Discussion :

[Hinault Romaric]

Mac OS X Lion : faille de sécurité dans FireWire
Pouvant être exploitée pour récupérer les mots de passe utilisateurs

Le nouveau système d’exploitation d’Apple Mac OS X lion disponible depuis seulement une semaine sur le Mac App Store serait victime d’une faille de sécurité.

En effet, Passware, un éditeur de logiciels spécialisé dans le développement des solutions de récupération de mots de passe a annoncé avoir découvert une vulnérabilité dans l’OS pouvant être exploitée via une connexion au port FireWire d'un ordinateur Mac.

Le système d’interconnexion permettant de faire circuler des données à haute vitesse en temps réel FireWire autorise n’importe quel appareil à lire et à écrire sur tous les autres appareils connectés. Pour cela, il utilise un accès direct à la mémoire système.

Les mots de passe de connexion et d’autres informations stockés dans la mémoire système peuvent donc être extraits à travers FireWire, même si l’ordinateur est verrouillé, en mode veille ou que le chiffrement de disque FileVault est activé.

La faille aurait déjà été exploitée par la dernière version de l’application Passware Kit Forensic v11, pour récupérer les mots de passe des utilisateurs sous Mac OS X Lion et Snow Leopard en quelques minutes seulement.

Passware avait précédemment utilisé la même technique pour déchiffrer des disques protégés par la spécification de protection des données BitLocker de Microsoft et TrueCrypt.

Cette découverte remet en question la sécurité de Mac OS X pour Dmitry Sumin, PDG de Passware. « Mac OS X a longtemps été vanté comme un système d’exploitation stable et sécurisé, les utilisateurs sont avertis que le nouveau système d’exploitation Lion dispose d’une vulnerabilité potentielle qui permet l’extraction de mots de passe » écrit-il.

Pour se protéger contre cette faille, Passware recommande de désactiver la connexion automatique de cette façon, les mots de passe ne seront plus disponibles dans la mémoire ou éteindre simplement son ordinateur au lieu de le mettre en veille.



Source : Communiqué de presse Passware (téléchargeable au format PDF)


Et vous ?

Que pensez-vous de cette découverte ?

[kOrt3x]

La faille aurait déjà été exploitée par la dernière version de l’application Passware Kit Forensic v11, pour récupérer les mots de passe des utilisateurs sous Mac OS X Lion et Snow Leopard en quelques minutes seulement.

C'est donc aussi une faille pour 10.6 ?

[kdmbella]

Que pensez-vous de cette découverte ?
ce n'est que normal qu'il y ait des failles de sécurité pour un nouveau logiciel et encore plus pour un SE car c'est au moment de l'exploitation que les failles sont souvent mise en évidence et si un système sortait des labo "sans faille" alors il n'y aurait pas des service pack a la microsoft ou des mise à jour de sécurité. Comme on le dit la sécurité a 100% ça n'existe pas !

[MadScratchy]

<humour>
MacOSX Lion est une Passware !
</humour>

Désolé je n'ai pas pu m'en empêcher !

[dessma]

Ça commence bien ma journée avec mon p'tit café!

Je suis sans cesse impressionné par les gens qui découvrent ce genre de trucs. Vraiment pour moi découvrir une faille de sécurité via firewire sur un ordinateur en veille ça revient à hacker mon grille-pain.

[shkyo]

Si j'ai bien compris, tout est crypté mais les login/password restent en clair en mémoire pour accélérer les connexions automatiques?
Si c'est le cas, ce n'est pas très malin comme méthode...

Ceci dit, on trouve le même style d’implémentation dans un des systèmes de cryptage de la PS3, tout est crypté partout sauf en mémoire, du coup ça a été cassé...

Après perso, quand je ne me sers pas de mon ordi, il est éteint ainsi que mon routeur, comme ça je suis tranquille et en plus ça ne me consomme pas de l'électricité pour rien...

[ludojojo]

ce n'est que normal qu'il y ait des failles de sécurité pour un nouveau logiciel et encore plus pour un SE

Aucun système d'exploitation n'est parfait, Apple ne fait exception! Donc se n'est pas anormal.
Il faut également rappeler que "7" à eu les même problèmes...

