Version imprimable du sujet

Écrit par : Lionel 26 Sep 2017, 06:15

A peine sorti, High Sierra fait parler de lui au niveau de ses fonctions de sécurité destinées à protéger les utilisateurs des logiciels malveillants toujours plus nombreux.

Le premier problème, détaillé sur cette page, concerne le nouveau système de sécurité mis en place par Apple pour éviter qu'une extension malveillante ne s'installe dans le système. Dans le principe, cela bloquerait l'installation silencieuse de logiciels malveillants visant à vous dérober des données comme les Rookits, keyloggers... Il s'avère que ce système, Secure Kernel Extension Loading, présente une faille qualifiée de 0 day qui permet de le contourner totalement et d'installer une extension non signée sans que le système réagisse.

De l'autre côté, une faille découverte, (concernant High Sierra et d'autres versions antérieures) permet à des logiciels, même non signés par des développeurs, d'accéder en toute impunité et en clair à tous les mots de passe stockés dans le trousseau d'accès.

Une preuve de concept existe déjà.

Nous aurons donc droit d'ici très peu de temps à une mise à jour de sécurité pour High Sierra.
Notez que ces failles n'ont pas été découvertes dans la nuit mais probablement sur les bêta et annoncées seulement à la sortie du système.

[MàJ] Apple a réagi officiellement à la seconde faille sur Gizmodo. En voici la traduction:
Le lancement d'une application comme celle de Wardle nécessiterait une approbation explicite des utilisateurs. "MacOS est conçu pour être sécurisé par défaut, et Gatekeeper avertit les utilisateurs lors de l'installation d'applications non signées, comme celle présentée dans cette preuve de concept, et les empêche de lancer l'application sans approbation explicite. Nous encourageons les utilisateurs à télécharger des logiciels uniquement à partir de sources fiables comme le Mac App Store, et à accorder une attention particulière aux dialogues de sécurité que MacOS présente ".


Nous pensons sincèrement que cette réaction d'Apple a été pondue dans la précipitation. En effet, il n'y a rien de plus simple que de signer une application via un compte développeur dérobé ou en en créant un avec des informations de cartes bancaires volées (souvenez vous de toutes les bases de données à la vente). Une fois cela réalisé, rien de plus simple que de signer une application. Certes, Apple révoquera le compte dès que la chose aura été découverte, mais le mal aura été fait.
Vouloir parler de la sécurité Gatekeeper pour minimiser une faille majeure est une défense puérile.
En profiter pour faire l'apologie de l'App Store nous inquiète seulement plus sur l'avenir de MacOS.

http://macbidouille.com/news/2017/09/26/premieres-failles-de-securite-dans-high-sierra

Écrit par : Fmparis 26 Sep 2017, 06:36

Bonjour Lionel

Il paraît que la faille ne concerne pas que High Sierra, mais aussi les autres Mac OS.

Bonne journée

Écrit par : Lionel 26 Sep 2017, 06:41

Je l'ai ajouté, merci.

Écrit par : ekami 26 Sep 2017, 10:06

Espérons qu'une mise à jour de sécurité va corriger ça, car pouvoir accéder aux mots de passe en clair est une faille de la plus haute gravité.

Écrit par : reversi 26 Sep 2017, 10:43

Non, la faille concernant le Secure Kernel Extension Loading est connue et annoncée depuis le 5 septembre au minimum. Cf l'article original :

https://objective-see.com/blog/blog_0x21.html

Écrit par : yponomeute 26 Sep 2017, 11:33

Lancement du grand jeu de l'automne sur MacBidouille !

Combien de temps Apple mettra-t-il à sortir une mise à jour corrigeant les failles de sécurité ?
Cochez la bonne case
[ ] 1 jour
[ ] 2 jours
[ ] 10 jours
[ ] 30 jours
[ ] 50 jours
[ ] 100 jours
[ ] 200 jours
[ ] un certain temps

Écrit par : macdan 26 Sep 2017, 12:40

Ah bon ? ... même "Snow Leopard" ?

Écrit par : divoli 26 Sep 2017, 12:47

Vu l'importance de ces failles et maintenant leur médiatisation, m'est avis qu'un correctif sera disponible d'ici la fin de la semaine.

Écrit par : mukmuk 26 Sep 2017, 13:00

"Mais puisqu'on vous dit que notre système est GRA-TUIT !!"

Écrit par : marc_os 26 Sep 2017, 13:16

Sans même parler de faille, il est pour le moins curieux qu'il ne soit pas nécessaire de déverrouiller le panneau de préférence et d'entrer un mot de passe administrateur afin d'autoriser les extensions tierces.

