Publicité
+ Répondre à la discussion Actualité déjà publiée
Affichage des résultats 1 à 10 sur 10
  1. #1
    Chroniqueur Actualités

    Homme Profil pro Stéphane Le Calme
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    1 233
    Détails du profil
    Informations personnelles :
    Nom : Homme Stéphane Le Calme

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 1 233
    Points : 20 652
    Points
    20 652

    Par défaut Mac : une faille confère au hacker le statut de « super administrateur »

    Mac : une faille confère au hacker le statut de « super administrateur »
    après qu'il a modifié la date

    La commande « sudo » permet aux administrateurs d’exécuter des commandes sous un autre nom d’utilisateur, y compris l’utilisateur « root ». Lorsque vous exécutez cette commande, vous êtes invité à saisir le mot de passe du compte d’administrateur avec lequel vous ouvrez une session.


    En mars, une vulnérabilité de contournement de l’authentification résidant dans le composant Unix « sudo » a été reportée. En invoquant la commande « sudo » puis en réinitialisant la date au 1er janvier 1970, il est possible pour les hackers de se connecter en « root » sans renseigner de mot de passe.

    Les développeurs de Metasploit ont récemment ajouté un module permettant d’exploiter aisément la vulnérabilité affectant sudo sur Mac. La faille affecte les versions d’OS X de 10.7 à 10.8.4. Bien qu’elle affecte aussi d’autres distributions Linux, la plupart d’entre elles requiert un mot de passe pour pouvoir modifier la date et l’heure de l’ordinateur.

    Toutefois, pour pouvoir exploiter cette vulnérabilité, un hacker doit satisfaire à certaines conditions. La première est que l’utilisateur final connecté dispose déjà des privilèges « administrateur ». La seconde est que cet utilisateur ait déjà exécuté sudo au moins une fois par le passé avec succès. Et enfin le hacker doit avoir un accès physique ou à distance à la machine cible.

    Pour HD Moore, le fondateur du projet Metasploit, cette faille est majeure ; et il ajoute « je pense qu’Apple devrait le prendre plus sérieusement », bien qu’il précise ne pas être surpris par la lenteur de la réponse de la firme.


    Sources : Sudo, CVE-2013-1775

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre éprouvé
    Inscrit en
    décembre 2006
    Messages
    244
    Détails du profil
    Informations forums :
    Inscription : décembre 2006
    Messages : 244
    Points : 453
    Points
    453

    Par défaut

    Donc si un utilisateur a les droits admin, il peut prendre les droits admin... Ok... Majeur.

    Oui je sais, si l'utilisateur se fait déjouer son mot de passer par un Hacker... Mais dans ce cas, le Hacker a le mot de passe... Bon, si l'utilisateur quitte son post avec une session ouverte, un peu comme si il venait d'exécuter une commande Sudo et va prendre un café session ouverte...

  3. #3
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro Aurélien Gaymay
    Technicien Informatique/Webmaster
    Inscrit en
    septembre 2006
    Messages
    3 639
    Détails du profil
    Informations personnelles :
    Nom : Homme Aurélien Gaymay
    Âge : 31
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2006
    Messages : 3 639
    Points : 15 393
    Points
    15 393

    Par défaut

    La faille n'est pas présente sous Mavericks (10.9), Apple va donc conseiller ces utilisateurs de passer rapidement sous la prochaine version.

    Sont pas bêtes chez Apple.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  4. #4
    Membre Expert

    Homme Profil pro
    Ingénieur Etudes et Développements Junior
    Inscrit en
    juillet 2009
    Messages
    461
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur Etudes et Développements Junior
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 461
    Points : 1 906
    Points
    1 906

    Par défaut

    Ou si quelqu'un réussi à prendre le contrôle à distance de sa session actuelle, il peut exécuter Sudo.

    C'est pour ça que c'est majeur.

  5. #5
    Membre du Club
    Inscrit en
    septembre 2009
    Messages
    17
    Détails du profil
    Informations forums :
    Inscription : septembre 2009
    Messages : 17
    Points : 46
    Points
    46

    Par défaut

    martopioche:
    Ce n'est pas tout à fait ça (si j'ai bien compris).
    Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).
    Le problème sur OSX est qu'il est possible de changer la date sans droit admin alors que selon les distributions linux, il est souvent nécessaire d'être connecté comme admin pour changer la date, le serpent qui se mord la queue !

    Note: Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut. Je me demande en quoi cela peut affecter cette faille ?

  6. #6
    Membre éprouvé
    Inscrit en
    décembre 2006
    Messages
    244
    Détails du profil
    Informations forums :
    Inscription : décembre 2006
    Messages : 244
    Points : 453
    Points
    453

    Par défaut

    Citation Envoyé par the_babou Voir le message
    martopioche:
    Ce n'est pas tout à fait ça (si j'ai bien compris).
    Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).
    À condition que l'utilisateur soit sudoer. Donc soit c'est l'utilisateur et il a le droit, soit son compte est utilisé par un tiers et déjà là j'ai un problème...

