Un logiciel qui met le Mac à nu !, Réactions à la news du 30-04-2007

[ptitfou75]

et la meme chose pour VISTA ??? sa existe?

[ParanoX]

Pas d'affolement à la deuxième lecture de leur site

Recovers files from sleeping computers – Once awakened a Mac will return it's keychain access levels to the default state found when it was initially put to sleep. Suspects often (and usually) transport portable systems in this sleeping state.

Et tout découle du keychain déverrouillé
Il faudrait logiquement qu'Apple fasse verrouiller le keychain systématiquement et par défaut lors de la mise en veille ou carrément rajouter un retour au panneau de session en plus du verrouillage de keychain
et par que par défaut l'économiseur d'écran qui se déclenche en fasse de même : verouiller le keychain

Le keychain ouvert doit avoir le password de la session ouverte en mémoire, il faudrait donc aussi que celui ci soit encapsulé et protégé contre ce genre de lecture à la sauvage (probablement un dump de la ram)

Pour les mots de passe Filevault et les images disque cryptées AES 128, c'est pareil, les Mots de passe sont souvent conservés dans le keychain


Je me demande si la manip fonctionne avec la mémoire virtuelle sécurisée

en fait je me demande si ce soft utilise le fameux magic key pour l'AES 128, ou s'ils comptent sur le laisser aller des utilisateurs Mac

___________
et la meme chose pour VISTA ??? sa existe?
Oui mais c'est gratuit et faisable avec n'importe quel base de virus ou de spyware pour Win

Ce message a été modifié par ParanoX - 30 Apr 2007, 08:56.

[rantanplan]

Reste plus qu'à saboter les ports USB si l'on sonne à 6h du matin...

Plus sérieusement, ce soft utilise-t-il une backdoor cachée ? Apple est-il au courant ? j'aimerais bien connaître leur position. Ok, il faut rentrer une clé pour accéder au contenu du DD. Mais connaissant l'ingéniosité des "bidouilleurs", une fois le logiciel sur le net, il va être décortiqué, analysé et craqué. Qui peut garantir qu'ils n'exploiteront pas cette faille autrement que par le port USB ? Sous forme de troyen, par exemple ?
J'extrapole et délire peut-être mais cette news n'est vraiment pas une bonne nouvelle.
Et bonjour l'espionnage industriel...

[Thierry75]

Ça fleurte pas avec l'illégalité ce genre de truc?

Le site précise quand même que ce produit doit être utilisé en fonction des lois du pays:

MacLockPick is not for sale to the general public. Purchasers will be required to provide proof that they are a licensed law enforcement professional. Users are required to ensure that the use of this technology is legal on federal, state, and local level.

C'est bien sur ce qu'ils disent et faudrait les croire sur paroles .... . Quels garanties peuvent ils fournir que c'est effectivement le cas et quelles sont les contraintes légales qui font qu'ils sont effectivement obligés de s'entourer de toutes les précautions ? .. mystère.
Mais bon.. c'est toujours bon de connaitre les raisons pour lesquelles on est de moins en moins en sécurité
Controles, tu parle... si c'est du même niveau que le contrôle de la vente de M16 aux étudiants propres sur eux aux Etats Unis, y a de quoi persifler

Ceci étant, je suis OK avec Legone. Techniquement parlant faut relativiser

[DefKing]

Et puis, c'est vraiment utile de programme? Il n'y a qu'à suivre les feuilletons à la télé pour voir qu'un ordinateur ne risque pas longtemps à nos limiers! A moins de planquer le disque dur.

[Cobraken]

Il suffit simplement de ne pas être un "quel que soit criminel" pour que personne vienne mettre une vilaine clé dans notre bécane.
Mais bon je vois pas pourquoi une information comme celle-ci est connu si elle est juste (la clé) utiliser pas la police. Cela devrait être top secret et circuler plutôt en tant que rumeur. Bref du coup c'est sur que ca va tomber dans des mains mal intentionnées.

[oliricha]

Si on veut un peu plus de sécurité sur nos Mac, il y a quelques trucs à faire, pour commencer, changer le mot de passe du trousseau d'accès, en mettre un différent de celui de l'ordinateur. Puis, régler celui-ci pour qu'il se verrouille automatiquement à la mise en veille. Et pour terminer régler le tout pour que l'ouverture de session ne déverrouille pas automatiquement le trousseau.

