMac sont garanti 1 ans par Apple alors que le standard c’est 2 ans. Et les all-in-one tu a la garantie comme sur les portable qu’une panne autre que le HDD ou la RAM conduira la machine à la poubelle et chez Apple ça fera une vente là ou dans le monde pc il y a un gros risque que le client change de marque.

votre avatar







tiret a écrit :



&nbsp;Mais c’est clair que la sécurité d’OSX a souvent été à des années lumières de celle d’un Linux correctement utilisé et bien entretenu (càd pas avec l’utilisateur root loggué en permanence… <img data-src=" /> et mis à jour quotidiennement ce qui ne prend pas longtemps)






 Le seul danger à être logué en utilisateur root, c'est l'interface clavier/chaise.&nbsp; Mais le réel danger vient de toutes ces distributions GNU-Linux, en particulier la famille des Ubuntu et les dérivés comme Linux Mint qui utilisent sudo et donnent les droits administrateurs à l'user. :cartonrouge:  

&nbsp;






Sur ce, je retourne à ma FreeBSD :incline::top:

votre avatar

Faille 0-key ?

votre avatar

On ne peut plus surfer sur Mac, plus recevoir de MMS sous Androïd.

L’informatique est de plus en plus anxiogène <img data-src=" />

votre avatar

Qui pour aller dans un apple store et tester???

votre avatar

Parce qu’il n’y a que le matériel qui coûte? Je dirais que le prix au niveau matériel vient surtout du côté “tout en un”. L’intégration OS/matos a sans doute plus d’impact au niveau soft qu’au niveau hard, mais ça aussi, ça se paie… Enfin, quand ça marche… La seule expérience que j’en ai eue, c’est au niveau de la gestion de l’énergie: OS-X gère l’alimentation des composants de façon très fine apparemment, et la maintient au niveau le plus bas possible pour éviter de consommer plus que nécessaire. Ca a l’air d’être une bonne idée comme ça, mais ça m’a posé pas mal de problèmes sur la conf que j’avais au début: il semble que l’alim n’était pas assez puissante pour mes 32 Go de RAM. Je te laisse imaginer ce que ça fait une RAM sous-alimentée…

votre avatar

tu as un term en root (uid = 0) avec la commande shell qui vas bien ;)

votre avatar

Ah mais je ne dis pas que le côté all-in-one est la panacée, ça ne l’est clairement pas. Et oui, c’est une construction façon portable, avec ses avantages - moins de place prise, pas de fils partout - et ses inconvénients - poubelle au moindre composant qui merde. Maintenant, les portables et les all-in-one sont plus compliqués à construire que les PCs tour, donc ils sont plus chers. Mais tant que certains utilisateurs seront prêts à payer le prix pour profiter des avantages tout en supportant les inconvénients, ça continuera à se faire…

votre avatar
votre avatar

Et en un mois la faille n’a pas été corrigé ?

votre avatar







saf04 a écrit :



on se dirait presque ‘dredi avec une news comme celle la <img data-src=" />



J’avais prévu le coup : je pars en vacances ce soir <img data-src=" />


votre avatar

C’est qu’est bon !&nbsp;<img data-src=" />

votre avatar

Stefan Esser devrait toucher des primes d’Apple pour les travaux qu’il fait. Et pas que! (Suhosin pour PHP c’est lui aussi, hein ;) )

&nbsp;

Seul regret, qu’il ne partage plus ses Jailbreak :/

votre avatar







Guyom_P a écrit :



Niveau desktop là j’ai plus de mal à comprendre vu que l’avantage d’un PC de bureau c’est sa modularité et son évolutivité qu’un iMac n’a pas vraiment (voir pas du tout en fait)





La plupart des gens qui ont un PC de bureau n’en ont pas grand chose à faire, de l’évolutivité, hein… C’est sûr que sur NXI, tu trouveras plein de gens prêts à mettre les mains dans le cambouis pour ouvrir une tour et changer les composants un par un, mais on est clairement une minorité. La majorité, elle achète son PC chez Carrouf et quand ça commence à merder, on jette tout ou on le donne à son neveu et on rachète un PC entier. Dans ce cadre-là, le choix PC tout en un avec juste un câble d’alim peut se comprendre.


