Apple a installé une mise à jour silencieuse de macOS supprimant la faille du logiciel Zoom, Réactions à la publication du 11/07/2019

[Lionel]

La faille présente sur le populaire logiciel Zoom a fait grand bruit. Pour rappel, elle permet à une personne à distance de lancer la caméra des Mac et donc d'espionner les utilisateurs. Elle est d'autant plus pernicieuse que la désinstallation du logiciel ne supprime pas le serveur web mis en place par le logiciel, ce qui permet la réinstallation sans interaction de l'utilisateur.


Afin d'y mettre fin Apple a fait une chose exceptionnelle, pousser une mise à jour silencieuse de macOS. Cette dernière désinstalle le serveur web de Zoom s'il est présent.

Zoom s'est félicité de cette initiative indiquant avoir participé à l'élaboration de cette mise à jour, un moyen de tenter de redorer son blason très terni.

Lien vers le billet original

[Marc Girondot]

Un point que je me suis toujours demandé: est-il possible d'enclencher la caméra sans que la lumière verte à proximité ne s'allume ?

[apocrypha]

Quel(s) OS sont concernés ? Seulement Mojave ?

[Lionel]

Quel(s) OS sont concernés ? Seulement Mojave ?

Non, tous ceux compatibles avec ce logiciel.

[Munch]

Bonjour,

Beaucoup de "paranos" placent un morceau d'adhésif sur la caméra…

Sinon, moi je proposerais ça :

https://objective-see.com/products/oversight.html

Bien à vous,

[charbo]

Bonjour,

Beaucoup de "paranos" placent un morceau d'adhésif sur la caméra…

Sinon, moi je proposerais ça :

https://objective-see.com/products/oversight.html

Bien à vous,

Le plus celebre des bout de scotch c'est celui ci :
https://9to5mac.com/2016/06/21/facebook-mar...pe-over-camera/

[loucheux]

Apple peut faire une maj du système sans que le mdp admin soit entré ? C'est trop fort

[MixUnix]

Apple peut faire une maj du système sans que le mdp admin soit entré ? C'est trop fort

Ce qui prouve que leur laïus sur le niveau de sécurité de macOS...bof bof.
Ce qu'ils font, eux, d'autres, "accrédités officiels" peuvent le faire.

[Ulf64]

Beaucoup de "paranos" placent un morceau d'adhésif sur la caméra…

Donc Zuckerberg, patron de Fessebouc est un parano.

Perso, je suis tranquille, le Mini n'a pas de caméra

[iAPX]

Un point que je me suis toujours demandé: est-il possible d'enclencher la caméra sans que la lumière verte à proximité ne s'allume ?

Oui, c'est même le fonctionnement par défaut au premier démarrage: la caméra est active et utilisée pour régler automatiquement la luminosité de l'écran et pourtant le voyant est éteint.

Le problème du voyant vert est qu'il est purement logiciel, ce qui devrait amener à une confiance limitée.

Mais je ne vois pas ce que la caméra d'un ordinateur portable peut vraiment enregistrer de si "spécial", même en cas d'onanisme frénétique: une affaire de cadrage.
Ce qu'il y a sur l'écran est bien plus intéressant au quotidien, et en réunion ce que les microphones captent est tout ce qui importe.

PS: très bonne action de la part d'Apple, puisque beaucoup peuvent ne plus avoir l'application Zoom mais encore avoir le serveur http qui constitue l'essentiel du malware, à noter que ça n'est pas un serveur "web" mais un serveur http qui exécute localement des commandes (c'est fondamentalement différent même si ils utilisent le protocole http)

Ce message a été modifié par iAPX - 11 Jul 2019, 12:09.

[godzila]

Apple peut faire une maj du système sans que le mdp admin soit entré ? C'est trop fort

Ce qui prouve que leur laïus sur le niveau de sécurité de macOS...bof bof.
Ce qu'ils font, eux, d'autres, "accrédités officiels" peuvent le faire.

Même reflexion.

Je trouve abolument terrifiant qu'Apple puisse silencieusement venir dans mon Mac changer des réglages et desisntaller des logiciels.

