apprendre les rudiments de fonctionnement de sa voiture permettent d'eviter quelques problèmes désagréments.. Ben c'est pareil.
Sur mac, des trucs comme automator sont quand meme pas mal pour simplifier et scripter, mais mon reve, je l'avoue ce serait d'apprendre à ecrire sans regarder le clavier. probleme: pas le temps ni le courage. V donc investir dans une touchbar hahahaha

Ce message a été modifié par raoulito - 8 May 2017, 11:50.

Super ...
Je n'ai pas chopé ce malware, mais en lisant cette réponse je suis allé jeter un oeil dans mon trousseau d'accès : + de 300 lignes de mots de passe ... sympa de devoir tout reconstruire ?
Il n'y a pas moyen de protéger cette base ? avec une clef bien costaud ?

Je reviens sur la news (je n'ai nullement l'intention d'apprendre la conduite d'un bulldozer dans l'ouest canadien°) que peut on faire pour se protéger ?

A part les sauvegardes régulières, et ne télécharger qu'à partir des sites des éditeurs ; en espérant qu'ils n'aient pas été infectés ? ou qu'ils ne nous mettent pas un machin publicitaire / malware volontaire ?

cdlt


* par contre si vous avez une mini-pelle et que vous n'êtes pas trop loin de Dinan, je suis intéressé, merci de me contacter en MP

On peut déjà changer le mot de passe du trousseau pour qu'il soit différent du mot de passe du compte utilisateur. On peut également programmer le verrouillage automatique du trousseau après un certain délai.

Tu peux toujours utiliser un mot de passe de type WPA (TKIP + AES) avec 63 caractères, mais comme tu dois le taper pour autoriser l'installation de l'application (dont tu ignores le caractère vérolé),
il est à craindre que le malware aura été programmé pour enregistrer ce mot de passe.
Quelques pistes :

• N'utiliser que Firefox pour les sites où tu enregistres des identifiants/mots de passe, les mots de passes ne seront pas stockés dans le trousseau d'accès macOS,
et tu peux les protéger par un super mot de passe, que tu choisis - bien entendu - comme différent de celui de ton trousseau d'accès.
En cas de faille, la communauté Firefox semble plus réactive que Apple avec son OS, en revanche je n'ai pas compétence pour te dire si le chiffrement du trousseau Firefox est aussi solide que celui de macOS. Je recommanderais d'utiliser Firefox sans extensions, qui à l'instar de Flash, peuvent le rendre vulnérable.

• Utiliser 1Password, mais même remarque, tu fais confiance à un tiers, payant.

• Utiliser un compte Admin, vide. Lorsque tu es sur ton compte Utilisateur (non admin), tu dois taper le nom admin et son mot de passe pour installer une application.
La compromission du mot de passe Admin en cas d'installation de malware ne permet pas de déverrouiller ton trousseau utilisateur… qui a un mot de passe différent.

• Utiliser Little snitch, il me semble qu'un malware avait comme routine de rester inactif s'il détectait la présence de Little snitch.
Si Handbrake recommande de changer ses mots de passe, c'est que les trousseaux sont probablement aspirés et exploités ensuite à l'aide du mot de passe Admin.

Tout ça ne serait peut être pas arrivé si les dev d'Handbrake signaient leur logiciel...
Je ne vois pas ce qui peut empêcher un malware d'imiter un logiciel légitime et tromper l'utilisateur. C'est pour ça que les certificats existent et qu'Apple peut les révoquer.

Handbrake est open source. Tu peux récupérer le code source de l'application sur github, le compiler toi-même et même signer le logiciel avec ton propre certificat.
Donc le pirate peut soit signer lui-même l'application, soit recompiler l'application sans la signer.
En résumé : signer le logiciel n'aurait rien changé au problème.

Au contraire, si le logiciel est signé on peut vérifier s'il s'agit bien d'un certificat "Developer ID" et à quel dévelopeur il appartient.

Qui vérifie la signature du développeur ?
Et en plus un décale le problème un peu plus haut, car bien des développeurs se sont fait dérober leur signature aussi.

Le developer ID, c'est comme les caméras dans les rues : en théorie, on voit tout, mais en pratique, ça donne que dalle.