Écrit par : Lionel 26 Sep 2017, 13:35

J'ai ajouté la réaction officielle d'Apple.... et ce que j'en pense.

Écrit par : yponomeute 26 Sep 2017, 13:52

Vu la réaction d'Apple l'option
[ ] jamais
a été rajoutée au jeu.

Écrit par : g4hd 26 Sep 2017, 14:15

En effet… et ceci justifie un peu plus l'utilisation d'un gestionnaire de mots de passe externe

Écrit par : johnstone 26 Sep 2017, 14:18

Merci.

Sans vouloir défendre Apple, ils conseillent juste d'éviter d'installer des applications sans utiliser l'AppStore, ce qui est la moindre des choses! Cela n'empêche pas l'installation d'apps signées frauduleusement (de tout type, par ex des KeyLoggers) mais cela limite quand même le risque et des contre-mesures peuvent être mises en place rapidement (révocation des certificats...) ce qui ne peut être fait pour les apps installées en dehors de l'AppStore.

Écrit par : _Panta 26 Sep 2017, 14:21

Ca craint du boudin ...La reaction devrait etre rapide, du moins j'espère, mais ca fait donc des années que cette faille est présente et non exploités visiblement, mais peut être parce que personne ne l'avait encore vu (en dehors des hackers de la NSA ). Maintenant qu'elle est officielle, il doit y avoir en ce moment meme des petits malin en train de la verifier, à souhaiter que les correcteurs soient plus rapide

Écrit par : ekami 26 Sep 2017, 14:32

La défense d'Apple est en dessous de tout, mais c'est leur seule ligne de défense possible.
Gatekeeper est une vaste blague, puisque incapable d'anticiper quoi que ce soit puisqu'il est mis à jour après la découverte des malwares.
---
Nombre de binaires ou d'applications exigent la désactivation de Gatekeeper (ou l'autorisation "Ouvrir quand même") car elles ne sont pas signées mais font parfaitement leur travail.
Un exemple: l'excellent binaire Exiftool (le Saint Graal des métadonnées)
https://sno.phy.queensu.ca/~phil/exiftool/
---
Prions surtout qu'ils bossent comme des fous pour combler cette irrémissible faille de sécurité.

Écrit par : vlady 26 Sep 2017, 15:03

Non, voici un extrait de l'article :

...While at this time I cannot release technical details of the vulnerability, here’s a demo of a full SKEL bypass. As can be seen below in the iTerm window below, after dumping the version of the system (High Sierra, beta 9) and showing that SIP is enabled and that kernel extension we aiming to load (LittleSnitch.kext) is not loaded, nor is in the ‘kext policy’ database, something magic happens. In short, we exploit an implementation vulnerability in SKEL that allows us to load a new unapproved kext, fully programmatically, without any user interaction...

J'ai l'impression qu'on est face à une vulnérabilité de SKEL (Secure Kernel Extension Loading) elle même

Écrit par : marc_os 26 Sep 2017, 15:17

Quoi non ?
Ce sont deux choses différentes.

Ce que je dis, c'est que c'est le comportement normal et prévu qui est lui même bizarre. On n'a pas besoin de déverrouiller le panneau de préférences Sécurité et confidentialité en cliquant sur le verrou et en entrant son mot de passe admin pour pouvoir cliquer sur le bouton "Autoriser" et ainsi autoriser les extensions bloquées.

Donc depuis une session admin ou avec des droits admin je peux installer un logiciel avec une extension (kext).
Celle-ci sera d'abord bloquée (et j'ai une demi-heure pour la débloquer, sinon re-démarrage de la bécane obligatoire).
Supposons que je ne la débloque pas parce que j'ai un doute et que je ferme ma session.
Un autre utilisateur non admin peut ensuite se connecter et l'autoriser !

Écrit par : vlady 26 Sep 2017, 15:34

De quelle faille tu parles ? Il y a deux failles et la première est une faille de SKEL, si cette faille est exploité le KEXT est installé directe, sans que l'utilisateur soit au courant.

Écrit par : Tom25 26 Sep 2017, 16:08

Nous avons des problèmes de frein lors de freinage d'urgence sur nos véhicules, nous invitons tous nos clients à ne rouler que sur nos circuits privés où tout sera mis en œuvre afin qu'aucun freinage fort ne soit nécessaire.

Écrit par : zoso2k1 26 Sep 2017, 16:08

c'est un peu le souk tout ça, et la réaction d'Apple est en dessous de tout.

Comment le trousseau peut-il être aussi peu sécurisé ? c'est quand même grave

Écrit par : corniste 26 Sep 2017, 17:39

S'il fallait une raison de plus pour ne pas passer à High-Sierra...