Qu'ils mettent une alerte pour demander de le faire ponctuelleemtn pourquoi pas. Mais là... Qu'est-ce qui les empêche p.ex d'exfiltrer toutes mes photos ou vérifier que je n'ai pas de MP3 piratés (p.ex) ?

[marc_os]

Un point que je me suis toujours demandé: est-il possible d'enclencher la caméra sans que la lumière verte à proximité ne s'allume ?

Oui, c'est même le fonctionnement par défaut au premier démarrage: la caméra est active et utilisée pour régler automatiquement la luminosité de l'écran et pourtant le voyant est éteint.

Ah bon ? Première nouvelle.
Il me semblait pourtant que comme pour le réglage de la luminosité du clavier, ça passait par une "bête" cellule photo-électrique capable de mesurer la luminosité ambiante.
Tu as des sources pour étayer cette affirmation ?

Le problème du voyant vert est qu'il est purement logiciel, ce qui devrait amener à une confiance limitée.

« purement logiciel », ça veut dire quoi ?
Du code en Swift, ou le code d'un micro-controlleur ?
Tu sais, c'est pas vraement la même chose, même si pour tous les deux c'est du « code ».

Ceci dit, as-tu jamais vu un seul cas d'allumage de la caméra d'un portable Apple sans que la lumière verte ne s'allume ? (Ormi ta 1ère affirmation ci-dessus).
Si oui, merci de nous donner un lien pour prouver que c'est possible.

Ce message a été modifié par marc_os - 11 Jul 2019, 16:55.

[iAPX]

Un point que je me suis toujours demandé: est-il possible d'enclencher la caméra sans que la lumière verte à proximité ne s'allume ?

Oui, c'est même le fonctionnement par défaut au premier démarrage: la caméra est active et utilisée pour régler automatiquement la luminosité de l'écran et pourtant le voyant est éteint.

Ah bon ? Première nouvelle.
Il me semblait pourtant que comme pour le réglage de la luminosité du clavier, ça passait par une "bête" cellule photo-électrique capable de mesurer la luminosité ambiante.
Tu as des sources pour étayer cette affirmation ?

Le problème du voyant vert est qu'il est purement logiciel, ce qui devrait amener à une confiance limitée.

« purement logiciel », ça veut dire quoi ?
Du code en Swift, ou le code d'un micro-controlleur ?
Tu sais, c'est pas vraement la même chose, même si pour tous les deux c'est du « code ».

Ceci dit, as-tu jamais vu un seul cas d'allumage de la caméra d'un portable Apple sans que la lumière verte ne s'allume ? (Ormi ta 1ère affirmation ci-dessus).
Si oui, merci de nous donner un lien pour prouver que c'est possible.

Matériel par opposition aux logiciels de tous poils: si on alimente le capteur, on peut avoir la même alimentation qui fait s'allumer la diode verte, ça n'est pas hackable c'est difficilement hackable.

En revanche pour ta question c'est là. N'hésite pas à utiliser Google ou à demander conseil.

Et je te remercie de mettre en doute tout ce que je peux écrire, alors que tu considères comme "preuve" n'importe quel contenu sur Internet: bon état d'esprit

Ce message a été modifié par iAPX - 11 Jul 2019, 18:00.

[marc_os]

Un point que je me suis toujours demandé: est-il possible d'enclencher la caméra sans que la lumière verte à proximité ne s'allume ?

Oui, c'est même le fonctionnement par défaut au premier démarrage: la caméra est active et utilisée pour régler automatiquement la luminosité de l'écran et pourtant le voyant est éteint.

Ah bon ? Première nouvelle.
Il me semblait pourtant que comme pour le réglage de la luminosité du clavier, ça passait par une "bête" cellule photo-électrique capable de mesurer la luminosité ambiante.
Tu as des sources pour étayer cette affirmation ?

Le problème du voyant vert est qu'il est purement logiciel, ce qui devrait amener à une confiance limitée.

« purement logiciel », ça veut dire quoi ?
Du code en Swift, ou le code d'un micro-controlleur ?
Tu sais, c'est pas vraement la même chose, même si pour tous les deux c'est du « code ».

