Mac OS X Lion : faille de sécurité dans FireWire

[Hinault Romaric]

Mac OS X Lion : faille de sécurité dans FireWire
Pouvant être exploitée pour récupérer les mots de passe utilisateurs

Le nouveau système d’exploitation d’Apple Mac OS X lion disponible depuis seulement une semaine sur le Mac App Store serait victime d’une faille de sécurité.

En effet, Passware, un éditeur de logiciels spécialisé dans le développement des solutions de récupération de mots de passe a annoncé avoir découvert une vulnérabilité dans l’OS pouvant être exploitée via une connexion au port FireWire d'un ordinateur Mac.

Le système d’interconnexion permettant de faire circuler des données à haute vitesse en temps réel FireWire autorise n’importe quel appareil à lire et à écrire sur tous les autres appareils connectés. Pour cela, il utilise un accès direct à la mémoire système.

Les mots de passe de connexion et d’autres informations stockés dans la mémoire système peuvent donc être extraits à travers FireWire, même si l’ordinateur est verrouillé, en mode veille ou que le chiffrement de disque FileVault est activé.

La faille aurait déjà été exploitée par la dernière version de l’application Passware Kit Forensic v11, pour récupérer les mots de passe des utilisateurs sous Mac OS X Lion et Snow Leopard en quelques minutes seulement.

Passware avait précédemment utilisé la même technique pour déchiffrer des disques protégés par la spécification de protection des données BitLocker de Microsoft et TrueCrypt.

Cette découverte remet en question la sécurité de Mac OS X pour Dmitry Sumin, PDG de Passware. « Mac OS X a longtemps été vanté comme un système d’exploitation stable et sécurisé, les utilisateurs sont avertis que le nouveau système d’exploitation Lion dispose d’une vulnerabilité potentielle qui permet l’extraction de mots de passe » écrit-il.

Pour se protéger contre cette faille, Passware recommande de désactiver la connexion automatique de cette façon, les mots de passe ne seront plus disponibles dans la mémoire ou éteindre simplement son ordinateur au lieu de le mettre en veille.



Source : Communiqué de presse Passware (téléchargeable au format PDF)


Et vous ?

Que pensez-vous de cette découverte ?

[kOrt3x]

Citation:

La faille aurait déjà été exploitée par la dernière version de l’application Passware Kit Forensic v11, pour récupérer les mots de passe des utilisateurs sous Mac OS X Lion et Snow Leopard en quelques minutes seulement.

C'est donc aussi une faille pour 10.6 ?

[kdmbella]

Que pensez-vous de cette découverte ?
ce n'est que normal qu'il y ait des failles de sécurité pour un nouveau logiciel et encore plus pour un SE car c'est au moment de l'exploitation que les failles sont souvent mise en évidence et si un système sortait des labo "sans faille" alors il n'y aurait pas des service pack a la microsoft ou des mise à jour de sécurité. Comme on le dit la sécurité a 100% ça n'existe pas !

[MadScratchy]

<humour>
MacOSX Lion est une Passware !
</humour>

Désolé je n'ai pas pu m'en empêcher !

[dessma]

Ça commence bien ma journée avec mon p'tit café!

Je suis sans cesse impressionné par les gens qui découvrent ce genre de trucs. Vraiment pour moi découvrir une faille de sécurité via firewire sur un ordinateur en veille ça revient à hacker mon grille-pain.

[shkyo]

Si j'ai bien compris, tout est crypté mais les login/password restent en clair en mémoire pour accélérer les connexions automatiques?
Si c'est le cas, ce n'est pas très malin comme méthode...

Ceci dit, on trouve le même style d’implémentation dans un des systèmes de cryptage de la PS3, tout est crypté partout sauf en mémoire, du coup ça a été cassé...

Après perso, quand je ne me sers pas de mon ordi, il est éteint ainsi que mon routeur, comme ça je suis tranquille et en plus ça ne me consomme pas de l'électricité pour rien...

[ludojojo]

Citation:

ce n'est que normal qu'il y ait des failles de sécurité pour un nouveau logiciel et encore plus pour un SE

Aucun système d'exploitation n'est parfait, Apple ne fait exception! Donc se n'est pas anormal.
Il faut également rappeler que "7" à eu les même problèmes...

Si Apple à pu se venter tant d'années que sont OS était invulnérable, c'est simplement par ce que les hackeur n'avaient aucun intérêt à s'y attaquer par ce qu'il y avait très peu de victimes potentielles...
Aujourd'hui ce n'est plus le cas, les failles trouvées vont donc se multiplier...