Si Apple à pu se venter tant d'années que sont OS était invulnérable, c'est simplement par ce que les hackeur n'avaient aucun intérêt à s'y attaquer par ce qu'il y avait très peu de victimes potentielles...
Aujourd'hui ce n'est plus le cas, les failles trouvées vont donc se multiplier...

[travon]

Aucun système d'exploitation n'est parfait, Apple ne fait exception! Donc se n'est pas anormal.
Il faut également rappeler que "7" à eu les même problèmes...

Si Apple à pu se venter tant d'années que sont OS était invulnérable, c'est simplement par ce que les hackeur n'avaient aucun intérêt à s'y attaquer par ce qu'il y avait très peu de victimes potentielles...
Aujourd'hui ce n'est plus le cas, les failles trouvées vont donc se multiplier...

Cet argument n'est pas valable :

Dire "il y avait très peu de victimes potentielles..." alors que Apple avait 5% de marché mondial c'est assez osé!

Ensuite c'est oublier la reconnaissance pour un hacker de craquer alors un tel système.

Si OSX est assez sécurisé, c'est parce qu'il repose sur BSD, le must des OS en sécurité.


Par contre c'est clair que OSX comme les autres OS n'est pas invulnérable, loin de la, et le meilleur rempart c'est le comportement de l'utilisateur.

[Mako 5013]

Cet argument n'est pas valable :

Dire "il y avait très peu de victimes potentielles..." alors que Apple avait 5% de marché mondial c'est assez osé!

Ouais, enfin faut reconnaître que c'est tout de même plus tentant d'attaquer un système qui représente 90% du parc mondial (et encore plus majoritairement dans le monde de l'entreprise) plutôt qu'un ne représentant "que" 5%...

Mako.

[MacGilles]

faire autant de foin pour une faille de sécurité qui nécessite l'accès physique à une machine et qui pour pouvoir récupérer le mot de passe en mémoire doit être configurée pour démarrer en auto-login est quand même assez cocasse…

+1 JeitEmgie

Effectivement si c'est bien ça, cette faille est comique. Déjà il faut que le "hacker" sache ce qu'est un câble firewire vu qu'il est surement sur PC. Et hacker une machine qui necessite d'avoir avoir le contrôle, ça me rappelle un pseudo scandale de hack du wifi des Macs pour lequel il fallait aussi avoir le controle où le mot de passe de root ...

Ca n'empêchera probablement pas OS X d'avoir des failles plus sérieuses, mais celle là franchement, elle n'embêtera personne. La première règle c'est déjà de ne pas être en auto login. Sinon à quoi ça sert d'avoir des systèmes avec des comptes utilisateurs. C'est fini l'époque du Système 7 et de Windows 3.1

Je ne doute pas que la crême des hackers puissent entrer où elle veux avec un peu de travail, mais la majorité des nuisibles n'ont pas un niveau technique aussi élévé heureusement. Donc en général ce sont des ordinateurs "intéressants" qui sont visés (plus la Nasa évidement, ça a tellement été fait ).

[Gorgol]

Cette nouvelle me fait doucement rigoler... ou pleurer. Certains commentaires me laissent aussi dubitatif.
La plupart ne comprennent pas la portée de cette nouvelle.

De ce que je sais :

- cela fait plusieurs années que des attaques de ce type ont été démontrées. Il s'agit d'utiliser des périphériques (en particulier FireWire, USB) pour un accès direct à la mémoire via le DMA.

- ce n'est pas propre à Mac OS X, mais aux plateformes Intel.

- la contre-mesure de sécurité est relativement simple, puisqu'il s'agit de désactiver le DMA pour ces périphériques. Il me semble que c'est le cas sur Windows et configurable sur Linux et sans doute sur la plupart des UNIX/Intel.

- et donc Apple, avec son noyau BSD peu à jour, devrait faire un peu plus de veille sécurité et n'a pas vraiment d'excuse.

C'est beaucoup de bruit pour ce qui est déjà connu.
Rien de neuf.
Quant à la soi-disante très bonne sécurité des systèmes Mac OS X, on en reparlera lorsque davantage de gens cibleront ces systèmes.