Ceci dit, as-tu jamais vu un seul cas d'allumage de la caméra d'un portable Apple sans que la lumière verte ne s'allume ? (Ormi ta 1ère affirmation ci-dessus).
Si oui, merci de nous donner un lien pour prouver que c'est possible.

Matériel par opposition aux logiciels de tous poils: si on alimente le capteur, on peut avoir la même alimentation qui fait s'allumer la diode verte, ça n'est pas hackable c'est difficilement hackable.

En revanche pour ta question c'est là. N'hésite pas à utiliser Google ou à demander conseil.

Et je te remercie de mettre en doute tout ce que je peux écrire, alors que tu considères comme "preuve" n'importe quel contenu sur Internet: bon état d'esprit

Tu sais, en France c'est d'abord à l'accusation d'apporter la preuve de la culpabilité, pas à l'accusé de prouver qu'il n'a rien fait.
Voire, comme tu l'exisges, d'argumenter à ta place, d'apporter les preuves de tes affirmations. Sérieux, tu ne manques pas d'air.
(De plus, si une seule affirmation gratuite permettait de mettre les gens devant un tribunal, on n'en sortirait pas.)
Ensuite, l'accusé peut essayer de prouver que l'accusation a tort, mais c'est d'abord à l'accusation d'avancer ses preuves !

Quant à ton POC, il date de 2013 et il concernait l'iSight.
Qui prouve qu'Apple a ou n'a pas verrouillé son firmware depuis ce temps là ?
Ce POC est-il toujours valable ?
Encore une fois, c'est à l'accusation de faire son travail d'accusation, sinon il ne s'agit que de bashing voire de diffamation, même si c'est monnaie courante sur les forums, même si certains ne vivent quasiment que de ça.

Ce message a été modifié par marc_os - 11 Jul 2019, 18:22.

[malloc]

Du calme, estime-toi heureux qu'il t'ait donné pour une fois une source!

Le nombre de fois que je suis resté dans le vent quand je lui demandais d'étayer ses élucubrations...

[iAPX]

Vous êtes plus intelligents que le Directeur du FBI et que Mark Zuckerberg réunis vous deux.
Moi je fais comme les deux personnes sus-mentionnées avec la webcam de mon Mac

PS: à vous écouter il n'y a aucune "preuve" que la terre ne soit pas plate en fait, soit des images trafiquées, soit des témoignages sujets à caution, et pour ma part coté sécurité j'ai eu la chance d'avoir un exploit publique touchant indirectement près d'un tier du web en 2006. Mais ma parole...

Ce message a été modifié par iAPX - 11 Jul 2019, 20:25.

[downanotch]

L'article cité ne concerne que les machines de 2008 ou plus anciennes.

[iSpeed]

Apple peut faire une maj du système sans que le mdp admin soit entré ? C'est trop fort

Ce qui prouve que leur laïus sur le niveau de sécurité de macOS...bof bof.
Ce qu'ils font, eux, d'autres, "accrédités officiels" peuvent le faire.

Même reflexion.

Je trouve abolument terrifiant qu'Apple puisse silencieusement venir dans mon Mac changer des réglages et desisntaller des logiciels.

Qu'ils mettent une alerte pour demander de le faire ponctuelleemtn pourquoi pas. Mais là... Qu'est-ce qui les empêche p.ex d'exfiltrer toutes mes photos ou vérifier que je n'ai pas de MP3 piratés (p.ex) ?

Si tu as des choses à cacher, je te conseille d'utiliser un carnet avec des crayons et pour les tofs reprendre les vieux appareils photos argentiques et de les développer toi-même. Après que dire des personnes qui travaillent dans les banques et qui voient toutes tes dépenses/ économies etc...

[malloc]

Vous êtes plus intelligents que le Directeur du FBI et que Mark Zuckerberg réunis vous deux.
Moi je fais comme les deux personnes sus-mentionnées avec la webcam de mon Mac

PS: à vous écouter il n'y a aucune "preuve" que la terre ne soit pas plate en fait, soit des images trafiquées, soit des témoignages sujets à caution, et pour ma part coté sécurité j'ai eu la chance d'avoir un exploit publique touchant indirectement près d'un tier du web en 2006. Mais ma parole...

Désolé de n’avoir ni ton intelligence, ni ton expérience et de ne pas prendre pour argent comptant tout ce qui sort de ton clavier

PS: pour info, la manière dont tu déformes les propos aujourd’hui n’est pas plus convainquante que quand tu bottes en touche. Peut mieux faire.

[iAPX]

Vous êtes plus intelligents que le Directeur du FBI et que Mark Zuckerberg réunis vous deux.
Moi je fais comme les deux personnes sus-mentionnées avec la webcam de mon Mac

PS: à vous écouter il n'y a aucune "preuve" que la terre ne soit pas plate en fait, soit des images trafiquées, soit des témoignages sujets à caution, et pour ma part coté sécurité j'ai eu la chance d'avoir un exploit publique touchant indirectement près d'un tier du web en 2006. Mais ma parole...

Désolé de n’avoir ni ton intelligence, ni ton expérience et de ne pas prendre pour argent comptant tout ce qui sort de ton clavier

PS: pour info, la manière dont tu déformes les propos aujourd’hui n’est pas plus convainquante que quand tu bottes en touche. Peut mieux faire.

Merci, Maître!

Je saurais apprendre de mes erreurs et de tes leçons condescendantes (et encore je ne l'ai écrit qu'en un seul mot ), mais tu es au-dessus du directeur du FBI, Ô Maître, et du tout petit Mark Zuckerbger, pourras tu nous éclairer de tes lumières, le sachant absolu, l'âme de l'informatique, le joyau de la connaissance que tu es, l'anus qui les dirige tous (des typos peuvent s'être introduites par mégarde!), Ô Seigneur des connaissances, Wikipedia sur pattes, éclaire-moi et accepte mes plus plates excuses pour ne pas avoir accès à ta toute-clairvoyance

PS: je n'ai pas de preuve que ça soit @malloc, quelqu'un a un lien pour prouver cela?!?

Ce message a été modifié par iAPX - 11 Jul 2019, 22:24.

[malloc]

Dis, toi qui es spécialiste en tout, ça te parle le rapport signal/bruit?
Parce que parfois tu postes des trucs interessants qui mériteraient de ne pas être noyés dans ton flot de n’importe-quoi... just saying’

[iAPX]

Dis, toi qui es spécialiste en tout, ça te parle le rapport signal/bruit?
Parce que parfois tu postes des trucs interessants qui mériteraient de ne pas être noyés dans ton flot de n’importe-quoi... just saying’

Justement je pensais au rapport signal/bruit en voyant tes interventions

Mais mon grand (tu te souviens je t'appelais souvent mon grand), je ne laisserais pas passer, tant pis pour le message que tu bafoues, ignore voir veut détruire, mais il ne m'est pas question de te laisser dire tout et n'importe quoi.
Et pour commencer, peux-tu prouver que tu es la personne qui s'est inscrit sous le pseudonyme malloc?
Il faut des preuves, constituées par des liens sur Internet: tu as soutenu cela, il faut maintenant que tu assumes (ça peut durer longtemps avec moi).

Ce message a été modifié par iAPX - 11 Jul 2019, 22:39.

[malloc]

Bon, au revoir. Je m'en vais réactiver la fonction de filtre des forums, où tu rejoindras les FolasEnShort, martremblay et autres génies incompris. Dommage car tu postes parfois des choses intéressantes. Mais le "blah blah blahh" à hauteur de 11 000 messages, c'est trop. Ciao l'artiste.

@Modos, peut être qu'un nettoyage des messages ci-dessus s'imposerait? Ca pique les yeux, et n'apporte rien au sujet...

Ce message a été modifié par malloc - 12 Jul 2019, 09:39.

[ide508]

Apple peut faire une maj du système sans que le mdp admin soit entré ? C'est trop fort

Ce qui prouve que leur laïus sur le niveau de sécurité de macOS...bof bof.
Ce qu'ils font, eux, d'autres, "accrédités officiels" peuvent le faire.