votre avatar

Sauf que vu les volumes que produit Apple, du all-in-one ça leur coute moins chers que machine fixe utilisant des standard + écran. Ils réintègrent pas des chose “inutile” comme des ports d’extension, ils utilisent juste ce qu’il faut comme alu pour la machine, moins de frais de transport, d’emballage,… Et en plus, les cycles de vie étant raccourcit -&gt; plus de vente! Tout ça pour 2 câbles en moins.

votre avatar

La réputation du mac en tant qu’environnement sécurisé commence à prendre un paquet de coups en ce moment. Quand madame michu apprendra ça…

votre avatar

Ah si ca permet d’avoir du vrai root dans “Library/WebServer/Documents” le pire endroit pour du dev local c’est bien ici <img data-src=" />

votre avatar

En même temps comme OSX utilise de vieilles versions des libs OpenSource ça ne m’étonne pas, après je ne suis pas sûr que le composant en question soit justement open source.

&nbsp;



&nbsp;Mais c’est clair que la sécurité d’OSX a souvent été à des années lumières de celle d’un Linux correctement utilisé et bien entretenu (càd pas avec l’utilisateur root loggué en permanence… <img data-src=" /> et mis à jour quotidiennement ce qui ne prend pas longtemps)

votre avatar

Je voulais troller les Macs mais je vais m’abstenir :)



Remarque perso :

Est-ce que désactiver la journalisation des erreurs ne permettrait pas d’empêcher la faille ?

votre avatar

On peut faire ça sous Mac ? J’aurais pensé que le truc était non désactivable, l’environnement étant tellement fermé.

&nbsp;

Si oui ça m’intéresse car j’ai un Mac (même si je préfère de loin mon Linux)

votre avatar







digital-jedi a écrit :



Je voulais troller les Macs mais je vais m’abstenir :)





Oui, merci de t’en abstenir, parce que je sens qu’il y aura pas mal de modération sur cette actualité&nbsp;<img data-src=" />


votre avatar







Vincent_H a écrit :



Oui, merci de t’en abstenir, parce que je sens qu’il y aura pas mal de modération sur cette actualité <img data-src=" />



Bon, bah, tant pis. Je ne lancerai pas mon hameçon sur le terrain linux…


votre avatar

N’ayant pas de matos Apple, je me pose la question : est-ce qu’il faut des mises à jour aussi régulières que Microsoft avec ses Windows ? Parce que laisser ses utilisateurs à la merci d’un problème qui est bien identifié et connu de tous, ça fait un peu désordre, je trouve.

votre avatar

Màj régulières, mais parfois une faille béante qui peut rester ouverte pendant des mois.

Du moins c’était le cas il y a quelques années, quand j’ai décidé de retourner sur PC.

&nbsp;

&nbsp;

EDIT: De ce que j’en vois par une recherche sur NXi, ça a pas l’air beaucoup plus glorieux maintenant : failles corrigées sur iOS mais pas OSX, failles corrigées sur la dernière version d’OSX… et c’est tout, migrez ou crevez, failles niveau cloud vieilles de 6 mois qui seraient une cause possible du Fappening… Ils ont embauché les experts sécurité de chez Adobe ou bien ?&nbsp;<img data-src=" />

votre avatar

Je n’ai pas de connaissances particulières et je vais sans doute dire une bêtise, mais ça semble gros, comme faille, non ? Enfin, au sens de ceux qui ont travaillé sur la tâche au sein du département dev d’Apple auraient dû se rendre compte de ce qu’ils faisaient.&nbsp;<img data-src=" />

&nbsp;

Sous Linux, d’illustres inconnus (ahem) avaient essayés à plusieurs reprises d’intégrer des failles grossières (genre remplacer un if(user == root) par if(user = root)), qui avaient été repérés très rapidement. De mon point de vue de novice complet (lire “gros noob”&nbsp;<img data-src=" />), ça donne l’impression de relever du même ordre.

&nbsp;

Après, comme dit, je parle d’un sujet que je ne maîtrise pas, donc …<img data-src=" />

votre avatar

on se dirait presque ‘dredi avec une news comme celle la <img data-src=" />

votre avatar

La faille était largement documenté depuis un moment et comme toujours Apple est pas super réactif à patcher.

