Un logiciel qui met le Mac à nu !, Réactions à la news du 30-04-2007

[gasova]

C'est scandaleux ... moi qui croyais filevault "Inviolable" ... c'est vraiment n'importe quoi.

Ont sais tous que d'ici peu le prog' de cette clef ce baladera sur le net .

Fabricius

Il est utopique de croire qu'un systeme de protection peut-etre inviolable...

Tout ce que l'homme creer l'home le defait... soit :

toute protection a une faille aussi minime soit-elle...

[Alcmene_]

Euuhhh j'avais aps choisi macosx entre autres pour éviter ce genre de choses moi??

Et tu aurais pas voulu lire les 3 pages qu'on a écrites avant aussi ? Ca t'aurait évité de dire ce genre de con**ries…

[-eliot-]

Tout ce que l'homme creer l'home le defait... soit :

viii ... le "home" utilisateur (user) est vraiment tès fort ...

je reste zen ... et clic ...

[Imrallion]

Bon ben les choses sont claires ^^

Si les flics descendent chez vous, donnez un coup de tournevis dans vos ports usb XD

[Phil J. Fry]

Comme mon message précédent est passé inaperçu :

C'est scandaleux ... moi qui croyais filevault "Inviolable" ... c'est vraiment n'importe quoi.

Ont sais tous que d'ici peu le prog' de cette clef ce baladera sur le net .

Concernant filevault, le bidule ne déchiffre rien, il essaye juste de servir du mot de passe de l'utilisateur, en espèrant que ce soit le même

System - The user password of the logged in user. Often this is shared for root access and FileVault encryption.

[switcheremac]

Ce qui m'etonne c'est que cela n'existait pas avant... Un exemple: légalement tout éditeur de logiciel de cryptage doit donner aux gouvernements le moyen de le casser...

[Alizés]

Bon ben les choses sont claires ^^

Si les flics descendent chez vous, donnez un coup de tournevis dans vos ports usb XD

Ou enregistrez vos données sensibles dans des dossiers aux noms de hauts fonctionnaires de l'État en fonctions, voire changer les noms de vos sessions par ces derniers (avec éventuellement leurs photos comme petite icone), ça les écrira même dans les autorisations... Les flics seront bien embarrassés avec...

C'est p'têt'e même la meilleure des protections !

Ce message a été modifié par Alizés - 30 Apr 2007, 11:43.

[Guest_ps1024_*]

Ce qui m'etonne c'est que cela n'existait pas avant... Un exemple: légalement tout éditeur de logiciel de cryptage doit donner aux gouvernements le moyen de le casser...

Source ? Parce qu'à mon avis, si un moyen de casser un code est connu, celui-ci n'a plus aucun intérêt. Certes la NSA dispose sans doute d'une puissance de calcul énorme, mais sans doute pas à même de casser en un temps raisonnable ne serait-ce qu'une clé de 128 bits.

Dans un autre message, quelqu'un mentionne l'existence d'une "magic key" pour AES, je serais également curieux de connaître la source de cette information.

Ce message a été modifié par ps1024 - 30 Apr 2007, 11:58.

[dulrich]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

Mouais, douce illusion...

Comme Filevault, c'est une bête image disque, on peut l'attaquer à coup de dictionnaire. Ensuite, il faut bien se dire que si Filevault n'était pas déchiffrable par les agences gouvernementales (NSA par exemple), il ne serait tout simplement pas disponible en vente au public.

Dans le passé, il y a des softs qui étaient vendus avec une certaine puissance de chiffrage dans certains pays et une autre dans d'autres.

Donc :

- pratiquement aucune chance pour un utilisateur de récupérer des informations avec un accès physique.

- peu de chance pour un utilisateur averti de récupérer des informations.

- 100% de chance pour une agence gouvernementale de récupérer des informations.

Une agence gouvernementale.... rien que ça . Aucune chance pour qu'une agence passe chez moi ! Et si c'était le cas je leur donnerais les accès qu'ils demandent ...
On parle ici du commun des mortels, bien entendu que moyennant de très très grosses ressources tu peux venir à bout de mot de passe au bout de plusieurs années/siècles/millénaires.
Le commun des mortels ne peut pas récupérer les mots de passe et data via un dongle de quelqu'un protégé par Filevault et session fermée. Si trou il y a il est créé par les besoins/envies de l'utilisateur de ne pas vouloir entrer 125x son mot de passe.

Je le répète, il n'y a pas de trou de sécurité, juste des options confortables pour l'utilisateur qui sont mises par défaut. Si vous voulez paranoïer sur la sécurité, libre à vous d'aller activer le nécessaire dans le Trousseau ou de simplement pas l'utiliser. Maintenant il est plus simple de mettre votre ordinateur sous clé et de l'éteindre (avec Filevault activé) quand vous n'êtes pas là. Mais faite gaffe, vous pourriez être enlevé par des martiens et être torturé jusqu'à ce que vous ayez donné vos de mot passe.

Dans un autre message, quelqu'un mentionne l'existence d'une "magic key" pour AES, je serais également curieux de connaître la source de cette information.

La source? quelques paranos du net...

[titou2c]

On entend tout et n'importe que sur ce post.

Il n'y a pas de trou de sécurité utilisé ici pour cette manipulation, puisqu'il faut ^tre loggé (donc le dossier user-filevault décrypté) et le keychain ouvert.
Sur un ordinateur session fermée et protégée par filevault il y a aucune chance de récupérer quoi que ce soit (puisque le keychain user et alors crypté).

Mouais, douce illusion...

Comme Filevault, c'est une bête image disque, on peut l'attaquer à coup de dictionnaire. Ensuite, il faut bien se dire que si Filevault n'était pas déchiffrable par les agences gouvernementales (NSA par exemple), il ne serait tout simplement pas disponible en vente au public.

Dans le passé, il y a des softs qui étaient vendus avec une certaine puissance de chiffrage dans certains pays et une autre dans d'autres.

Donc :

- pratiquement aucune chance pour un utilisateur de récupérer des informations avec un accès physique.

- peu de chance pour un utilisateur averti de récupérer des informations.

- 100% de chance pour une agence gouvernementale de récupérer des informations.

Une agence gouvernementale.... rien que ça . Aucune chance pour qu'une agence passe chez moi ! Et si c'était le cas je leur donnerais les accès qu'ils demandent ...
On parle ici du commun des mortels, bien entendu que moyennant de très très grosses ressources tu peux venir à bout de mot de passe au bout de plusieurs années/siècles/millénaires.
Le commun des mortels ne peut pas récupérer les mots de passe et data via un dongle de quelqu'un protégé par Filevault et session fermée. Si trou il y a il est créé par les besoins/envies de l'utilisateur de ne pas vouloir entrer 125x son mot de passe.

Je le répète, il n'y a pas de trou de sécurité, juste des options confortables pour l'utilisateur qui sont mises par défaut. Si vous voulez paranoïer sur la sécurité, libre à vous d'aller activer le nécessaire dans le Trousseau ou de simplement pas l'utiliser. Maintenant il est plus simple de mettre votre ordinateur sous clé et de l'éteindre (avec Filevault activé) quand vous n'êtes pas là. Mais faite gaffe, vous pourriez être enlevé par des martiens et être torturé jusqu'à ce que vous ayez donné vos de mot passe.

Dans un autre message, quelqu'un mentionne l'existence d'une "magic key" pour AES, je serais également curieux de connaître la source de cette information.

La source? quelques paranos du net...

pas du tout, pour commercialiser légalement un logiciel de criptage de données l'éditeur doit fournir une clé ou tout autre moyen permettant de décripter les données, la NSA entre autres l'exige.
il n'y a pas la moindre paranoïa la dedans, car bien sûr je ne pense que le simple utilisateur que je suis puisse être concerné (et pour ce que j'ai à cacher...), mais ça existe.
pour ceux qui sont intéressés voici un livre très bien fait :

[Cobraken]

Euuhhh j'avais aps choisi macosx entre autres pour éviter ce genre de choses moi??

Et tu aurais pas voulu lire les 3 pages qu'on a écrites avant aussi ? Ca t'aurait évité de dire ce genre de con**ries…

+1.

C'est rigolo de voir les gens lire les news et répondre tête baissée à tout va, sans regarder les post avant pour mieu comprend les 'dites' news

[SpacetitoX]

M'en fou je cadenasse ou casse l'usb si je fais l'object d'un enquete.

Et le FW et le lecteur ! Puis je Brule le Mac.

[titou2c]

si tu fais tout ça à priori tu devrais être tranquille
mais tu seras bon pour racheter un Mac...


Ce message a été modifié par titou2c - 30 Apr 2007, 13:09.

[Guest_ps1024_*]

pas du tout, pour commercialiser légalement un logiciel de criptage de données l'éditeur doit fournir une clé ou tout autre moyen permettant de décripter les données, la NSA entre autres l'exige.

Il est mathématiquement hautement improbable que les algorithmes tels que AES (son principe de fonctionnement est connu et public) permettent l'existence d'une "super" clé à même de déchiffrer tous les messages. Donc pour remplir une telle obligation, il faudrait que l'algorithme soit modifié, de la même façon par tous les éditeurs, sans quoi la compatibilité est perdue. Cela inclus bien entendu les logiciels open source, ce qui implique que la modification serait immédiatement découverte. Idem pour toute tentative d'ajoindre au message une copie de la clé, elle-même chiffrée à l'aide d'une clé connue de la NSA. Bref, ça me semble totalement farfelu comme idée...

Ce message a été modifié par ps1024 - 30 Apr 2007, 13:10.

[dulrich]

pas du tout, pour commercialiser légalement un logiciel de criptage de données l'éditeur doit fournir une clé ou tout autre moyen permettant de décripter les données, la NSA entre autres l'exige.
il n'y a pas la moindre paranoïa la dedans, car bien sûr je ne pense que le simple utilisateur que je suis puisse être concerné (et pour ce que j'ai à cacher...), mais ça existe.
pour ceux qui sont intéressés voici un livre très bien fait :
http://g-ec2.images-amazon.com/images/I/51...FEL._SS500_.jpg

Alors je te conseille de relire ton livre ... Les législations sont nationales et pas mondiales... En France je crois qu'il est interdit de crypter en plus de 128bits par exemple sans une autorisation du gouvernement.
En général les législations limitent la publication, l'utilisation ou l'exportation et importation des algorithmes de cryptage, et non pas leur décryptabilité.


Pour le reste, il n'existe aucune clé magique qui sert de backdoor. Les armées, les banques utilisent ces mêmes algos.... tu crois qu'ils vont le faire en sachant qu'un gouvernement peut les décrypter?

[Dahood]

La source? quelques paranos du net...

Je dirais que la backdoor c'est pas né d'hier, un concepteur, codeur, ou meme algorithmicien peut se garder sa petite entrée, juste histoire de pas voir sa création se retourner contre lui .

Edit :

Les armées, les banques utilisent ces mêmes algos.... tu crois qu'ils vont le faire en sachant qu'un gouvernement peut les décrypter?

Je te trouve naif Dulrich, penser que l'armée se contente se technologies ouvertes au grand public c'est un peu naif, d'autant qu'aujourd'hui un ordinateur et un hackeur sont considérés comme une arme potentiellement dangeureuse, idem les algorithmicien, alors avec l'AES128 on nous mettrait une arme de guerre entre les mains ?
C'est pas pour rien que les plus grand mathématicien sont sous surveillance, et ce depuis bien avant le nucléaire .

Ils mettront du 802.11g la ou ça leur fera gagner de l'argent et du temps, mais dès qu'il s'agira de protéger du contenu ultra confidentiel, je vois mal un cryptage grand public etre employé, plutot des antennes spécifiques et leur cryptage associé .
Quand aux banquees, en principe leur bases sont deja ouvertes aux gouvernements, y a plus de secret .

Ce message a été modifié par Dahood - 30 Apr 2007, 13:23.

[dulrich]

La source? quelques paranos du net...

Je dirais que la backdoor c'est pas né d'hier, un concepteur, codeur, ou meme algorithmicien peut se garder sa petite entrée, juste histoire de pas voir sa création se retourner contre lui .

Comme je l'ai dis plus haut, ces algos sont utilisés par les militaires, les banques, les assurances etc... tu penses bien que s'il y avait un backdoor, plus personne ne les utiliserait.

[Alcmene_]

Pour le reste, il n'existe aucune clé magique qui sert de backdoor. Les armées, les banques utilisent ces mêmes algos.... tu crois qu'ils vont le faire en sachant qu'un gouvernement peut les décrypter?

Et même, au niveau mathématique, il est impossible d'implémenter une telle clé. Pour avoir un système de ce type, il faudrait tout simplement créer la véritable clé correspondante, puis ajouter cette "clé magique". Si on faisait ça, ça ferait longtemps qu'elle serait découverte, la clé : il suffirait de générer quelques centaines de clés et de trouver toutes les similarités. Les seules vulnérabilités possibles pour ces algorithmes sont dans le cas où on trouve deux mots donnant le même hash (le résultat de l'opération effectuée avec le mot soumis), auquel cas l'algorithme n'est plus considéré comme sûr (exemple : la somme de contrôle MD5).

Je dirais que la backdoor c'est pas né d'hier, un concepteur, codeur, ou meme algorithmicien peut se garder sa petite entrée, juste histoire de pas voir sa création se retourner contre lui.