De plus, l'info du jour est biaisée en se focalisant sur le vol de mot de passe de session ouverte, en sous-entendant que c'est le seul risque. Il faut comprendre que ce n'est qu'un simple POC des attaques via le FireWire, en démontrant la faisabilité d'une récupération de mots de passe, ce qui est toujours un bon moyen de marquer les esprits.
Je fais cependant remarquer qu'il s'agit plus largement d'une attaque qui permet un accès direct à la mémoire. Et donc tout est possible, comme une compromission quelconque du système ou l'installation d'un maliciel, d'une backdoor, etc.

Le problème de sécurité est donc réel. Seule une machine MAC OS X accessible physiquement et que l'on peut démarré, avec un port FireWire (tous les Mac, sauf le dernier MacBook Air) est nécessaire. De plus, un dispositif FireWire préparé en conséquence permet de compromettre alors un système un 2 temps, 3 mouvement : vous branchez et plus que quelques secondes d'attente.

Quant au soi-disant non problème de sécurité parce que nécessitant un accès physique, révisez vos leçons, car il devrait être bien connu que tout accès physique à une machine est problématique en sécurité et ne peut pas être déconsidéré.
Les 3/4 des problématiques de sécurité sont internes. Le moyen le plus facile de passer les lignes de défenses d'un SI est bien de cibler directement une machine en interne.
Combien d'affaires où un accès direct à une machine ont fortement compromis la sécurité d'une entreprise. Juste une exemple : les DAB sont des sytèmes Windows. Un accès direct à ces machines permet de passer tous les mécanismes de sécurité mis en place pour une transaction bancaire. Il y a quelques temps, des techniciens avaient profités de leurs habilitations à accéder physiquement aux DAB pour récupérer des infos de cartes bancaires.

La seule chose que je retiens de cette info : c'est rien de neuf, mais, malheureument, pour faire prendre conscience des problématiques de sécurité, rien de tel qu'un bon POC pour marquer les esprits et faire un buzz.

[JeitEmgie]

De plus, l'info du jour est biaisée en se focalisant sur le vol de mot de passe de session ouverte, en sous-entendant que c'est le seul risque. Il faut comprendre que ce n'est qu'un simple POC des attaques via le FireWire, en démontrant la faisabilité d'une récupération de mots de passe, ce qui est toujours un bon moyen de marquer les esprits.
Je fais cependant remarquer qu'il s'agit plus largement d'une attaque qui permet un accès direct à la mémoire. Et donc tout est possible, comme une compromission quelconque du système ou l'installation d'un maliciel, d'une backdoor, etc.

Sauf que le communiqué de presse ne parle pas d'accès DMA en écriture de la machine cible seulement d'accès en lecture,
à ce stade, on manque d'informations pour pouvoir affirmer que l'on peut injecter quelque chose à partir du port Firewire.

Par contre leur produit permet de récupérer tous les mots de passe des disques Windows et Mac (Keychain) dans un cadre "forensic", et décrypte les partitions/fichiers encryptés par BitLocker et TrueCrypt, mais ils ne parlent pas de FileVault.

[Gorgol]

Sauf que le communiqué de presse ne parle pas d'accès DMA en écriture de la machine cible seulement d'accès en lecture,
à ce stade, on manque d'informations pour pouvoir affirmer que l'on peut injecter quelque chose à partir du port Firewire..

Bin non :

Le système d’interconnexion permettant de faire circuler des données à haute vitesse en temps réel FireWire autorise n’importe quel appareil à lire et à écrire sur tous les autres appareils connectés. Pour cela, il utilise un accès direct à la mémoire système.

J'suis pas spécialiste du DMA, mais je peux légitimement supposer qu'un accès direct sur le DMA permet les accès en écriture. Le propre du DMA est bien de s'abstreindre du CPU et donc de ses mécanismes de contrôle. A voir si un DMA est configurable sur ce point et quels OS vont à ce niveau de configuration, s'il existe.

mais ils ne parlent pas de FileVault.

Certes mais je serais agréablement surpris qu'Apple ait mis en place un mécanisme de protection sur le FileVault lors du verrouillage d'une session.
De plus on peut supposer des attaques indirectes pour récupérer les mots de passe Filevault (sans doute selon robustesse des mots de passe).

