Un logiciel qui met le Mac à nu !, Réactions à la news du 30-04-2007

[mobydivingdick]

Après pour les trucs plus costauds, genre sha1 je dis pas. Reset à savoir comment sont stockés les checksum des mdp sous les différents logiciels de osx ? ça je sais pas. (ce qui est sûr, c'est que le mdp des utilisateurs est en salted-sha1)

Heu ... et en clair ca veut dire quoi ?

[Bbert]

Vraiment inquiétant en tout cas…

[xpech]

Vraiment inquiétant en tout cas…

c'est sur voir les gens se faire prendre à la première esbroufe marketing. Comme quoi parler de sécurité de prévention, ça sert à rien si on ne fait pas peur, même avec de faux arguments

[titou2c]

Comme quoi parler de sécurité de prévention, ça sert à rien si on ne fait pas peur, même avec de faux arguments

on dirait presque un thème de campagne
mais non, mais non, je ne parle pas de politique

Ce message a été modifié par titou2c - 1 May 2007, 11:26.

[Schmurtz]

Reste plus qu'à saboter les ports USB si l'on sonne à 6h du matin...

Mieux vaut débrancher l'alim (+ la batterie). C'est moins violant .

Plus sérieusement, ce soft utilise-t-il une backdoor cachée ? Apple est-il au courant ? j'aimerais bien connaître leur position.

J'ai déjà entendu parlé d'un truc similaire, mais via firewire. C'était fait par des chercheurs, à l'aide d'un ipod avec ipodlinux. Le principe est basé sur le fait que tous les périphériques Firewire peuvent faire des accès DMA, comme les cartes PCI et autre composants interne. En faisant tourner le logiciel adéquate sur le périphérique, il est alors possible de lire tout ce qui est en RAM sans aucune limitation : donc de tous les mots de passes (avec un peu d'analyse, on peut savoir où les chercher).

Je pense que c'est un système similaire qu'utilise cet outil, mais via USB. Si c'est le cas (EDIT : en fait, ça n'a pas l'air d'être le cas) :
- ça n'est pas copiable : il faut le logiciel soit exécuté dans la clef USB (les clefs du commerce ne font que du stockage)
- il faut activer le verrouillage automatique du trousseau d'accès pour s'en prémunir. Et ne pas utiliser Firevault, mais utiliser des images disques chiffrées, utilisées uniquement pour les documents réellement sensibles, et ouverte qu'au besoin. Firevault est une protection des données en cas de vol d'une machine éteinte, ou qui le sera par le voleur (cet outil en apporte la preuve).

De toute manière, si la police à vraiment besoin de savoir ce qu'il y a sur votre disque, c'est que vous avez quelque chose à vous reprocher, et ils trouveront bien le moyen d'y parvenir (voir, d'installer un keylogger, après être entré par effraction chez vous). Pour les hackers : ben, je pense pas qu'ils rentrons chez vous pour utiliser une telle clef USB.

Ce message a été modifié par Schmurtz - 1 May 2007, 11:36.

[Ogur]

En même temps, faut pas non plus pousser à la parano hein

On parle ici d'un truc qui doit être executé physiquement sur la machine, pas d'un spyware qui va infecter des milliers de machines via le Web et faire transiter vos données persos...

Et s'il devait réellement y avoir une faille, ben on est en droit d'espérer qu'Apple la comblera.

Alors keep cool, m'étonnerait que la majorité des gens sur ce fofo aient tous des données étatiques ultraconfidentielles qu'ils voudraient absolument protéger [Enfin, dans ce cas, mieux vaut simplement ne pas brancher la machine les contenant sur le réseau ]

Ce message a été modifié par Ogur - 1 May 2007, 16:16.

[Dreaming]

(...)De toute manière, si la police à vraiment besoin de savoir ce qu'il y a sur votre disque, c'est que vous avez quelque chose à vous reprocher, et ils trouveront bien le moyen d'y parvenir (voir, d'installer un keylogger, après être entré par effraction chez vous).(...)

Arrête de regarder Alias en boucle.