Avec ces quelques règles, vos mots de passes seront mieux protégés. Et pour protéger vos données sensible, vous pouvez très bien créer des images disques cryptées et mettre le mot de passe dans votre trousseau.

Moi, c'est ce que je fais...

[dulrich]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

[Matrix]

Rappel important: les messages politiques ne sont pas admis sur le forum.

J'ai déjà fait du ménage.

Le prochain aura le droit à des vacances jusqu'à dimanche 20h.

[Edge@51]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

Je voudrais juste avoir des précisions sur un point: pourquoi est-ce que j'ai besoin de rentrer mon mot de passe admin lorsque je veux voir un mot de passe dans le trousseau?
Mais bon, comme toujours, dès que l'on a un accès physique à la machine

[legone]

Si on veut un peu plus de sécurité sur nos Mac, il y a quelques trucs à faire, pour commencer, changer le mot de passe du trousseau d'accès, en mettre un différent de celui de l'ordinateur. Puis, régler celui-ci pour qu'il se verrouille automatiquement à la mise en veille. Et pour terminer régler le tout pour que l'ouverture de session ne déverrouille pas automatiquement le trousseau.

Merci de ces informations constructives
C'est exactement les infos que j'esperais dans ce fil de discussion

[ParanoX]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

Session fermée Ok
mais ça enlève un peu de l'intéret de la mise en veille...
est ce que ce réglage suffirait?

est ce qu'un retour au Panneau de Log in, session non fermée, suffirait dans le cas contraire?

Ce message a été modifié par ParanoX - 30 Apr 2007, 09:22.

[xpech]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

Je voudrais juste avoir des précisions sur un point: pourquoi est-ce que j'ai besoin de rentrer mon mot de passe admin lorsque je veux voir un mot de passe dans le trousseau?
Mais bon, comme toujours, dès que l'on a un accès physique à la machine

c'est une option de fonctionnement et c'est pas le mdp d'admin, c'est ton mdp. (ça dépend du trousseau).
Ce logiciel est juste une moulinette de recup de donnée déjà accessibles.

[olyced]

Merci dulrich, enfin un commentaire qui remet les choses en place!

MacLockPick takes advantage of the fact that the default state of the Apple Keychain is open, even if the system has been put to sleep.

Effectivement, la majorité des utilisateurs ne connaissent même pas l'existence du menu Edition -> Modifier les réglages du trousseau "session"…


Qui a ces deux cases cochées ?

Et même avec le trousseau déverrouillé, j'aimerais bien savoir comment ils font pour obtenir la quantité de mots de passes qu'ils prétendent pouvoir obtenir. Z'avez déjà remarqué que le trousseau redemande le mot de passe lorsque l'on clique sur Afficher le mot de passe. Eh bien il se passe exactement la même chose lorsqu'une autre application essaye de lire un mot de passe qui ne lui est pas destiné dans le trousseau.

Je voudrais juste avoir des précisions sur un point: pourquoi est-ce que j'ai besoin de rentrer mon mot de passe admin lorsque je veux voir un mot de passe dans le trousseau?

C'est parce que le trousseau d'accès n'est pas autorisé à accéder aux mots de passes! Seule l'application pour laquelle le mot de passe a été enregistré a le droit d'y accéder sans qu'il y ait besoin d'entrer un mot de passe.
Tout est expliqué en détail dans le Keychain Services Programming Guide.

[BMDN]

olyced
aujourd'hui, 10:24
Qui a ces deux cases cochées ?


J'en ignorais l'existence même...merci

Ce message a été modifié par BMDN - 30 Apr 2007, 09:30.

[titou2c]

en fait je me demande si ce soft utilise le fameux magic key pour l'AES 128, ou s'ils comptent sur le laisser aller des utilisateurs Mac

en principe la magic key n'est connue que des gouvernements, je vois mal une entreprise commercialiser légalement un soft qui utilise une telle clé

Ce message a été modifié par titou2c - 30 Apr 2007, 09:33.

[xpech]

Si on veut un peu plus de sécurité sur nos Mac, il y a quelques trucs à faire, pour commencer, changer le mot de passe du trousseau d'accès, en mettre un différent de celui de l'ordinateur. Puis, régler celui-ci pour qu'il se verrouille automatiquement à la mise en veille. Et pour terminer régler le tout pour que l'ouverture de session ne déverrouille pas automatiquement le trousseau.

Merci de ces informations constructives
C'est exactement les infos que j'esperais dans ce fil de discussion

J'ai posté un truc dans la section MacOSX il ya quelques temps. Une page d'apple, avec notemment ce PDF.

[ParanoX]

J'ai trouvé un autre coupable :
les réglages par défaut du Keychain

s'est affligent, les deux cases du bas sont cochées par défaut

@titou pour la Magic Key de l'AES 128, le problème c'est le "en principe"
et pour le cas de ce soft, il est accessible aussi au personne détenant une licence de détéctive privé, de chasseurs de primes en plus des personnels des force de l'ordre et d'investigation policière.
et pour obtenir un licence il sufit d'avoir un casier vierge dans l'état ou tu en fait la demande...

bon en même temps ce n'est pas tant que l'on puisse craindre quoi que ce soit vis à vis de la loi.
Mais plûtot de ceux qui pourraient en abuser comme dans le cas des détectives privés mais surtout dans le cas où ce soft serait déplombé et rendu accessible au plus grand nombre

Bon pour le moment sont fonctionnement est lié à sa presence physique sur la clef USB (j'espère que le lien est du même ordre que celui des dongle indéplombables)

Ce message a été modifié par ParanoX - 30 Apr 2007, 09:53.

[Pensee]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

OUI, d'après ce que j'ai compris cela ne concerne que l'utilisateur dont le compte est ouvert,

le principale probleme c'est que l'installeur de mac os x (a l'instar de windows) ne propose pas par defaut de creez un autre utilisateurs, et fait du premier utilisateur sont admin (d'ou la posssible confusion en simple utilisateur et admin). pour se proteger de cela il faut se creer deux comptes, un admin (le premier par defaut) et un user pour tout les jours. cela est mis plus en evidence pour ceux qui ont quelques notion linux.

par un compte user il n'est pas possible de remonter le pwd de l'admin. (sauf faille de secu de filevault mais cela depasse mes competances, d'ailleur peut on faire sans lui ?)

[Pyby]

Bah en fait s'alarmer à outrance la dessus me semble un peu exagéré.
En effet, certe avec ce logiciel la manip est ultra aisée et rapide. Mais a moins que je ne dise une betise on peut faire exactement la même chose avec un outil de Hack assez simple : le DVD d'installation de Mac OS X.
On boote sur le DVD.
On change le mot de passe administrateur.
On va voir le Keychain !

Sur le DVD de Mac OS X, il y a un dossier Applications, dedans un dossier Utilitaire. Dans celui-ci, on trouve un petite appli "protect firmware", un truc dans le genre, qui bloc le firmware (EFI ou OpenFirmware, selon la machine) avec un mot de passe !

Protégé ainsi, on ne peut pas booter sur le DVD, sans ce mot de passe au démarrage (touche "C" ou "alt" au démarrage), ou sans le mot de passe admin si la session est ouverte !!!

C'est un moyen de protection parmis tant d'autre dit dans ce topic.

[Colonel Moutarde]

En tout cas, à la lecture de ce fil, tout le monde va paranoïer sec et activer toutes ces petites cases vite fait. Et les désactiver dans 3 jours parce que c'est ch... de rentrer tout ces mots de passe tout le temps. On se croirait sous Vista ;-)

[Alcmene_]

En fait, la seule chose que je ne comprends pas, c'est comment ils récupèrent le mot de passe admin (à moins qu'il ne s'agisse de publicité mensongère, du style que ça marche que si ce mdp est dans le keychain). A part ça, comme ça a déjà été dit, tout est dans le trousseau.

Qui a ces deux cases cochées ?

Perso j'ai que celle à la mise en veille de cochée, c'est vraiment trop lourd de verrouiller après quelques minutes sans demandes, à vrai dire ça enlève tout l'intérêt du keychain à mon avis (déjà je trouve ça assez ch*ant que Safari me le demande à chaque fois que je vais voir le feed RSS MacBidouille qu réveil… )

on peut faire exactement la même chose avec un outil de Hack assez simple : le DVD d'installation de Mac OS X.