Même reflexion.

Je trouve abolument terrifiant qu'Apple puisse silencieusement venir dans mon Mac changer des réglages et desisntaller des logiciels.

Qu'ils mettent une alerte pour demander de le faire ponctuelleemtn pourquoi pas. Mais là... Qu'est-ce qui les empêche p.ex d'exfiltrer toutes mes photos ou vérifier que je n'ai pas de MP3 piratés (p.ex) ?

Inquiétant pour le moins, mes données "sensibles" sont stockées sur des images disques cryptées avec PW.
Je suppose que sans ce PW aucune chance qu'ils (ou un autre) puissent voir quoi que ce soit sauf le nom du fichier.
J'ai tout bon

[malloc]

Inquiétant pour le moins, mes données "sensibles" sont stockées sur des images disques cryptées avec PW.
Je suppose que sans ce PW aucune chance qu'ils (ou un autre) puissent voir quoi que ce soit sauf le nom du fichier.
J'ai tout bon

Tant que ça reste dans l'image disque, peu de risque que tes fichiers soit aspirés ou supprimés.
Mais dès que tu la monte, toutes les vannes sont ouvertes: c'est accessible dans le filesystem comme n'importe quelle clé USB

Ce message a été modifié par malloc - 12 Jul 2019, 09:35.

[ide508]

[Lionel]

Tant que ça reste dans l'image disque, peu de risque que tes fichiers soit aspirés ou supprimés.
Mais dès que tu la monte, toutes les vannes sont ouvertes: c'est accessible dans le filesystem comme n'importe quelle clé USB

On peut faire un brute force sur une image disque, avec du GP-GPU Nvidia c'est assez rapide.
Donc, il faut un mot de passe long, d'autant plus long que les données sont cruciales pour toi.

[pipolo]

Hello !

Matériel par opposition aux logiciels de tous poils: si on alimente le capteur, on peut avoir la même alimentation qui fait s'allumer la diode verte, ça n'est pas hackable c'est difficilement hackable.

En revanche pour ta question c'est là. N'hésite pas à utiliser Google ou à demander conseil.

L'article de MacG sur ce sujet indique que les chercheurs devaient se pencher sur les Mac plus récents (le papier date quand même de 2013 et porte sur des machines de 2008 et plus anciennes encore). Dommage qu'il n'y ait pas eu de suite à ces travaux.

En revanche MarcOS a raison concernant le capteur de luminosité ambiante utilisé pour adapter la luminosité de l'écran et du clavier, c'est indépendant de la webcam.

Ce message a été modifié par pipolo - 12 Jul 2019, 10:05.

[malloc]

Tant que ça reste dans l'image disque, peu de risque que tes fichiers soit aspirés ou supprimés.
Mais dès que tu la monte, toutes les vannes sont ouvertes: c'est accessible dans le filesystem comme n'importe quelle clé USB

On peut faire un brute force sur une image disque, avec du GP-GPU Nvidia c'est assez rapide.
Donc, il faut un mot de passe long, d'autant plus long que les données sont cruciales pour toi.

Assez rapide? Tu as un ordre de grandeur, par exemple pour Madame Michu qui aurait mis quelques caractères aléatoires genre une date de naissance pimentée de quelques lettres?

J'étais dans l'idée que ça restait de l'ordre du "très long" dès que l'on sort des mdp classiques...

[godzila]

Tant que ça reste dans l'image disque, peu de risque que tes fichiers soit aspirés ou supprimés.
Mais dès que tu la monte, toutes les vannes sont ouvertes: c'est accessible dans le filesystem comme n'importe quelle clé USB

Exactement.

A proiri l'intrêt de ces fichiers est de pouvoir y accéder. A partir du moment où tu le fais l'OS et tous ses services peut les consulter. Ton approche est mieux que de ne rien faire mais si Apple peut agir à distance de la sorte il faut considérer le Mac comme une plateforme compromise. Je n'ai pas souvenir de MS faisant une chose pareille ?!