Est-ce qu'un industriel qui donne aux serruriers les outils pour créer des clés et des serrures peut rajouter un dispositif pour ouvrir toutes les serrures du monde ?

[legone]

Ca serait rigolo cette idée de backdoor : une petite fuite (et demandez à Apple si on peut faire que ça n'arrive jamais) et HOPLA la fin du monde à la Fight Club
Vite fait bien fait !

Hey ! Alcmene ? Tu serais pas à l'ESSI/EPU ?

Ce message a été modifié par legone - 30 Apr 2007, 13:24.

[lionel2]

Ce serait choquant et même effrayant de voir un accès se faire aussi 'facilement'. Je me demande comment les équipes d'Apple doivent suivre ce genre d'événements. En tout quoi je leur souhaite d'avoir une flexibilité sur le développement pour s'atteler à un tel problème... sinon ils sont pas couchés nos amis ! Et qui sait... peut-être que ca peut encore retarder Leopard ! ;-)

[Bajeminn]

En attendant, il y a quand même une chose intéressante à noter :

si cette nouvelle à fait peur, c'est parce qu'elle est la résultante d'une méconnaissance du fonctionnement de Mac OS X, et particulièrement de ses systèmes de sécurité, ou du moins, de comment les utiliser pour se protéger.

Peut être serait-il temps de proposer un petit dossier qui récapitule tous les éléments à mettre en place afin de sécuriser un peu plus son ordinateur (il suffit de voir le nombre d'utilisateurs, même sur ce forum, qui sont logués en admin au lieu d'avoir créé un simple compte user), expliquer un peu toutes les options disponibles et leurs conséquences....

Par ailleurs, pour ceux qui pensent qu'une Magic Key n'existe pas, je tiens à rappeller la pollémique autour de la fonction BitLocker de Windows.
Ici

PS : est ce que cette commande lorsqu'elle est executée permet de locker la chaine "login" ?

/System/Library/CoreServices/"Menu Extras"/User.menu/Contents/Resources/CGSession -suspend

EDIT : un petit lien en plus, qui pointe vers le blog d'un consultant bien connu sur ces forums ici

Ce message a été modifié par eneas - 30 Apr 2007, 13:43.

[Dreaming]

Eh oui! Rien de "plus simple": un seul soft piraté et plus aucun Mac au monde n'est plus sûr!
Ce n'est pas une faille! C'est le trou béant par lequel tous les hackers rêvaient de passer!
OSX pire que Windows? Le 1er avril est bien passé, pourtant... Là, c'est un véritable cauchemard...!
Ceci sera exploité par les hackers et par les services de marketing de la concurrence... qui va bien se gausser d'un OSX qui avait résisté à tout, jusqu'à maintenant et qui, subitement, se trouve totalement éventré!

Tu es sérieux ou tu as fumé de l'herbe à chat? Parce que le jour où un hacker arrivera à en tirer profit de par ses seuls petits doigts boudinés par l'usage du clavier, il pleuvra des merguez cuites!

[ParanoX]

EDIT : un petit lien en plus, qui pointe vers le blog d'un consultant bien connu sur ces forums ici

qui a fait une jolie liste résumant ce qui a été dit dans ce fil de discussion...

[dan31]

Faut arreter de regarder des films. Les armées surperéquipées de matériel de pointe, cela fait rire. Leur matériel est plus vieux que vous le pensez. Les James Bond c'est au cinéma. Faut pas etre naif, mais il ne faut pas non plus croire tous ce que l'on voit dans les films. C'est dans Mission Impossible que le pro récupère des données sur un disque explosé, pas dans la vie réelle. Les infos que les flics récupèrent sur les disques sont celles qui sont accessibles par tout un chacun avec un extracteur de données à 100 €.
Il est plus simple et plus rapide de soudoyer quelqu'un de l'entreprise pour avoir les infos que de se la jouer espions technophiles.

[legone]

un petit lien en plus, qui pointe vers le blog d'un consultant bien connu sur ces forums iciqui a fait une jolie liste résumant ce qui a été dit dans ce fil de discussion...

Merci ! Ca sera plus simple que de chercher a extraire les infos intéressantes parsemées dans ce thread ...

Ce message a été modifié par legone - 30 Apr 2007, 14:02.

[titou2c]

pour ps1024 et dulrich
peut-être me suis-je mal exprimé ; je n'affirme pas qu'une "clé magique" permettant de casser tous les codes existe (encore que si c'était le cas, sans doute ni vous ni moi ne le saurions), ce que je veux dire c'est que la NSA se donne tous les moyens pour empêcher un cryptage tel qu'elle ne pourrait en venir à bout, il semble même très probable que dans les années 70 elle ait fait modifier un algorithme de chiffrement d'IBM jugé trop difficile à casser (appelé Lucifer) pour la petite histoire.
sur ce je vous laisse j'ai le code de ma cafetière à modifier, on sait jamais.


Ce message a été modifié par titou2c - 30 Apr 2007, 14:12.

[jordancavanaugh]

Interessant ce thread, j'ai appris plein de chose sur Keychain...
En tout cas il ne faut peut-etre pas trop psychoter pour ce nouveau logiciel espion. C'est juste une illustration de plus de la paranoia actuelle, particulierement forte aux US, ou personne n'est vraiment innocent et ou nous sommes tous des terroristes, predateurs sexuels et voleurs potentiels... Quand on n'a rien a cacher on n'a pas de soucis a se faire, non ? Et puis il y a tant de façons plus simples de piquer des passwords... Ici des millions de personnes sont victimes du "identity theft" et se font vider leur compte en banque sans qu'aucune methode high tech ne soit mise en oeuvre. En tout cas bravo a ceux qui vendent cette clef USB pour $500

[Martin.s]

Comment un logiciel peut permettre de récupérer tous ces codes? En effet, dans le trousseau, j'ai besoin de rentrer mon mot de passe administrateur pour le dévérouiller? Il y aurait une faille majeur dans OsX? Cela est vraiment inquiétant ...

et meme TRES difficile a croire !

---

1 le logiciel ne récupère pas les mots de passes de filevault, la "brochure" parle juste de la posibilité que ceux ci soient les memes que le mot de passe utilisateur (ce qui serait con)

2 la clef ne fonctionne que si le mac est allumé et que l'utilisateur a rentré son mot de passe.

3 il suffit de vérouiller le trousseau pour etre en sécurité.

4 si quelqu'un a vraiment besoin de sécurité il peut toujours utiliser PGP, cette clé USB ne passera pas a travers.

Ce message a été modifié par Martin.s - 30 Apr 2007, 14:46.

[-eliot-]

En tout cas bravo a ceux qui vendent cette clef USB pour $500

oui il sont forts ... surtout que l'on peut arriver exactement au même résultat avec le DVD d'installation ... qui est lui fournit gratuitement

Comment un logiciel peut permettre de récupérer tous ces codes? En effet, dans le trousseau, j'ai besoin de rentrer mon mot de passe administrateur pour le dévérouiller? Il y aurait une faille majeur dans OsX? Cela est vraiment inquiétant ...

et meme TRES difficile a croire !

peut etre faudrait il prendre le temps de lire le topic ... nan ?

je reste zen ... et clic ...

Ce message a été modifié par -eliot- - 30 Apr 2007, 14:40.

[Dahood]

Faut arreter de regarder des films. Les armées surperéquipées de matériel de pointe, cela fait rire. Leur matériel est plus vieux que vous le pensez. Les James Bond c'est au cinéma. Faut pas etre naif, mais il ne faut pas non plus croire tous ce que l'on voit dans les films. C'est dans Mission Impossible que le pro récupère des données sur un disque explosé, pas dans la vie réelle.

Si c'est a moi que tu répond, tu me prend pour un ignare. Personne te parle de James Bond ou de Tom Cruise, je parlais de chiffrement, et il n'est pas difficile d'imaginer que dans ce domaine l'armée est de loin la plus avancée, intercepter les communications "ennemies" ça a toujours existé, et de nos jours ça se joue avec des 0 et des 1, donc des chiffrements et déchiffrement autant plus puissants, par force brute ou non .
Ensuite faut pas etre un génie pour savoir que toutes nos techno modernes et tous nos matériaux modernes nous viennent de l'armée et des budget colossaux qu'on lui alloue . D'autant que la plupart du temps, ces recherches sont menées par des privés, alors a moins d'avoir tes entrées dans ce type de labo, ne soit pas si catégorique .
C'est aussi de la peinture métallisée qu'on met sur les rafales ou des paraboles TPS que l'armée utilise pour les communications ?

Il est plus simple et plus rapide de soudoyer quelqu'un de l'entreprise pour avoir les infos que de se la jouer espions technophiles.

Vrai quand tu parles de social engineering, mais l'un n'empeche pas l'autre .

Je disais simplement qu'a la question, le chiffrement des macs est-il inviolable je répond non dans l'absolu rien n'est incassable, et dans la réalité, si ça l'était, on y aurait meme pas accès .

Ce message a été modifié par Dahood - 30 Apr 2007, 14:47.