Mai 2013
La nuit porte conseil
par Christophe Laporte le 30.04.2007 09:50
Dino Dai Zovi s'est fait un nom en peu de temps. Le grand gagnant du concours CanSecWest est parvenu, rappelons-le, à mettre en défaut la sécurité d'un Macintosh, en exploitant une mauvaise prise en charge du code Java par QuickTime. Les règles de ce concours, organisé lors d'une conférence à Vancouver du 18 au 20 avril, étaient simples : deux MacBook Pro reliés à un réseau Wi-Fi, configurés par défaut et équipés de la toute dernière version de Tiger, étaient jetés aux mains des hackers. Celui qui parvenait à s'octroyer les privilèges d'un utilisateur repartait avec un MacBook Pro 15" alors que celui qui réussissait à obtenir les privilèges de superutilisateur (root) emportait un MacBook Pro 17". Pour pimenter le tout, les organisateurs avaient également décidé de mettre 10 000 $ en jeu.
Dans un premier temps, les portables n'étaient accessibles qu'à distance. Puis dans un second temps, il était possible d'utiliser Safari d'un des deux ordinateurs pour l'exposer à une attaque provenant d'un site web. C'est via cette technique que Dino Dai Zovi, et son acolyte, Shane Macaulay qui était présent physiquement à la conférence, ont réussi leur affaire.
Apprenant jeudi vers 21 h 30 que le concours n'avait été remporté par personne, Dino Dai Zovi décida de se mettre au travail. Il restait alors 24 heures au chercheur pour "accomplir sa mission". Il lui fallut cinq heures pour débusquer une faille et quatre heures pour mettre au point un dispositif permettant de l'exploiter. Le chercheur en sécurité se dit chanceux. Trouver une faille peut aussi bien prendre quelques heures que plusieurs semaines. La faille en question permet à une personne malintentionnée de s'octroyer les privilèges de l'utilisateur. C'est suffisant pour s'en prendre à vos documents par exemple. Si le compte en question possède le statut d'administrateur, il est même possible de s'attaquer aux dossiers "Applications" et "Library". Cette vulnérabilité peut également être exploitée sur un PC, selon lui, à condition qu'il dispose de QuickTime. En attendant qu'Apple réagisse, il recommande de désactiver temporairement Java.
Dans une interview donnée à Daring Fireball, Dino Dai Zovi qui se présente comme un véritable Mac User, prodigue quelques conseils à ceux qui veulent améliorer la sécurité de leur système. Parmi les recommandations, utiliser principalement un compte dépourvu des privilèges administrateur, stocker dans un trousseau vos mots de passe importants et le paramétrer de manière à ce qu'il se verrouille automatiquement au bout de cinq minutes d'inactivité ou encore faire régulièrement des sauvegardes chiffrées de vos données. Dino Dai Zovi dit ne pas utiliser un logiciel d'antivirus payant. Pour la petite histoire, Dai Zovi va empocher les 10 000 $ alors que son collègue gardera le MacBook. Cela valait bien une nuit blanche…
Les étudiants ont trouvé une nouvelle manière d'utiliser iPod, un usage qui étrangement ne plait pas vraiment au corps enseignant. Sur iGeneration, il est question aussi de l'appétit d'Apple en matière de mémoire Flash ainsi que du courriel envoyé par Steve Jobs pour convaincre les disquaires d'adopter sa nouvelle offre sans DRM. Nous évoquons également la solution d'Intent MediaWorks pour légaliser et rentabiliser le peer-to-peer, la décision de Sony qui s'apprêterait à laisser tomber au moins pour un modèle l'ATRAC et SonicStage ainsi que la volonté du ministre britannique de l’Intérieur de rencontrer Apple pour lutter contre le vol de baladeurs.