Autre problématique : est-ce que github est sûr ? (et encore une fois, à qui profiterait le crime ? )

En cherchant 1 min 12, voici ce que j'ai trouvé, et qui m'a semblé intéressant :

1. http://linuxfr.org/users/ife/journaux/pour...es-alternatives

2. Moment d'inattention avec github (d'après Korben)

Remarque : j'ai moi-même un compte sur github, ce qui ne change rien à ce que je pense de cette affaire, et ne m'empêche pas d'être circonspect (je ne fais pas de commits importants, juste des patches et quelques tests avec quelques projets (imgui, cvui et quelques autres).

Et comme il y a des bons ici, je me demandais s'il y avait un éqiuvalent français / européen à github ?

En principe on ne stocke pas ses certificats sur un serveur de distribution de logiciel, donc cela suppose une double compromission. Là je pense qu'on peut considérer que le dévelopeur en question est incompétent et commencer à se demander s'il est judicieux de continuer à utiliser ses logiciels.


Celui qui le veut.

Je suis favorable à ce que certificat soit automatiquement affiché avant d'autoriser le premier lancement d'un logiciel obtenu en dehors de l'App Store.

Ce message a été modifié par downanotch - 9 May 2017, 09:12.

Installer gitlab community edition sur son propre serveur.

Il faut quand même que le pirate soit enregistré auprès d'Apple (au coût de 100$/an). Ça doit déjà en dissuader plus d'un car ça rend possible son identification. Et je suppose qu'il faudrait peu de temps avant que le certificat du pirate soit révoqué.

Une appli qui a été modifiée après signature génère une alerte macOS comme quoi il faut la jeter.

Il me semble que ça aurait changé qqchose au problème.

De toute façon, ça pénalise Handbrake plus qu'autre chose. Les 3/4 des utilisateurs moyens voient une alerte comme quoi l'appli vient d'un developpeur non-identifié et ne savent pas comment désactiver gate keeper.

Ce message a été modifié par jeannot - 9 May 2017, 10:37.

Ils seront ciblés à travers leurs machines. C'est en ça que je dis que le problème est décalé.
On peut l'envisager, mais il faudrait encore que le nom de celui qui a cité le certificat soit connu et comparable à une base. On tourne hélas en rond et je pense que d'autres ont déjà exploré la plupart des pistes exploitables ou pas.

On réduit considérablement le problème, car en l'occurence il n'y a même pas eu besoin de dérober une quelconque signature.

tu penses qu'il va payer avec sa CB ou une piratée ? Arrivé là, les réseaux mafieux ont tous les moyens de rester cachés.
Il faut garder à l'esprit que ce ne sont plus des individus mais des bandes organisées et structurée.

Je n'ai pas mentionné que le coût comme dissuasif. Je pense surtout au risque que le pirate soit identifié, et ça ne se fait pas que par la CB. Il y a aussi l'ID du Mac qui a compilé l'appli et le compte Apple associé.

Même si tout peut être contourné, les compte Apple dev piratés, etc, c'est quand même mieux d'utiliser les dispositifs sensés sécuriser les utilisateurs, ou tout du moins ceux qui ne peuvent pas être facilement usurpés sans laisser de trace derrière soi.

Ce message a été modifié par jeannot - 9 May 2017, 10:43.

Handbrake est open source et gratuit. Je ne vois pas trop comment ça va les pénaliser, ni pourquoi ils faudrait qu'ils paient une dîme annuelle à Apple pour diffuser un logiciel gratuit à la communauté.

Je suppose qu'ils utilisent le même argument pour ne pas payer leur FAI Et il me semble avoir lu que les certificats sont valides plus qu'une année (cinq ans ?).

Ce message a été modifié par downanotch - 9 May 2017, 12:57.

Pourquoi ? Pour que les utilisateurs moyen puissent utiliser leur logiciel. Là ils ne peuvent pas. Ils ne savent pas le compiler ni désactiver gate keeper.

Le point que je veux soulever, c'est que je ne vois pas pourquoi lorsque l'on développe un logiciel open source diffusé gratuitement il faudrait obligatoirement passer par la case "payer une taxe à Apple".

Les signatures servent à la société à contrôler le contenu logiciel. Ça lui permet de neutraliser tout ce qu'elle veut au moment importun. Rien de plus en effet.


Derrière ce beau discours enchanteur se cache une vérité peu reluisante. Faire une éducation très spécifique le plus tôt possible, c'est le rêve de certaines entreprises mais ça nous enferme dans une spécialité dans laquelle l'on ne choisi pas vraiment soit-même lorsqu'on est enfant et ça réduit drastiquement les chances de changer de voie en cas de nécessité plus tard.

Ce message a été modifié par zero - 11 May 2017, 05:38.