[JeitEmgie]

Bin non :



J'suis pas spécialiste du DMA, mais je peux légitimement supposer qu'un accès direct sur le DMA permet les accès en écriture. Le propre du DMA est bien de s'abstreindre du CPU et donc de ses mécanismes de contrôle. A voir si un DMA est configurable sur ce point et quels OS vont à ce niveau de configuration, s'il existe.

Je parle du communiqué de presse officiel de la société : le texte original en anglais ne fait pas allusion à la possibilité d'écriture à partir du périphérique.

Certes, techniquement le DMA permet l'écriture, la question est de savoir si elle peut être initiée par le périphérique/ le demandeur ou si c'est celui qui donne l'accès à sa propre mémoire qui doit faire la demande à l'autre : le périphérique peut demander à l'ordinateur de transférer le contenu de sa mémoire vers la mémoire du "périphérique" en DMA : çà c'est ce qui est utilisé pour découvrir le contenu de l'ordinateur visé, mais est-ce que le périphérique peut dire à l'ordinateur : je veux écrire dans ta mémoire à tel zone et que l'autre accepte ? J'ai comme un doute que cette séquence d'opérations ait été prévue dans la norme Firewire… mais cela reste à vérifier, tout comme la possibilité d'un hack qui permettrait de passer outre.

Certes mais je serais agréablement surpris qu'Apple ait mis en place un mécanisme de protection sur le FileVault lors du verrouillage d'une session.
De plus on peut supposer des attaques indirectes pour récupérer les mots de passe Filevault (sans doute selon robustesse des mots de passe).

Ils ont dans leur logiciel la récupération du Keychain donc récupérer le mot de passe s'il s'y trouve, ils peuvent le faire, mais ils ne parlent pas dans la description de leur produit de la décryption d'un fichier protégé par FileVault sans avoir le mot de passe.
Et ici on parle bien des autres fonctions de leur produit : les aspects "forensic", c'est-à-dire la récupération de données d'un disque auquel on a accès en laboratoire : pas de l'intrusion par Firewire sur une machine qui tourne. Ces fonctionnalités "forensic" nécessite du temps de calcul et leur logiciel utilise aussi le GPU pour y arriver dans des temps raisonnables… et pour le moment, ils n'annoncent pas qu'ils aient déjà implémenté le décryptage de FileVault.
(mais çà arrivera sûrement…)

[Gorgol]

Certes, techniquement le DMA permet l'écriture, la question est de savoir si elle peut être initiée par le périphérique/ le demandeur ou si c'est celui qui donne l'accès à sa propre mémoire qui doit faire la demande à l'autre : le périphérique peut demander à l'ordinateur de transférer le contenu de sa mémoire vers la mémoire du "périphérique" en DMA : çà c'est ce qui est utilisé pour découvrir le contenu de l'ordinateur visé, mais est-ce que le périphérique peut dire à l'ordinateur : je veux écrire dans ta mémoire à tel zone et que l'autre accepte ? J'ai comme un doute que cette séquence d'opérations ait été prévue dans la norme Firewire… mais cela reste à vérifier, tout comme la possibilité d'un hack qui permettrait de passer outre.

Certes il faut regarder les détails techniques concernant OHCI 1394. Mais à la base la norme permet les accès mémoire via le DMA en lecture et écriture. En théorie, je crois cependant qu'il existe des filtres pour ces accès sur les noeuds firewire.

Je vais être basique : s'il est possible de faire un dump complet de la mémoire (donc sans contrôle d'accès), pourquoi il ne serait pas possible de faire une écriture arbitraire quelconque ?

Bon, il est sans doute plus facile d'extraire des infos caractéristiques (exemple, authentifiants) que de corrompre une mémoire.

Ici :
http://www.google.fr/url?sa=t&source...6dpAzNTMEQGXLw

Je n'ai pas lu en détail, mais on parle d'altérer les routines de validation des mots de passe pour déverrouiller automatiquement une session (par contre le test ne semble pas très concluant sur une difficulté à localiser la routine MsvpPasswordValidate sur un Windows 7 SP1). Il faut bien pour cela faire une écriture en mémoire....
Ce n'est pas les études et outils qui manquent sur ce sujet, mais il se focalise sur des lectures mémoire. Pour l'instant...