[kOrt3x]

Lion est quand même l'OS le plus sûr : http://www.macgeneration.com/news/vo...de-la-securite

[travon]

Citation:

Envoyé par ludojojo

Aucun système d'exploitation n'est parfait, Apple ne fait exception! Donc se n'est pas anormal.
Il faut également rappeler que "7" à eu les même problèmes...

Si Apple à pu se venter tant d'années que sont OS était invulnérable, c'est simplement par ce que les hackeur n'avaient aucun intérêt à s'y attaquer par ce qu'il y avait très peu de victimes potentielles...
Aujourd'hui ce n'est plus le cas, les failles trouvées vont donc se multiplier...

Cet argument n'est pas valable :

Dire "il y avait très peu de victimes potentielles..." alors que Apple avait 5% de marché mondial c'est assez osé!

Ensuite c'est oublier la reconnaissance pour un hacker de craquer alors un tel système.

Si OSX est assez sécurisé, c'est parce qu'il repose sur BSD, le must des OS en sécurité.


Par contre c'est clair que OSX comme les autres OS n'est pas invulnérable, loin de la, et le meilleur rempart c'est le comportement de l'utilisateur.

[JeitEmgie]

faire autant de foin pour une faille de sécurité qui nécessite l'accès physique à une machine et qui pour pouvoir récupérer le mot de passe en mémoire doit être configurée pour démarrer en auto-login est quand même assez cocasse…
si on peut voler votre ordinateur qui démarre sur le compte d'un utilisateur par défaut sans demander le mot de passe, on n'a pas besoin d'un logiciel à 995$ pour avoir accès au contenu…
et si n'importe qui peut entrer dans vos locaux pour connecter un portable en Firewire sur vos ordinateurs allumés sans se faire remarquer, vous avez d'autres soucis que celui-là…

[shkyo]

De toute façon, pour un (ou plusieurs) hacker motivé (et compétent!), savoir s'il peut entrer ou non dans tel ou tel système (MacOS, Win XX, Linux and co, etc...) n'est pas la bonne question.

La bonne question c'est : en COMBIEN DE TEMPS peut-il entrer? 1 minute, 1 heure, 1 journée, plusieurs mois?

C'est la même logique que pour les cambriolages, il faut que les protections prennent suffisamment de temps à être franchies pour décourager le maximum d'attaquants potentiels.
Mais quelqu'un de vraiment déterminé finira toujours par réussir, tôt ou tard!!

J'avais lu un exemple il y a quelques années dans un bouquin sur la sécurité, d'un hacker qui avait mis environ un an pour entrer sur le réseau d'une entreprise, et qui y était arrivé...

[MacGilles]

Citation:

faire autant de foin pour une faille de sécurité qui nécessite l'accès physique à une machine et qui pour pouvoir récupérer le mot de passe en mémoire doit être configurée pour démarrer en auto-login est quand même assez cocasse…

+1 JeitEmgie

Effectivement si c'est bien ça, cette faille est comique. Déjà il faut que le "hacker" sache ce qu'est un câble firewire vu qu'il est surement sur PC. Et hacker une machine qui necessite d'avoir avoir le contrôle, ça me rappelle un pseudo scandale de hack du wifi des Macs pour lequel il fallait aussi avoir le controle où le mot de passe de root ...

Ca n'empêchera probablement pas OS X d'avoir des failles plus sérieuses, mais celle là franchement, elle n'embêtera personne. La première règle c'est déjà de ne pas être en auto login. Sinon à quoi ça sert d'avoir des systèmes avec des comptes utilisateurs. C'est fini l'époque du Système 7 et de Windows 3.1

Je ne doute pas que la crême des hackers puissent entrer où elle veux avec un peu de travail, mais la majorité des nuisibles n'ont pas un niveau technique aussi élévé heureusement. Donc en général ce sont des ordinateurs "intéressants" qui sont visés (plus la Nasa évidement, ça a tellement été fait ).

[Mako 5013]

Citation:

Envoyé par travon

Cet argument n'est pas valable :

Dire "il y avait très peu de victimes potentielles..." alors que Apple avait 5% de marché mondial c'est assez osé!

Ouais, enfin faut reconnaître que c'est tout de même plus tentant d'attaquer un système qui représente 90% du parc mondial (et encore plus majoritairement dans le monde de l'entreprise) plutôt qu'un ne représentant "que" 5%...

Mako.

[seblutfr]

Citation:

Envoyé par JeitEmgie

faire autant de foin pour une faille de sécurité qui nécessite l'accès physique à une machine et qui pour pouvoir récupérer le mot de passe en mémoire doit être configurée pour démarrer en auto-login est quand même assez cocasse…
(...)