  7. #7
    Membre éclairé
    Inscrit en
    mars 2012
    Messages
    249
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 249
    Points : 390
    Points
    390

    Par défaut

    Citation Envoyé par the_babou Voir le message
    martopioche:
    Ce n'est pas tout à fait ça (si j'ai bien compris).
    Sous Unix, pour utiliser son droit admin, il faut obligatoirement entrer son mot de passe utilisateur. Dans le cas de cette faille, cela permet de se connecter comme admin sans le mot de passe en changeant la date système, à condition que l'utilisateur se soit déjà connecté comme admin auparavant (sudo).
    Le problème sur OSX est qu'il est possible de changer la date sans droit admin alors que selon les distributions linux, il est souvent nécessaire d'être connecté comme admin pour changer la date, le serpent qui se mord la queue !

    Note: Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut. Je me demande en quoi cela peut affecter cette faille ?
    C'est surtout que cette faille sur sudo date de février/mars et a été corrigé il y a quelque temps déjà sous GNU/Linux.
    Reste à voir pourquoi OSX n'a pas fixé le truc alors que ca l'est depuis belle lurette sous les distribution GNU/Linux maintenu.

    Pour le cas de la distribution que j'utilise (Ubuntu) : http://www.ubuntu.com/usn/USN-1754-1/


    Bref encore une fois ca montre les faiblesses des système privateur absolument pas réactif face à ses concurrent libre.

    Par contre cette article fait erreur en supposant que la faille est encore présente sur GNU/Linux. Elle a été corrigé déjà.

  8. #8
    Membre habitué
    Homme Profil pro Gabriel Lemire
    Développeur Web
    Inscrit en
    avril 2009
    Messages
    38
    Détails du profil
    Informations personnelles :
    Nom : Homme Gabriel Lemire
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : avril 2009
    Messages : 38
    Points : 115
    Points
    115

    Par défaut

    Bah, c'est pas vraiment révélateur comme faille. Sur n'importe quel mac, il suffit de démarrer en maintenant les touches Command + S pour devenir super-root. On peut alors faire tout ce qu'on veut sans même s'identifier et le pire est que le root ne peut rien y faire.

    Bref, dès qu'on a un accès physique, c'est raté déjà. Et puis, si la personne a autorisé un accès distant, c'est qu'elle savait déjà ce qu'elle risquait et que son mot de passe a déjà été compromis. Alors ce n'est pas faille de sécurité pour laquelle je m’inquiéterai sur mon Mac...

  9. #9
    ALT
    ALT est déconnecté
    Membre Expert
    Avatar de ALT
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    octobre 2002
    Messages
    1 038
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Vienne (Poitou Charente)

    Informations professionnelles :
    Activité : Assistant aux utilisateurs
    Secteur : Service public

    Informations forums :
    Inscription : octobre 2002
    Messages : 1 038
    Points : 1 585
    Points
    1 585

    Par défaut

    Citation Envoyé par gretro
    dès qu'on a un accès physique, c'est raté déjà
    Ah ben oui, quand on a un accès physique à une machine, il est rare qu'une protection du système fonctionne.
    En revanche, je suppose qu'on peut se connecter à distance sur une machine sans connaître le moindre mot de passe. C'est d'ailleurs ce que font les pirates tous les jours, grâce, entre autres, à quelques logiciels malveillants. Même sur machine Apple.
    La faille est donc, qu'en ne connaissant pas le mot de passe de l'utilisateur connecté on peut prendre le contrôle total de la machine.

    Citation Envoyé par [B
    the_babou[/B]]Sous OSX, le compte root n'existe pas par défaut, il faut explicitement le créer (et c'est pas évident), sudo -su ne marche donc pas par défaut.
    Perdu !
    Root existe mais n'a pas de mot de passe, ce qui le désactive. D'où l'échec de Maintenant, fais mets un mot de passe & tu verras que le compte root existe.
    "Un peuple qui est prêt à sacrifier un peu de liberté contre un peu de sécurité, ne mérite ni l'une, ni l'autre, et finira par perdre les deux."
    Attribué indistinctement à :
    Thomas Jefferson
    Benjamin Franklin
    Albert Einstein !

  10. #10
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro Aurélien Gaymay
    Technicien Informatique/Webmaster
    Inscrit en
    septembre 2006
    Messages
    3 639
    Détails du profil
    Informations personnelles :
    Nom : Homme Aurélien Gaymay
    Âge : 31
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2006
    Messages : 3 639
    Points : 15 393
    Points
    15 393

    Par défaut

    La mise à jour 10.8.5 sortie hier soir comble cette faille de sécurité.

    Alors, tous à vos mise à jour.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •