Un logiciel qui met le Mac à nu !, Réactions à la news du 30-04-2007

[Alcmene_]

Si quelqu'un a physiquement accès à une machine alors elle est compromise. POINT.

Pas dans le cas d'un cryptage 128 bits !

Tout dépend de la puissance qu'on a derrière… Comme déjà dit, dans le cas d'un gouvernement, c'est pas grand-chose, suffit de faire chauffer les nœuds de calcul Après ça, effectivement, pour le commun des mortels, c'est une protection incontournable (petite question en passant, on en est où avec l'histoire du module de prédiction qui bousillait l'algo RSA ? ).

[Alizés]

Pour faire la nique à SubRosaSoft, je propose qu'on revienne tous à Mac OS 9.x...pas chiche?

Arf! C'est dur d'essayer de garder le sourire aux lèvres dans le monde qui se dessine actuellement.

Ce message a été modifié par Alizés - 30 Apr 2007, 10:01.

[FolasEnShort]

Réaction --> C'est vraiment scandaleux ! Je suis vraiment outrée, voire profondément choquée.

Moi aussi, j'envisage même le suicide par le feu.........devant le batiment de SubRosaSoft
(en attendant, je viens de condamner tous mes ports USB avec de la colle cyanoacrylate)

Ce message a été modifié par FolasEnShort - 30 Apr 2007, 10:03.

[legone]

mais à mon avis c'est juste un moyen de se faire beaucoup d'argent et de pub pour SubRosaSoft, en automatisant ce que tout utilisateur averti savait faire…

Je crois que c'est la seule chose a retenir en effet

Dahood : OK avec un accès physique à la machine un cryptage 128 bits n'est pas immédiatement compromis... mais le plus gros est fait. Si ces données étaient importantes à tes yeux, le plus important est dans l'ordre :
1/ d'interdire l'accès physique
2/ de mettre en place un cryptage adapté

[Alcmene_]

Arf! C'est dure d'essayer de garder le sourire aux lèvre dans le monde qui se dessine actuellement.

Euuh… T'as pas l'impression d'exagérer un petit peu pour une bête histoire de clé USB qui pompe le keychain ? Même si dans le fond, je pense que je vois ce que tu veux dire et que je suis d'accord avec toi (niveau policier etc), là il me semble que tu vas un peu loin pour rien

[iJOJO]

Réaction --> C'est vraiment scandaleux ! Je suis vraiment outrée, voire profondément choquée.

PS: Êtes-vous vraiment sûr qu'il ne s'agit pas d'un gigantesque canular? Ca me semble gros tout de même... Puis pourquoi le Mac seul? Surtout juste au moment où ce dernier recommence à prendre sérieusement du poil de la bête en termes de parts de marché, et qu'un autre grand concurrent, dont je ne citerai pas le nom, a bien du mal à encaisser le succès mitigé de sont dernier système, la concurrence Mac et Linux de plus en plus rude (surtout depuis l'apparition des MacIntels facilitant d'autant plus les switches), le semi-fiasco de son soi-disant iPod killer, l'ombre inquiétante de l'iPhone et de Jaguar qui se dessine à l'horizon[color=#FF0000] et les récentes annonces de certaines maisons de renom de sortir leurs produits en priorité sur la plateforme Mac... Étrange, étrange... non? Quelqu'un connait bien SubRosaSoft?

C'est pas plutot Leopard

[Alcmene_]

1/ d'interdire l'accès physique
2/ de mettre en place un cryptage adapté

Merci legone, de résumer !

Et puis quand même, faut relativiser, qui a des données sensibles à ce point ? Mes trucs vraiment persos ça va dans des DMGs cryptées en AES-128, mais je vais pas me faire ch*er à faire plus que ça, si vraiment le gouvernement veut récupérer mes photos, qu'ils passent 2 semaines à trouver mon mot de passe, au final je m'en fous Je garde pas des plans des bases secrètes d'Al-Qaïda sur mon ordi La seule chose dangereuse pour tout le monde ici, ce serait que le logiciel récupère nos coordonnées bancaires, ce qu'il ne fait pas (à moins que quelqu'un ici conserve ses numéros de carte bleue, son cryptogramme et son code secret dans le trousseau d'accès de Mac OS X ).

[KOENIG Yvan]

Bonjour

Tout cela ressemble à une tempête dans un bac à sable.

Depuis que l'informatique existe, les forces de l'ordre ont disposé de l'accès aux entrailles de nos machines.
Si vous en doutez, regardez donc les textes de lois relatifs à la protection des logiciels.

Il faudrait prendre une bonne fois conscience du fait que les mesures de protection n'empêchent pas l'accès à nos données, elles le rendent difficile pour le commun des mortels, exactement comme les protections de nos véhicules ou demeures.

Yvan KOENIG

[Alizés]

C'est pas plutot Leopard

OUPS! Excuse-moi... L'effet du choc sans doute...

[LC475]

On ne peut l'utiliser que dans le cadre d'une enquête, sur commission rogatoire

Pas depuis les lois ******zy pour la sécurité contre le terrorisme, eh oui meme chez nous .
Depuis n'importe quel agent de la fonction publique a le droit et d'accéder tranquillement a l'historique des connections chez le FAI, et de venir fouiller chez soi SANS autorisation du proc, sur simple présomption .

As-tu essayé Tor ?

Ce message a été modifié par LC475 - 30 Apr 2007, 10:19.

[iRed]

faite comme moi!
Changez l'alim de votre Mac, branchez votre mac sur un transfo.
Ils auront vos mdp, mais quand ils voudront allumer votre Mac chez eux, il grillera



Moi parano ? naaaaan

[-eliot-]

Arf! C'est dure d'essayer de garder le sourire aux lèvre dans le monde qui se dessine actuellement.

Euuh… T'as pas l'impression d'exagérer un petit peu pour une bête histoire de clé USB qui pompe le keychain ? Même si dans le fond, je pense que je vois ce que tu veux dire et que je suis d'accord avec toi (niveau policier etc), là il me semble que tu vas un peu loin pour rien

jolie tempête dans un verre d'eau ...
pour éviter le "pompage" le plus simple serait de changer le MDP du trousseau (qui est par défaut le m^me que celui administrateur) ... et ne pas laisser son Mac en veille lorsque l'on n'est pas dans les parages ...
évidemment pour en avoir le coeur net il faudrait pouvoir tester la chose avec l'application MacLockPick ...

je reste zen ... et clic ...

[Alizés]

On ne peut l'utiliser que dans le cadre d'une enquête, sur commission rogatoire

Pas depuis les lois ******zy pour la sécurité contre le terrorisme, eh oui meme chez nous .
Depuis n'importe quel agent de la fonction publique a le droit et d'accéder tranquillement a l'historique des connections chez le FAI, et de venir fouiller chez soi SANS autorisation du proc, sur simple présomption .

As-tu essayé Tor ?

Pour les plus paranos y'a aussi le couple NetShade et Little Snitch... Très efficace.

Ce message a été modifié par Alizés - 30 Apr 2007, 10:31.

[almux]

Eh oui! Rien de "plus simple": un seul soft piraté et plus aucun Mac au monde n'est plus sûr!
Ce n'est pas une faille! C'est le trou béant par lequel tous les hackers rêvaient de passer!
OSX pire que Windows? Le 1er avril est bien passé, pourtant... Là, c'est un véritable cauchemard...!
Ceci sera exploité par les hackers et par les services de marketing de la concurrence... qui va bien se gausser d'un OSX qui avait résisté à tout, jusqu'à maintenant et qui, subitement, se trouve totalement éventré!

[Alcmene_]

Arf! C'est dure d'essayer de garder le sourire aux lèvre dans le monde qui se dessine actuellement.

Euuh… T'as pas l'impression d'exagérer un petit peu pour une bête histoire de clé USB qui pompe le keychain ? Même si dans le fond, je pense que je vois ce que tu veux dire et que je suis d'accord avec toi (niveau policier etc), là il me semble que tu vas un peu loin pour rien

jolie tempête dans un verre d'eau ...
pour éviter le "pompage" le plus simple serait de changer le MDP du trousseau (qui est par défaut le m^me que celui administrateur) ... et ne pas laisser son Mac en veille lorsque l'on n'est pas dans les parages ...
évidemment pour en avoir le coeur net il faudrait pouvoir tester la chose avec l'application MacLockPick ...

je reste zen ... et clic ...

Peux savoir pourquoi tu me cites ? Je dis depuis le début que c'est pas grand-chose :

mais à mon avis c'est juste un moyen de se faire beaucoup d'argent et de pub pour SubRosaSoft, en automatisant ce que tout utilisateur averti savait faire…

Je suppose que c'est une erreur de choix du post

[suJeSelS]

D'un autre côté ça fait plaisir à savoir si les compétences des investigateurs se limitent à l'utilisation de ce genre de logiciel (s'il leur est destiné c'est qu'à priori il y a un marché). Il suffit d'utiliser un système un peu exotique ou un peu mieux sécurisé que la normal pour protéger contre absolument tout ces types de menaces, genre système de fichier encodé avec de l'AES 4096bits sous un bête GNU/Linux (ou un OpenBSD ), ça devrait régler pas mal de problèmes.

Ce message a été modifié par suJeSelS - 30 Apr 2007, 10:32.

[Le vendangeur Ma...]

... que ce soient ceux qui verrouillent un disque Filevault...

Non, inexact !

Lis-bien ce que l'éditeur écrit sur son site:

System - The user password of the logged in user. Often this is shared for root access and FileVault encryption.

En gros il dit que "souvent" les gens partagent les mots de passe utilisateurs avec Filevault.
Ce qui veut donc dire qu'on a affaire-là à des utilisateurs pas très précautionneux mais qu'en aucun il n'y a un problème de sécurité avec Filevault.

La formulation de l'éditeur est biaisé pour faire croire qu'il peut s'attaquer à Filevault. D'ailleurs la plupart des manipulations que fait ce logiciel n'ont rien d'extraordinaires.
De même que hacker le mot de passe quand on a un accès physique total au disque, je crois que certains bidouilleurs savent déjà le faire.

Bref, ce soft c'est presque de la poudre aux yeux, et ceux qui font des images disques cryptés et/ou utilisent Filevault peuvent dormir tranquilles, à condition de ne stocker leur mot de passe nul part, et d'éviter que ça soit le même que celui de leur compte utilisateur...

[ParanoX]

Il faut un Accès Physique à la machine!!!
Donc les hackers peuvent aller se recoucher à moins qu'ils ne se décide à faire des hold-up en personne sur le contenu de ta machine

Le problème est plsu de l'ordre de l'espionnage industriel ou de violation de la vie privée/cambriolage que du hacking à grande échelle
et qui plus est facillement évitable quand on est concerné et qu'on est au courant

[-eliot-]

Peux savoir pourquoi tu me cites ? Je dis depuis le début que c'est pas grand-chose :

mais à mon avis c'est juste un moyen de se faire beaucoup d'argent et de pub pour SubRosaSoft, en automatisant ce que tout utilisateur averti savait faire…

Je suppose que c'est une erreur de choix du post

... nan ... je plussois tout simplement ...
et en m^me temps je me demandais si quelqu'un avait déjà testé MacLockPick ... voilou ...

je reste zen ... et clic ...

[FolasEnShort]

Il suffit d'utiliser un système un peu exotique ou un peu mieux sécurisé que la normal pour protéger contre absolument tout ces types de menaces, genre système de fichier encodé avec de l'AES 4096bits sous un bête GNU/Linux (ou un OpenBSD ), ça devrait régler pas mal de problèmes.

MacOsX ! MacOsX outragé ! MacOsX brisé ! MacOsX martyrisé ! mais MacOsX libéré ! libéré par lui-même, libéré par sa communeauté avec le concours des cryptages, avec l'appui et le concours de l'AES 4096 bits, de Macintosh qui se bat, du seul Mac, du vrai Mac, du Mac éternel.
(Merci Charles)

[Alcmene_]

Ce qui veut donc dire qu'on a affaire-là à des utilisateurs pas très précautionneux mais qu'en aucun il n'y a un problème de sécurité avec Filevault.

Ouais, même pas qu'au niveau de FileVault, il faut que le trousseau soit ouvert, et que l'utilisateur soit logg酠En fait, ça ne fonctionne même pas si on verrouille automatiquement la session après un certain temps d'activité (via l'économiseur d'écran ou la mise en veille auto). Donc oui, dans tous les cas, c'est pour les utilisateurs peu précautionneux

ystème de fichier encodé avec de l'AES 4096bits sous un bête GNU/Linux (ou un OpenBSD )

Ouais, et après tu rames à mort dès que tu fais un peu de vidéo ou que tu charges des grosses données… Mais même, tu as des trucs aussi importants que ça à cacher ? Je
savais pas qu'il y avait des gens de la NSA sur MacBidouille

... nan ... je plussois tout simplement ...

Oki, désolé, avais pas saisi

[jrbleboss]

Je vais peut être dire une connerie : on ne peut pas enregistrer le mot de passe administrateur dans un trousseau ? Si c'est le cas il est impossible de le récupérer puisque que quand on rentre son mot de passe le système le Hash(opération irreversible) et compare ce Hash avec celui du mot de passe administrateur hashé à l'installation.

Il faut donc envoyer par un brut force ou une utilisation d'un dictionnaire tous les mot e passes possibles pour tenter de trouver quel est le mot de passe.

[Alcmene_]

Si si, on peut tout à fait enregistrer le mot de passe admin dans le trousseau (cf. SMCfanControl !).

[Dahood]

Comme déjà dit, dans le cas d'un gouvernement, c'est pas grand-chose, suffit de faire chauffer les nœuds de calcul

Oui, j'ai mis de coté la force brute, en général si on sors ton disque de la machine, c'est deja foutu pour tes données

genre système de fichier encodé avec de l'AES 4096bits sous un bête GNU/Linux (ou un OpenBSD )

Un bon PGP devrait suffir, et encore, il me semble que la clef universelle a été donnée, meme si PGP était interdit .
Le mieux serait peut etre de faire comme ce bon vieux serveur Razorback, tout stocké dans des gigas de RAM, on éteint, et hop, plus rien

en attendant, je viens de condamner tous mes ports USB avec de la colle cyanoacrylate

Efface simplement l'extension AppleStorageDrivers.kext ^^

[manu chao]

Deux idees:
- avec un peu de chance, on peut trouver le mot de passe administrateur aux RAM ou dans les fichiers swap (si on n'a pas choisi d'encrypter ces fichiers)
- si on utilise Keychain pour des mots de passe web, Safari or Camino peuvent obtenir lesquels. Je me demande si on peut intercepter la communication entre par exemple Camino et le 'web'? J'espere non, s'il s'agit d'une connection https.

[deselegies]

Et si une solution à ce genre de probleme venait du monde windows Firewall USB ?

L'idee d'un firewall sur les ports en laissant acces uniquement a des peripheriques connus est interressante.
Un editeur d'antivirus sur mac pres a sacrifier un dev ou deux pour cette cause ?

Ce message a été modifié par deselegies - 30 Apr 2007, 12:08.

[Shard]

Ce truc ne sert que si la session est déjà ouverte non ? Il faut avoir le mot de passe admin pour pouvoir s'en servir.

[inico]

Quand on a un accés physique, la securité du systéme devient extrement dure à garantir.

On peut mettre un keylogger materiel ou modifier des binaires sensible.
Pour lutter contre les attaques software, on peut utiliser la puce TPM qui est sensé servir à ça.
Pour les attaques materiels, heu ...., colle forte pour sceller les equipements ??

[ide508]

A priori, il ne prend que les mots de passe de Keychain.
Il suffit de ne pas stocker les mots de passe des images cryptées importantes et tout autre mot de passe sensible comme celui de l'iTMS dans le Trousseau d'accès.

Tout juste

Mais plus simplement puisque pour que cela marche... il faut que le Mac soit en veille.
Cocher la case dans Sécurité -> mot de passe exigé après suspension d'activité etc ne suffirait pas ?
Car dès l'insertion de leur bidule sur un port Usb le Mac sortira de veille et le mot de passe sera demandé.


Même pas peur, le trousseau d'accès ici est ouvert en permanence

[xavtek]

Euuhhh j'avais aps choisi macosx entre autres pour éviter ce genre de choses moi??