[Schmurtz]

(...)De toute manière, si la police à vraiment besoin de savoir ce qu'il y a sur votre disque, c'est que vous avez quelque chose à vous reprocher, et ils trouveront bien le moyen d'y parvenir (voir, d'installer un keylogger, après être entré par effraction chez vous).(...)

Arrête de regarder Alias en boucle.

Ça arrive vraiment, mais c'est pas officiel (car un peu illégal), et très très rarement utilisé (car pas officiel). D'où le "si la police à vraiment besoin", si c'est capital pour la sécurité intérieure (en fait, dans ce cas, c'est plutôt la gendarmerie que la police). Dans les affaires courantes, de toutes façon, les suspects ne chiffrent pas leurs données.

[valorisa]

http://www.macworld.com/news/2007/04/30/daizovi/index.php

[Alizés]

Plus sérieusement, ce soft utilise-t-il une backdoor cachée ? Apple est-il au courant ? j'aimerais bien connaître leur position.

J'ai déjà entendu parlé d'un truc similaire, mais via firewire. C'était fait par des chercheurs, à l'aide d'un ipod avec ipodlinux. Le principe est basé sur le fait que tous les périphériques Firewire peuvent faire des accès DMA, comme les cartes PCI et autre composants interne. En faisant tourner le logiciel adéquate sur le périphérique, il est alors possible de lire tout ce qui est en RAM sans aucune limitation : donc de tous les mots de passes (avec un peu d'analyse, on peut savoir où les chercher).

Je pense que c'est un système similaire qu'utilise cet outil, mais via USB. Si c'est le cas (EDIT : en fait, ça n'a pas l'air d'être le cas) :
- ça n'est pas copiable : il faut le logiciel soit exécuté dans la clef USB (les clefs du commerce ne font que du stockage)
- il faut activer le verrouillage automatique du trousseau d'accès pour s'en prémunir. Et ne pas utiliser Firevault, mais utiliser des images disques chiffrées, utilisées uniquement pour les documents réellement sensibles, et ouverte qu'au besoin. Firevault est une protection des données en cas de vol d'une machine éteinte, ou qui le sera par le voleur (cet outil en apporte la preuve).

De toute manière, si la police à vraiment besoin de savoir ce qu'il y a sur votre disque, c'est que vous avez quelque chose à vous reprocher, et ils trouveront bien le moyen d'y parvenir (voir, d'installer un keylogger, après être entré par effraction chez vous). Pour les hackers : ben, je pense pas qu'ils rentrons chez vous pour utiliser une telle clef USB.

Oui, c'est vrai, mais tu sais Damien, il existe bien d'autres façons encore d'accéder à de l'information personnelle...

http://www.macworld.com/news/2007/04/30/daizovi/index.php

Arf! Tout est bon pour essayer tant bien que mal de relancer les ventes de ce Vista qui semble être, pour l'instant, le premier vrai gros fiasco de MicroSoft depuis des lustres... Et je pèse mes mots, car même si les chiffres restent tout de même impressionnants, ils sont catastrophiques, si on les compare à ceux de Windows XP à sa sortie, par exemple. On est la moins de la moitié! presque au tiers... À voir les stats actuelles cela aurait même sérieusement profité à Apple (y'a pas que ça bien sûr... mais en partie). Il est donc de bonne augure d'essayer de lutter contre cette situation en attaquant les concurrents tant qu'on peut. De là à ce que les infos soient véridiques, il y a un gouffre, tout de même.

Ce message a été modifié par Alizés - 1 May 2007, 15:02.

[dulrich]

Disons que le vrai débats n'est pas là (du moins il ne doit pas être là sur macbidouille).... et qu'en fait y a jamais eu de débat car :
- il est impossible de décrypter en brut force du 256 bits (le soleil ne fournirait pas assez d'énergie pour faire fonctionner les ordinateurs pendant les quelques milliards d'années nécessaires)

ok, mais par contre, même pour un md5, il existe des tables en arc-en-ciel. Dans ces conditions il faut quelques dizaines de minutes pour trouver un mot de passe qui correspond étant donné qu'habituellement les mots de passes sont courts et communs. Après pour les trucs plus costauds, genre sha1 je dis pas. Reset à savoir comment sont stockés les checksum des mdp sous les différents logiciels de osx ? ça je sais pas. (ce qui est sûr, c'est que le mdp des utilisateurs est en salted-sha1)

Le md5 est mort depuis longtemps au niveau sécurité .... aujourd'hui c'est minimum 128bits. Reste la daube de ssl qui est en 40bits je crois...