Les problèmes de sécurité en interne existent aussi. On n'est pas à l'abri d'un employé indélicat, et ça fait partie des attaques contre lesquelles une boîte ne peut négliger de se protéger.

[bubulemaster]

Citation:

Envoyé par kOrt3x

Lion est quand même l'OS le plus sûr : http://www.macgeneration.com/news/vo...de-la-securite

Même façe à OpenBSD ?

Citation:

Envoyé par travon

Si OSX est assez sécurisé, c'est parce qu'il repose sur BSD, le must des OS en sécurité.

De quel BSD on parle ? Car il y a plusieurs noyau et plusieurs OS : DragonflyBSD, NetBSD, OpenBSD....

BSD en soit ne veut rien dire.

[Freem]

Déjà je pige pas pourquoi les gens n'éteignent pas leur machine s'ils sont pas à côté.
Ensuite, le pc/mac de Mme Bidochon qui reste allumé tout le temps, je doute qu'il ait tant d'infos utiles qui reste en mémoire. Si c'est en entreprise, c'est déjà plus grave, en effet.
C'est peut-être pour ça qu'il existe une fonction qui impose aux machines des utilisateurs un temps d'inactivité maximum avant d'être mise en veille. Bon je sais, c'est loin d'être suffisant mais ça réduit la fenêtre.

Après, si la boîte est victime du virus pebkac, c'est pas une faille aussi tordue qui causera le plus de dégâts.

Dans le cas des bijoux photos de famille de Bidochon, bon, c'est vrai que ça peut être ennuyeux. Mais en même temps ça donne du boulot aux dépanneurs.

PS: l'auto-login sur ma tour chez moi pour l'utilisateur aux droits limités que je suis, ce n'est pas un truc qui me gène honnêtement. Après l'accès root, il est protégé, et vu que c'est le seul qui puisse bidouiller les fichiers de config/installer des fichiers dans les répertoires sensibles, ce n'est pas gênant. Après je sais pertinemment que mes données sont pas en sécurité. C'est un peu comme quand je traverse la root, je met pas de casque, c'est dangereux.

[shkyo]

Citation:

Envoyé par seblutfr

Les problèmes de sécurité en interne existent aussi. On n'est pas à l'abri d'un employé indélicat, et ça fait partie des attaques contre lesquelles une boîte ne peut négliger de se protéger.

C'est clair, une grande part des problèmes de sécurité viennent assez souvent de l'intérieur!!!
Que ce soit par maladresse, par négligence ou par malveillance...

[Marcos Ickx]

Citation:

Envoyé par bubulemaster

Même façe à OpenBSD ?

Sais pas. Mais voici ce qu'ils disent :

http://www.theregister.co.uk/2011/07...lion_security/

Citation:

No doubt, Apple deserves kudos for setting a new standard in OS security that Microsoft and Linux distributors would do well to emulate.

[JeitEmgie]

Citation:

Envoyé par seblutfr

Les problèmes de sécurité en interne existent aussi. On n'est pas à l'abri d'un employé indélicat, et ça fait partie des attaques contre lesquelles une boîte ne peut négliger de se protéger.

… et le personnel des sociétés de nettoyage aussi… les "plombiers" en tous genres…

l'employé indélicat par définition même de son statut d'employé a des moyens plus simples et plus discrets pour voler des informations importantes dans une entreprise…

surtout qu'on vous le répète : l'ordinateur visé doit démarrer en auto-login…n'importe qui a donc toute opportunité d'y accéder n'importe quand.

Non : ce qu'il y a d'intéressant à comprendre du point de vue technique c'est où se situe le problème : est-ce au niveau de ce que la norme Firewire exige dans l'implémentation des fonctionnalités ou la façon dont elles sont implémentées dans Darwin ou une fonctionnalité propre du driver Firewire sous Darwin ? et cette implémentation est-elle une erreur de conception pour laquelle une correction simple est envisageable ou une conséquence directe de l'architecture du noyau Mach-O qui nécessite une réflexion plus approfondie ?
En fait les seules informations intéressantes du point de vue scientifique sont totalement absentes : seul le pseudo-sensationnel est mis en avant.