À son tour, IDC publie des chiffres encourageants concernant le Macintosh. Au niveau mondial, la part de marché du Mac était de 2,6 % au premier trimestre 2007, en hausse de 0,1 point par rapport au trimestre précédent et de 0,5 par rapport à la même époque l'année dernière. PiperJaffray, qui a révélé ce matin ces chiffres, pense que le Macintosh va continuer à croître plus rapidement que la concurrence dans les mois à venir. L'effet Halo, la campagne Get a Mac, le bon positionnement d'Apple dans le segment des portables sont autant de facteurs qui devraient permettre à la firme de Cupertino de tirer son épingle du jeu.
La semaine passée, nous évoquions la nouvelle version de PulpMotion, le logiciel de création d'animations et de galeries virtuelles. Le programme n'était alors disponible qu'en anglais. Signalons la parution depuis de la version française. Pour rappel, la mise à jour permet notamment d’exporter les compositions vers Apple TV et mieux contrôler les sources vidéo et audio. Elle permet aussi de faire coïncider la durée d’une animation avec la durée d’un morceau de musique [1.1 - 82,9 Mo (UB) - Fr].
[MàJ 18h20] : L'éditeur, Aquafadas, nous signale que le logiciel Pulpmotion est maintenant disponible en version boîte à la FNAC.
[MàJ 18h20] : L'éditeur, Aquafadas, nous signale que le logiciel Pulpmotion est maintenant disponible en version boîte à la FNAC.
Où l'on reparle, une nouvelle fois, de la maison de Steve Jobs, la Jackling House de Woodside qu'il a achetée en 1984, qui n'est plus occupée depuis l'an 2000 et qu'il aimerait bien démolir pour reconstruire. En 2001, il en obtenait l'autorisation, mais une association de défense du patrimoine architectural s'y opposait, affirmant que la maison, construite dans le style espagnol, était un témoignage du passé colonial de la Californie. Ladite association parvenait même à porter l'affaire jusqu'à la Cour Suprême de l'état. Celle-ci vient d'ailleurs de lui donner raison. Steve Jobs n'a pas le droit de raser la demeure. Désormais, l'association espère obtenir de lui son accord pour la déplacer et la restaurer.
Submerge est un nouveau logiciel qui pourrait rendre service à nombre d'utilisateurs. Le programme permet en effet d'associer un fichier vidéo et un fichier de sous-titres. Le développeur prend sur son site l'exemple d'un épisode de Lost, diffusé en anglais et qu'il sous-titre en suédois. Le logiciel permet de personnaliser l'affichage des sous-titres, de choisir leur emplacement, et se charge de compiler tout ça au format M4V exploitable dans iTunes et Apple TV. La licence est vendue 9 $ [1.0 - 3,3 Mo (UB) - US].
Présenté il y a quelques jours, Final Cut Studio 2 entame sa tournée européenne, histoire de se montrer aux créatifs et développeurs de tous poils. Apple organise ainsi toute une série de journées dans de grandes villes européennes. Pour Paris, ce sera jeudi 31 mai (de 9h à 13h), à l'Espace Cardin, avenue Gabriel, dans le 8e arrondissement. Pour Bruxelles, ce sera le 5 juin, pour Zurich, le 21 juin.
DoubleTake [2.1 - 8.6 Mo - UB - FR - 16.95 €] est un logiciel offrant la possibilité de réunir des photos, des captures d'écran et ses numérisations dans de plus grandes images. Avec les commandes automatiques et manuelles et les outils de couleur pour changer des réglages d'exposition, vous pouvez coller et combiner des images qui n'ont pas été initialement conçues pour cela. Cette nouvelle version permet l'impression d'affiche. DoubleTake sépare la photo et l'imprime en pages prêtes à être coupées et collées en une affiche. Une version de démonstration est disponible au téléchargement. DoubleTake 2.1 nécessite Tiger et est vendu 16,95 €.
Sonnet a récemment annoncé deux nouveaux systèmes de stockage spécialement conçus pour l'édition vidéo : Fusion D800RAID (avec 8 disques) et Fusion D400RAID (avec 4 disques). Ils comprennent tout deux une carte contrôleur PCI Express RAID supportant des configurations RAID 0, 1, 4, 5, 10, 50, et JBOD, un boîtier silencieux contenant des modules disques échangeables à chaud, et des câbles verrouillables robustes. Ces deux systèmes, compatibles Mac, Linux et Windows XP, sont assez rapides pour traiter de la HD non compressée 10-bit 1080 4:4:4 , ou de multiples flux de vidéo DV, HDV, DVCPRO, et de SD non compressée. Fusion D800RAID et Fusion D400RAID sont compatibles avec les cartes de capture d’AJA, Blackmagic Design, Matrox et Bluefish 444. Tous deux seront disponibles à la vente le mois prochain, respectivement pour 2095 $ et 1795 $.
Le développement de Grand Paradiso se poursuit à un rythme soutenu. La fondation Mozilla vient de mettre au téléchargement Firefox [3.0a4 - 16.7 Mo - UB - FR]. Cette mouture intègre de nombreuses améliorations relatives à l'implémentation des widgets Cocoa, corrige quelques bogues au niveau de Gecko 1.9, offre une meilleure prise en charge des applications Web hors ligne et comprend pour les développeurs la libraire FUEL Javascript. Le panneau "Informations sur la page" a également été revu. La fondation Mozilla prévoit de sortir encore deux versions alpha, la première dans un mois et la seconde fin juin. La première version bêta, qui sera complète en terme de fonctionnalités, est attendue pour fin juillet. Firefox 3 devrait être finalisé si tout va bien en novembre.
MacLive Expo devait avoir lieu à Cologne du 21 au 23 juin. L'événement a été annulé, il pourrait être organisé à une date ultérieure. Notre confrère Macnews.de évoque la possible tenue de ce salon au mois de novembre. Officiellement, MacLive Expo a été repoussé à cause du report de Leopard. Officieusement, une brouille entre les organisateurs serait à l'origine de cette décision. Pour ne rien arranger, la plupart des exposants, déçus de l'édition précédente, ne désiraient pas renouveler leur participation.
Lentement mais sûrement, Garmin se met au Macintosh. Le fabricant de GPS propose depuis peu au téléchargement deux applications spécialement conçues pour notre plate-forme. Le premier, Garmin WebUpdater [2.0.0.4 - 3.4 Mo - UB - US] permet de mettre à jour le micrologiciel de votre GPS. Le second, POI Loader for Mac [2.0.0.1 - 3.6 Mo - UB - US] offre la possibilité de transférer sur votre appareil des points d'intérêts (POI). Ces deux logiciels sont disponibles pour l'heure en anglais, mais des versions multilingues seront proposées au téléchargement lorsque leur développement sera finalisé.
SecureMac vient d'annoncer la nouvelle version de MacScan, l'utilitaire censé protéger le Mac des spywares et autres chevaux de Troie. La mise à jour, mineure, n'apporte pas de réelles nouveautés, mais corrige son lot de bogues et allonge la période permettant d'essayer le programme (trente jours désormais) [2.4 - 3,6 Mo (UB) - US].
L'éditeur néo-zélandais SubRosaSoft a présenté ce week-end un nouveau logiciel : MacLockPick. L'utilitaire s'adresse, comme d'autres programmes de l'éditeur, à un public particulier (gens de loi notamment). Il permet en effet de récupérer mots de passe, historiques Internet, paramètres d'un ordinateur sous Mac OS X, pour les besoins d'une enquête, par exemple. Les informations ainsi récupérées sont transférées vers un lecteur externe pour être analysées ensuite. MacLockPick est vendu 499,95 $.
Une révision de Simon, l'utilitaire permettant de surveiller des sites Internet (SIte MONitor), vient d'être publiée. Elle met à jour le module de service externe DNS afin de travailler avec les outils Unix fournis avec les derniers Mac. Elle ajoute quelques exceptions à la journalisation, afin d'aider au diagnostic d'éventuels problèmes. Par ailleurs, elle corrige quelques petits bogues [2.2.2 - 7,3 Mo (UB) - Fr].