Comme iRed l'a dit, il me semble que si FileVault est activé, cette méthode ne fonctionne pas, puisque ta session est dans une DMG encryptée, donc impossible de réinitialiser ce mot de passe… C'est d'ailleurs le gros intérêt de FileVault, ça et le mode target !

En tout cas, à la lecture de ce fil, tout le monde va paranoïer sec et activer toutes ces petites cases vite fait. Et les désactiver dans 3 jours parce que c'est ch... de rentrer tout ces mots de passe tout le temps.

Exactement, Colonel Moutarde !!

Ce message a été modifié par Alcmene_ - 30 Apr 2007, 09:42.

[reversi]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

Mouais, douce illusion...

Comme Filevault, c'est une bête image disque, on peut l'attaquer à coup de dictionnaire. Ensuite, il faut bien se dire que si Filevault n'était pas déchiffrable par les agences gouvernementales (NSA par exemple), il ne serait tout simplement pas disponible en vente au public.

Dans le passé, il y a des softs qui étaient vendus avec une certaine puissance de chiffrage dans certains pays et une autre dans d'autres.

Donc :

- pratiquement aucune chance pour un utilisateur de récupérer des informations avec un accès physique.

- peu de chance pour un utilisateur averti de récupérer des informations.

- 100% de chance pour une agence gouvernementale de récupérer des informations.

J'ai trouvé un autre coupable :
les réglages par défaut du Keychain
...
s'est affligent, les deux cases du bas sont cochées par défaut

Encore heureux que ces cases soient cochées par défaut. Sinon, ca retirerait tout l'intérêt de la Keychain du point de vue utilisation.

On se retrouverait dans le cas suivant :

Tu te loggues.
Tu lances Mail, Mail essaye de rappatrier tes courriers mais va te demander ton mot de passe keychain.

En gros, l'utilisateur devrait rentrer 2 fois un mot de passe pour récupérer son courrier...

Tu es en connexion automatique sous AirPort, allez encore une demande de mot de passe.

Il y a une limite floue entre la sécurité et la facilité d'utilisation.

Pour rappel par défaut, Mac OS X est en auto login... C'est quand même un peu plus génant.

[Phil J. Fry]

Vous pouvez aussi afficher l'état ouvert / fermé de votre trousseau :

Trousseau d'accès > préférences > général > afficher l'état dans la barre de menus.

Concernant filevault, le bidule ne déchiffre rien, il essaye juste de servir du mot de passe de l'utilisateur, en espèrant que ce soit le même

System - The user password of the logged in user. Often this is shared for root access and FileVault encryption.

Fichier(s) joint(s)

 Image_188.jpg ( 4.05 Ko ) Nombre de téléchargements : 20
 Image_189.jpg ( 4.14 Ko ) Nombre de téléchargements : 11

 

[Alcmene_]

on peut l'attaquer à coup de dictionnaire

Ouais… D'où l'intérêt de créer un bon mot de passe à l'origine, et ça c'est un problème plus important que cette clé USB qui fait peur ! Il faudrait aussi ne pas être stupide (style sauvegarder ses infos iTMS ou autres mots de passe donnant accès à des sites ayant nos coordonnées bancaires !).

Donc :
- pratiquement aucune chance pour un utilisateur de récupérer des informations avec un accès physique.
- peu de chance pour un utilisateur averti de récupérer des informations.
- 100% de chance pour une agence gouvernementale de récupérer des informations.

Rien de nouveau, quoi De toute façon, si on le veut vraiment et qu'on a la puissance nécessaire derrière (gouvernement quoi), on peut récupérer ce qu'on veut, les protections firmware sont violables par extraction du disque dur, les protections par mot de passe sont crackables dès qu'on a un superordinateur derrière pour tenter une attaque de force brute, etc etc… Franchement, je ne vois pas ce que cette clé rajoute ! Dans tous les cas, tant qu'on a toujours besoin d'un accès physique, rien de neuf ! Ca deviendrait embêtant si tout cela pouvait s'exécuter discrètement, sur le réseau…

Finalement, le seul tort d'Apple est de vouloir simplifier la vie à ses utilisateurs en laissant le trousseau dans la config la plus pratique ! Et aussi ne pas permettre ces réglages de manière plus évidente (Préfs Système -> Sécurité)…

[Alizés]

Réaction --> C'est vraiment scandaleux ! Je suis vraiment outrée, voire profondément choquée.

PS: Êtes-vous vraiment sûr qu'il ne s'agit pas d'un gigantesque canular? Ca me semble gros tout de même... Puis pourquoi le Mac seul? Surtout juste au moment où ce dernier recommence à prendre sérieusement du poil de la bête en termes de parts de marché, et qu'un autre grand concurrent, dont je ne citerai pas le nom, a bien du mal à encaisser le succès mitigé de sont dernier système, la concurrence Mac et Linux de plus en plus rude (surtout depuis l'apparition des MacIntels facilitant d'autant plus les switches), le semi-fiasco de son soi-disant iPod killer, l'ombre inquiétante de l'iPhone et de Jaguar qui se dessine à l'horizon et les récentes annonces de certaines maisons de renom de sortir leurs produits en priorité sur la plateforme Mac... Étrange, étrange... non? Quelqu'un connait bien SubRosaSoft?

Ce message a été modifié par Alizés - 30 Apr 2007, 09:55.

[Dahood]

On ne peut l'utiliser que dans le cadre d'une enquête, sur commission rogatoire

Pas depuis les lois ******zy pour la sécurité contre le terrorisme, eh oui meme chez nous .
Depuis n'importe quel agent de la fonction publique a le droit et d'accéder tranquillement a l'historique des connections chez le FAI, et de venir fouiller chez soi SANS autorisation du proc, sur simple présomption .

Purchasers will be required to provide proof that they are a licensed law enforcement professional.

En gros, Sony, BMG, Universal et compagnies vu l'extension récente de leur droits en matiere de traque, d'accès aux bases et de représsion... .

A part ça, je crois que c'est dit et répété depuis des lustres qu'une machine dont on a l'accès physique sera toujours vulnérable

Si quelqu'un a physiquement accès à une machine alors elle est compromise. POINT.

Pas dans le cas d'un cryptage 128 bits !

je crois que vous surestimez énormément ce que fait réellement ce soft ...

Je suis du meme avis .

Sur le DVD de Mac OS X, il y a un dossier Applications, dedans un dossier Utilitaire. Dans celui-ci, on trouve un petite appli "protect firmware", un truc dans le genre, qui bloc le firmware (EFI ou OpenFirmware, selon la machine) avec un mot de passe !

Le mot de passe de l'Open Firmware est facilement contournable, l'EFI je sais pas .

Ensuite, il faut bien se dire que si Filevault n'était pas déchiffrable par les agences gouvernementales (NSA par exemple), il ne serait tout simplement pas disponible en vente au public.

Il est vrai que le cryptage est en principe interdit sur notre territoire, et que llorsqu'il est autorisé sur un territoire, comme nos petit chiffrage 128bits ridicules, les agences gouvernementales ont toujours le passe partout fourni par les concepteurs .

Une question : pourquoi une clef USB ? Si c'est seulement une appli, exploite-t-elle une faille sur l'USB ?

Ce message a été modifié par Dahood - 30 Apr 2007, 09:59.

[Alcmene_]

Alizés : tu ferais bien de lire tous les commentaires précédents… Je ne suis pas du tout d'accord avec l'hypothèse du complot contre pauvre Apple ( ), mais à mon avis c'est juste un moyen de se faire beaucoup d'argent et de pub pour SubRosaSoft, en automatisant ce que tout utilisateur averti savait faire…

[legone]

Réaction --> C'est vraiment scandaleux ! Je suis vraiment outrée, voire profondément choquée.

Ah !
Va falloir t'habituer je le crains

[FolasEnShort]

A part ça, je crois que c'est dit et répété depuis des lustres qu'une machine dont on a l'accès physique sera toujours vulnérable. Ce soft n'est qu'un moyen de plus de découvrir des secrets après le chantage, la torture, l'espionnage, le vol, l'explosif, la guerre, etc...

........... oui, bien sur, et pourquoi pas la fin du monde, tant que t'y es, hein?