Complètement dégouté par Apple. Je suis toujours sous Yosemite et Apple a décidé du jour au lendemain que je ne pouvais plus utiliser Outlook. Adieux toutes mes listes de Mailing. Et Yosemite est le dernier système pouvant accueillir certains de mes softs. Ma prochaine machine ne sera certainement plus Apple. Au vu de la manière dont s'installe High-Sierra, il y a fort à penser que un jour Apple désactive tous les Hackintosh.

Écrit par : zoso2k1 26 Sep 2017, 18:03

quel outlook utilises tu ?

Écrit par : corniste 26 Sep 2017, 18:11

Version 14.7.7

Office 2011.

Une double certification permettrait de débloquer cela pour des OS plus récents. Mais pas pour Yosemite.
Le problème est avec mon compte iCloud uniquement.

Écrit par : dtb06 26 Sep 2017, 18:48

Un compte développeur c'est quoi ? Un mec qui paye 99 dollars ?
Parce que ce genre de problème ne va pas s'arrêter. Si les gens croient qu'Apple a le temps de vérifier l'intégralité des codes qui sont mis en ligne sur l'App Store...
A mon avis on n'en a pas pour longtemps avant d'avoir besoin d'un bon antivirus intégré au système.

Écrit par : macdan 26 Sep 2017, 19:13

c'est ça ! ... et la meilleure c'est que beaucoup de clients s'adaptent toujours sans protestation aucune !

Écrit par : ungars 26 Sep 2017, 20:01

Et les antivirus sont interdits sur l'Apple Store pour iOS maintenant

Écrit par : el fifito 26 Sep 2017, 20:40

CQFD ! Apple est de plus en plus désespérant et décevant concernant la sécurité des Macs (mais pas seulement). Cet état d'esprit est non seulement déplorable mais montre une fois de plus et ce depuis des années de quelle façon ils considèrent leurs clients.


Ayant découvert le Mac professionnellement en 1989 (mac SE 30), j'avoue qu'il m'est aujourd'hui impossible de suivre Apple, y compris financièrement, en tant que particulier.

Ma femme avait récupéré l'iPhone 4S de mon fils. Les mp3 stockés ont été effacés purement et simplement, alors que l'appareil n'a plus de MAJ depuis des lustres... Elle a migré vers un Android : la galère pour extraire et récupérer les contacts du 4S ! Autant il y a 30 ans les appareils Apple pouvaient échanger des données avec n'importe quoi sans entrave, autant l'iPhone 4S était déjà une prison dans l'écho-systême Apple ultra vérouillé !
Mon iPad 2 avec la dernière mise à jour (pas le choix, une fenêtre MAJ à chaque gesture) est devenu une limace au niveau de l'OS, limite à lui mettre des coups de marteau pour se passer les nerfs ou s'en servir comme planche à découper le saucisson... Ça me fait une belle jambe que l'écran soit nickel et que la batterie soit vaillante !

J'utilise chez moi un mac Mini late 2009 qui fonctionne comme une horloge avec un SSD, une excellente petite machine. Le jour où il claque, mon choix va être cornelien, vue l'orientation de Mac OS et les tarifs délirants pour des machines qui je l'avoue ne me font plus rêver. Mon dilemne pour un renouvellement d'ordi familial se situe entre Windows (que j'utilise au taf) et Linux...

le problème de sécurité est du même acabit : aucun fabricant d'os et de matériel n'est à l'abri, mais la réponse d'Apple est juste à vomir !


PS: Apple qui se moque des clients, cela a commencé il y a longtemps : j'avais un G3 Yosémite avec l'écran Studio Display 17", mon premier ordi personnel qui était somme toute abordable (10 000 F à l"époque). Quand l'écran à commencer à flancher puis a lâché au bout de 14 mois (la carte interne), Apple n'a jamais rien voulu entendre, malgré les sujets ouverts sur leur site ou sur tous les forums Mac... C'était en 1999, il y a déjà 18 ans, Apple vendait déjà des écrans nazes et n'avait aucun compte à rendre à ses clients, même pas l'obligation morale d'une geste commercial...

Écrit par : tedeka 26 Sep 2017, 21:42

Écrit par : fuby 27 Sep 2017, 02:11

je serai vraiment d'accord si il n'y avait pas plus de 3000 morts par an sur les routes françaises (http://www.lemonde.fr/securite-routiere/article/2017/08/21/securite-routiere-le-nombre-de-morts-sur-les-routes-en-baisse-de-2-8-en-juillet_5174664_1655513.html), et maintenant, tout le monde a courir après la conduite automatique pour en fait laisser un ordinateur conduire !