Le fait qu'un logiciel n'efface pas les zones mémoires dans lesquelles il a stocké temporairement un mot de passe en clair est aussi un problème, mais d'un autre niveau : ce problème peut toucher n'importe quel logiciel qui demande un mot de passe à un utilisateur : pendant un certain temps ce mot de passe en clair existera en mémoire tant que la page qui le contient n'aura pas été recyclée pour un autre usage ou que le logiciel n'aura pas explicitement remis cette zone à zéro.
(donc n'importe quel code "espion" s'exécutant au niveau des privilèges "system" pourra pomper n'importe quoi… mais çà ce n'est pas spécifique à un OS en particulier)
Et le cryptage de la mémoire au niveau OS ne couvrira pas le problème du Firewire qui a accès à la mémoire puisque cet accès aura lieu à un niveau "client" de l'OS : donc les contenus seront retournés décryptés au driver Firewire.
Il y aurait donc vraiment à matière à une réflexion sérieuse sur le sujet.

Les concepts d'attaque via des connexions hardware (USB, Firewire, Thunderbold, …) ou le hacking de composants (comme celui des circuits qui pilotent les batteries de portable…) sont intéressants de point vue intellectuel et devraient amener à débattre des aspects techniques en jeu, mais aborder cette news sous l'angle "faille de sécurité qui remet tout en question" est ridicule.
De l'ordinateur sans mot de passe au post-it avec le mot de passe collé au dos de l'écran en passant par le mot de passe style date de naissance ou la secrétaire qui vous donne celui de son patron par téléphone… il y des milliers de vrais trous de sécurité plus facilement exploitables (et de manière moins coûteuse…) que d'acheter ce logiciel et le câble Firewire (et les convertisseurs 400/800 pour pallier à toutes les situations…) en croissant les doigts pour la page mémoire qui contient le fameux "mot de passe dont a pas besoin puisque l'ordinateur ne le demande pas" n'ait pas encore été recyclée pour un autre process…

[Gorgol]

Cette nouvelle me fait doucement rigoler... ou pleurer. Certains commentaires me laissent aussi dubitatif.
La plupart ne comprennent pas la portée de cette nouvelle.

De ce que je sais :

- cela fait plusieurs années que des attaques de ce type ont été démontrées. Il s'agit d'utiliser des périphériques (en particulier FireWire, USB) pour un accès direct à la mémoire via le DMA.

- ce n'est pas propre à Mac OS X, mais aux plateformes Intel.

- la contre-mesure de sécurité est relativement simple, puisqu'il s'agit de désactiver le DMA pour ces périphériques. Il me semble que c'est le cas sur Windows et configurable sur Linux et sans doute sur la plupart des UNIX/Intel.

- et donc Apple, avec son noyau BSD peu à jour, devrait faire un peu plus de veille sécurité et n'a pas vraiment d'excuse.

C'est beaucoup de bruit pour ce qui est déjà connu.
Rien de neuf.
Quant à la soi-disante très bonne sécurité des systèmes Mac OS X, on en reparlera lorsque davantage de gens cibleront ces systèmes.

De plus, l'info du jour est biaisée en se focalisant sur le vol de mot de passe de session ouverte, en sous-entendant que c'est le seul risque. Il faut comprendre que ce n'est qu'un simple POC des attaques via le FireWire, en démontrant la faisabilité d'une récupération de mots de passe, ce qui est toujours un bon moyen de marquer les esprits.
Je fais cependant remarquer qu'il s'agit plus largement d'une attaque qui permet un accès direct à la mémoire. Et donc tout est possible, comme une compromission quelconque du système ou l'installation d'un maliciel, d'une backdoor, etc.

Le problème de sécurité est donc réel. Seule une machine MAC OS X accessible physiquement et que l'on peut démarré, avec un port FireWire (tous les Mac, sauf le dernier MacBook Air) est nécessaire. De plus, un dispositif FireWire préparé en conséquence permet de compromettre alors un système un 2 temps, 3 mouvement : vous branchez et plus que quelques secondes d'attente.

Quant au soi-disant non problème de sécurité parce que nécessitant un accès physique, révisez vos leçons, car il devrait être bien connu que tout accès physique à une machine est problématique en sécurité et ne peut pas être déconsidéré.
Les 3/4 des problématiques de sécurité sont internes. Le moyen le plus facile de passer les lignes de défenses d'un SI est bien de cibler directement une machine en interne.
Combien d'affaires où un accès direct à une machine ont fortement compromis la sécurité d'une entreprise. Juste une exemple : les DAB sont des sytèmes Windows. Un accès direct à ces machines permet de passer tous les mécanismes de sécurité mis en place pour une transaction bancaire. Il y a quelques temps, des techniciens avaient profités de leurs habilitations à accéder physiquement aux DAB pour récupérer des infos de cartes bancaires.

La seule chose que je retiens de cette info : c'est rien de neuf, mais, malheureument, pour faire prendre conscience des problématiques de sécurité, rien de tel qu'un bon POC pour marquer les esprits et faire un buzz.