[boulifb]

Cela montre au moins deux choses:
1) Mac OS X a de graves failles de sécurité. Espéront que la Pomme corrigera très vite ces failles.
2) Pour la France, ce produit baffoue clairement la loi "informatique et liberté" et devient alors caduque si les autorités (la police et autre) utilisent un tel outil.

Beware: Big Brother is watching you...

Ce message a été modifié par boulifb - 1 May 2007, 15:38.

[Dreaming]

(...)De toute manière, si la police à vraiment besoin de savoir ce qu'il y a sur votre disque, c'est que vous avez quelque chose à vous reprocher, et ils trouveront bien le moyen d'y parvenir (voir, d'installer un keylogger, après être entré par effraction chez vous).(...)

Arrête de regarder Alias en boucle.

Ça arrive vraiment, mais c'est pas officiel (car un peu illégal), et très très rarement utilisé (car pas officiel). D'où le "si la police à vraiment besoin", si c'est capital pour la sécurité intérieure (en fait, dans ce cas, c'est plutôt la gendarmerie que la police). Dans les affaires courantes, de toutes façon, les suspects ne chiffrent pas leurs données.

Et la marmotte met le chocolat dans le papier alu...

La gendarmerie doit intervenir dans un cadre légal, ses agissements ayant des conséquences sur le plan judiciare; or, si la preuve est faite qu'un tel procédé a été utilisé, toute la procédure part à la poubelle. Si ils ont fait ça pour coincer quelqu'un, ce n'est pas rentable.

Et tant qu'on y est: si c'est aussi capital que ça pour la sécurité intérieure, c'est la DST qui s'en chargerait.

Cela montre au moins deux choses:
1) Mac OS X a de graves failles de sécurité. Espéront que la Pomme corrigera très vite ces failles.

Tu aurais du commencer par lire les pages précédentes: ça n'a rien d'une faille.

2) Pour la France, ce produit baffoue clairement la loi "informatique et liberté" et devient alors caduque si les autorités (la police et autre) utilisent un tel outil.

Beware: Big Brother is watching you...

Ben non. Pas dans le cadre d'une commission rogatoire. Ce n'est pas différent de l'ordre d'un Juge de vérifier ce que tu as dans ton coffre à la banque.

[boulifb]

de toute façon, m'en fiche, j'ai rien sur ma machine

[Ogur]

de toute façon, m'en fiche, j'ai rien sur ma machine

Comme 90% des gens ici

[jchantraine]

Rassurez moi, ca ne fonctionne qu'avec un acces physique à ma machine ? Il n'y a aucun risque par internet ou quoi ?

[titou2c]

oui, qu'avec un accès physique
(ça a déjà été dit )

[-eliot-]

1) Mac OS X a de graves failles de sécurité.

c'est faux ... !!!

bon pour faire simple ... ce truc est moins dangereux que le DVD d'installation ou le mode target ... je flip à mort ...
comme déjà dit ... trois trucs de "ouf" pour éviter le "pompage" :
1 - changez le MDP du trousseau (qui est par défaut le même que celui administrateur) ...
2 - ne laisser votre Mac en veille que lorsque vous etes dans les parages ... si non éteignez le ...
3 - pour les paranos, stockez vos données "sensibles" sur un DD externe et débranchez après usage, ensuite cachez le sous votre matelas ...

je reste zen ... et clic ...

[esprit d'Avril]

le seul (gros) souci que je vois pour le 'commun des mortels' c'est l'espionnage industriel sous 3 conditions :

1. si cette cle tombe dans le domaine public, ie : est recuperee par une boite privee d'espionnage economique par exemple. Ce qui arrivera bien un jour.

2. vous partez avec votre portable chez un client. Typiquement, le portable est en veille (pour eviter trop de temps de boot devant le client) et rallume sur une session admin.

3. vous vous absentez de votre chambre d'hotel, de votre salle de reunion (lunch, toilettes,..) : bref a tout moment ou vous etes physiquement loin du portable, la les donnees sont vulnerables.