&nbsp;

(il y a eu un paquet de grosses failles ses derniers temps voir les CVE)

votre avatar



Dans OS X, tout allait bien jusqu’à ce qu’Apple ajoute avec Yosemite de nouvelles fonctionnalités dédiées à la journalisation des erreurs.



Ouf, mon PowerBook G4 Alu 12” sous OSX 10.5.8 n’ est pas concerné par cette faille ^^

votre avatar

Beaucoup de code BSD qui traîne si je me souviens bien, ça doit être particulier à maintenir tout ce patchwork.

votre avatar







oldchap a écrit :



La réputation du mac en tant qu’environnement sécurisé commence à prendre un paquet de coups en ce moment. Quand madame michu apprendra ça…





Bah je pense que surtout “avant” les hackers n’étaient pas trop intéressé pour péter cet &nbsp;OS.

&nbsp;Aujourd’hui ils ne cherchent plus la reconnaissance mais le pognon.&nbsp;


votre avatar

Pour le sudo sur Ubuntu (que j’ai aussi mis sur Debian) tu ajoutes dans ton sudoers :

&nbsp;

timestamp_timeout=0

&nbsp;



Et là tu es tranquille, pas possible de rentrer une ligne de commande sans donner ton mot de passe. Par ailleurs à titre perso je n’utilise mon compte avec les droits sudo que pour les tâches administratives, pour le reste je suis toujours sur mon compte sans droits sudo. Et par ssh j’ai désactivé la connexion à mon compte avec droits sudo. ;-)

votre avatar







philanthropos a écrit :



C’est justement ça le problème, en particulier sur les OS dérivé UNIX : tout le monde, très loin de là (et même ici) n’est pas un power-user et ne sait pas ce que ça implique d’utiliser sudo/être root.

Et une connerie est très vite arrivée sans y faire gaffe, même quand on pense maitriser son outils.







perso je connait pas beaucoup de non power-users qui sont capable d’ouvrir un terminal (et à encore moins d’utiliser sudo…). C’est quand même un peu contradictoire.



Après il faut bien donner le moyen à quelqu’un d’administrer sa machine.



Il a mon avis bien plus de problème d’utilisateur qui foutent la merde dans leur données (sans passer root) que dans le système.

D’ailleurs un gros problème en terme de sécurité (qui rend les failles très problématiques), et y’a pas beaucoup d’os qui porpose des alternatives, sauf selinux je crois, c’est que les programmes lancés par un utilisateur ont les droits de celui-ci alors que c’est strictement inutile.


votre avatar







dam1605 a écrit :



perso je connait pas beaucoup de non power-users qui sont capable d’ouvrir un terminal (et à encore moins d’utiliser sudo…). C’est quand même un peu contradictoire.



Après il faut bien donner le moyen à quelqu’un d’administrer sa machine.



Il a mon avis bien plus de problème d’utilisateur qui foutent la merde dans leur données (sans passer root) que dans le système.

D’ailleurs un gros problème en terme de sécurité (qui rend les failles très problématiques), et y’a pas beaucoup d’os qui porpose des alternatives, sauf selinux je crois, c’est que les programmes lancés par un utilisateur ont les droits de celui-ci alors que c’est strictement inutile.







Pas besoin de sudo, il suffit d’être root pour facilement mettre la mettre. Sur Windows par exemple la plupart des gens sont Administrateurs par défaut, ou se le mettent sans raison. Et, comme je l’ai dis avant, même si Windows ne propose pas de commande d’une puissance comparable à un rm -RF, y’a moyen de bien mettre la merde aussi.



Et tout cela sans forcément ouvrir une console. Le problème n’est pas pas là puisqu’il est rare qu’un utilisateur manipule ce genre de choses intentionnellement (souvent c’est “je connais pas, je touche pas !”).

Le soucis tu l’as bien noté : il vient des applications qui s’élèvent au même niveau que l’utilisateur. Mais là c’est aussi à l’utilisateur de faire attention à ce qu’il fait, un minimum ;)



Surtout quand on télécharge sur 01net.com par exemple <img data-src=" />


Les Mac touchés par une faille 0-day provoquant une escalade des privilèges

  • Un code sans garde-fou

  • La brèche avait probablement déjà été repérée

  • Il ne manquerait plus qu'une faille 0-day dans un navigateur pour tout automatiser

  • Il va falloir attendre... ou faire confiance au chercheur

Fermer