actualité
 L'actualité informatique et multimédia
 Un nouveau concours de piratage de MacOS X
 Viens te battre si t'es une pomme !
Sécurité

L’article publié hier parlant du piratage d’un Mac Mini en moins de trente minutes a provoqué un grand nombre de réactions. Nous avions alors nuancé la situation en précisant qu’un acte isolé ne prouvait rien en soi, et que certains détails étaient nécessaires.

Ces fameux détails, nous les avons désormais : ils permettent de mieux cerner le déroulement du concours et plus précisément de la technique utilisée par le gagnant. Ce dernier a bel et bien utilisé une faille à un moment précis, mais il ne s’agissait pas réellement d’une faille permettant un accès direct et distant de la machine ciblée. Le vainqueur du concours, Gwerdna, indiquait à ZDnet Australie que la machine aurait pu être mieux protégée, sans donner vraiment plus de précisions.

Ce manque de sécurité résulte en fait de l’activation du SSH (Secure Shell) et d’une faille locale. SSH est un outil permettant de se connecter à des machines en réseau au travers de lignes de commandes. Gwerdna s’est servi de cet outil pour créer sur le Mac Mini une base de données LDAP et une interface web associée permettant de créer des comptes utilisateurs. Normalement, ces comptes sont limités et ne peuvent ni modifier ni supprimer des fichiers. L'intéressé s’est alors servi d’une faille pour élever les privilèges d’un compte, lui permettant alors de modifier la page web qui servait de preuve du piratage.

Bien que le gagnant ait effectivement utilisé une faille non corrigée de MacOS X, celle-ci n’aurait jamais pu être utilisée si le SSH n’avait pas activé. Il faut noter à ce propos, qu’il n’est pas activé par défaut . Afin de remettre les « choses dans l’ordre » et rétablir semble-t-il un fond de vérité, un autre concours a été organisé, cette fois par l’Université du Wisconsin.

Ce nouveau concours a commencé hier et se terminera vendredi. Ses créateurs espèrent rendre justice à la plateforme d’Apple. Ils précisent qu’il s’agit cette fois de devoir pirater une machine depuis l’extérieur, alors que la méthode utilisée par Gwerdna est considérée comme une attaque de l’intérieur. La machine est également un Mac Mini et la page web à modifier se trouve ici :
Les auteur de ce concours précisent qu’il s’agit d’un test communautaire et académique : aucun prix n’est à gagner, si ce n’est la reconnaissance. Ils ne considèrent pas MacOS X comme inviolable, mais souhaitent simplement rétablir l’équilibre.

PS : Merci à Hakime pour les précisions ;)

Rédigée par le mardi 07 mars 2006 à 15h20 (25490 lectures)
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 279 commentaires dont 279 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

06 mars 2006   Concours : moins de trente minutes pour pirater MacOS X
24 février 2006   La faille de Safari sous MacOS X déjà exploitée
22 février 2006   MacOS X : faille critique dans les archives Zip
17 février 2006   MacOS X sur les PC : Apple pas vraiment content
16 février 2006   Nouvelle version 10.4.5 pour MacOS X
15 février 2006   Apple verse dans la poésie anti-piratage
14 février 2006   MacBook Pro : des processeurs surprises ?
23 janvier 2006   IBM regarderait de près du côté des nouveaux Mac Intel

Recherches relatives : - -