[-eliot-]

le seul (gros) souci que je vois pour le 'commun des mortels' c'est l'espionnage industriel sous 3 conditions :

1. si cette cle tombe dans le domaine public, ie : est recuperee par une boite privee d'espionnage economique par exemple. Ce qui arrivera bien un jour.

2. vous partez avec votre portable chez un client. Typiquement, le portable est en veille (pour eviter trop de temps de boot devant le client) et rallume sur une session admin.

3. vous vous absentez de votre chambre d'hotel, de votre salle de reunion (lunch, toilettes,..) : bref a tout moment ou vous etes physiquement loin du portable, la les donnees sont vulnerables.

1 - changez le MDP du trousseau (qui est par défaut le même que celui administrateur) ...

je reste zen ... et clic ...

[Phil J. Fry]

le seul (gros) souci que je vois pour le 'commun des mortels' c'est l'espionnage industriel sous 3 conditions :

1. si cette cle tombe dans le domaine public, ie : est recuperee par une boite privee d'espionnage economique par exemple. Ce qui arrivera bien un jour.

2. vous partez avec votre portable chez un client. Typiquement, le portable est en veille (pour eviter trop de temps de boot devant le client) et rallume sur une session admin.

3. vous vous absentez de votre chambre d'hotel, de votre salle de reunion (lunch, toilettes,..) : bref a tout moment ou vous etes physiquement loin du portable, la les donnees sont vulnerables.

Tu as lu ? Cette clé USB ne sert à rien si la machine est un tant soit peu protégée.
je reste zen ... et un petit clic vaut mieux qu'un grand choc.

[Guest_Mic3D_*]

En exigeant la saisie du mot de passe lors du réveil on évite déjà quelques problèmes...

"Préférences Système" > "Sécurité" !

[Colonel Moutarde]

Pour ne pas vraiment changer de sujet, écoutez l'excellente émission de la Radio Suisse Romande "Histoire Vivante". Cette semaine, les services secrets (et un très bon historique du cryptage hier mardi). Ça se podcast ici !

[lolofromparis]

A ce propos, est il possible de faire que le Mac ne se réveille ( et n'affiche pas la fenetre de login) que si telle ou telle appli le demande ?

Car j'ai un problème, j'utilise le vérouillage lors du réveil du Mac, problème quand c'est EyeTV qui a programmé un enregistrement, le Mac se réveille mais tombe sur la fenêtre de login...résultat l'enregistrement ne se fait pas.

Vous avez une solution pour garder la sécurité du vérouillage tout en permettant à une appli de réveiller le Mac et de tourner ?

[Phil J. Fry]

A ce propos, est il possible de faire que le Mac ne se réveille ( et n'affiche pas la fenetre de login) que si telle ou telle appli le demande ?

Car j'ai un problème, j'utilise le vérouillage lors du réveil du Mac, problème quand c'est EyeTV qui a programmé un enregistrement, le Mac se réveille mais tombe sur la fenêtre de login...résultat l'enregistrement ne se fait pas.

Vous avez une solution pour garder la sécurité du vérouillage tout en permettant à une appli de réveiller le Mac et de tourner ?

Tu peux utiliser un utilisateur (non admin) avec un contrôle sur les applications qu'il peut exécuter.

[xpech]

Pour ne pas vraiment changer de sujet, écoutez l'excellente émission de la Radio Suisse Romande "Histoire Vivante". Cette semaine, les services secrets (et un très bon historique du cryptage hier mardi). Ça se podcast ici !

C'est un peu comme Rendez-Vous Avec X de France Inter ?

[Maconnect]

Après pour les trucs plus costauds, genre sha1 je dis pas. Reset à savoir comment sont stockés les checksum des mdp sous les différents logiciels de osx ? ça je sais pas. (ce qui est sûr, c'est que le mdp des utilisateurs est en salted-sha1)

Heu ... et en clair ca veut dire quoi ?

en clair: pour le mot de passe des utilisateurs y'a que 10.4 qui soit à la hauteur, c'est du sha1. MAIS il ne faut pas laisser le partage windows activé inutilement.