C'est un changement sur le fond, pas uniquement sur les OS, mais sur la technologie en general. et son utilisation.
Pendant plus de 20 ans, c'était le far west, avec les libertés que cela impliquent, les choix, les opportunities mais aussi les problèmes.
Maintenant, c'est le choix a faire : doit on laisser de large compagnie nous protéger des "menaces" (si elles existent), ou bien simplement faire simplement "confiance" au système et au bon sens, ou bien avoir le gouvernement faire des choses (j'ajoute cela du fait de la notion d'etat providence en Europe, difficile a trouve ailleurs)

Pour finir, nous avons encore le choix : nous pouvons simplement utiliser Windows 10, all the linuxes, FreeBSD, dragonfly BSD, openBSD voir meme Solaris !, et temps que nous aurons le choix, alors, nous pouvons influencer les choses !
A chacun de choisir ;-)




je pense que c'est le choix a faire qui est difficile, car cela change complement les habitudes, mais c'est notre pouvoir : ne pas acheter si cela ne nous convient pas ;-)

je pense que nous devons rapidement changer nos manières de consommer, et avoir des garanties de 3 ans maintenant pour eviter l'obsolescence trop rapide et avoir trop de dechets, mais c'est parce que nous voulons toujours plus, mieux et surtout plus rapide que nous arrivons maintenant a ce non sens

bon chance pour le choix, j'utilise un peu tout pour avoir plus de liberté et ne pas être bloqué, au cas ou !

Écrit par : raoulito 27 Sep 2017, 11:05

attendez.. quand un cryptovirus provoque une panique mondiale grace à une faille presente sur toutes les plateforme windows (sauf la 10) personne ne crie au loup.
Mais une faille inclue dans un logiciel associé à un script etc... permet sous acceptation de l'utilisateur de lire le contenu de votre carnet d'adresse.. là c'est la panique ?

D'abord je pluessoie la reaction d'apple: je prend toujours des logiciels du MAS, et seulement si je trouve pas mon bonheur je me dirige vers l'open source (et là je vérifie la clef hash, les avis, les references etc..)
Faut se calmer et arrêter le bashing à tout va, c'est quand meme trop voyant mes petites poules hein ?

Écrit par : yponomeute 27 Sep 2017, 11:47

Ce n'est pas la panique, c'est tout simplement la réponse de Apple qui est à côté de la plaque comme souvent.

Quand quelqu'un signale une faille de sécurité qu'elle soit critique ou pas il n'y a qu'une seule réponse d'acceptable et c'est : "Merci de nous l'avoir signalé, on s'occupe de corriger ça dans les meilleurs délais".

Écrit par : Tom25 27 Sep 2017, 12:11

Ben oui, grosso modo Apple répond encore une fois que c'est la faute de l'utilisateur, pas de la leur. Puis ils en profitent pour en remettre une couche qu'ils vont encore restreindre les droits des utilisateurs.

Et ça fait vivement réagir car ce même procédé s'applique à plein de domaines, s'il y a un risque alors on restreint la liberté. (cf signature de Lionel).

Écrit par : raoulito 27 Sep 2017, 12:18

il y a une autre manière de voir.
Apple ne promet pas de mise à jour de sécurité (parions qu'ils sont déjà dessus) et conseille aux utilisateurs de ne pas accepter tout et n'importe quoi et d'utiliser la source d'app certifié par apple.

@yponomeute j'entend bien ta critique, mais l'absence de cette phrase "Merci de nous l'avoir signalé, on s'occupe de corriger ça dans les meilleurs délais" n'empêche en rien ce que j'ai écrit juste là ^

Écrit par : Oncle Sophocle 27 Sep 2017, 13:00

Ben oui, comme un bête carnet à spirale anonyme...

Écrit par : marc_os 27 Sep 2017, 13:28

Visiblement il te faut une explication de texte sur la tournure "sans même parler de failles" que tu sembles avoir du mal à comprendre.
Ça veut donc dire ceci : On n'a pas besoin de failles (celles rapportées par l'article), le fonctionnement même de la "protection" est pour le moins curieux. Car n'importe qui ayant un accès à la machine peut autoriser les extensions bloquées par SKEL, pas besoin de droits admin pour ça. Ce qui veut dire que même s'il n'y avait pas de faille ("Sans même parler de faille"), le système lui même n'est pas si sûr que ça. (Pardon, secure pour parler geek à la mode).

PS: Comme il faut semble-t-il que je mette bien les points sur les i, alors je précise : Ma remarque est à voir en parallèle avec la première faille citée, pas la seconde qui concerne le trousseau d'accès.