Alex666 [29/03/2008 08:19] (effacer) (éditer)

il est plus intéressant de hacker un macbook air pour le gagner avec en plus 10 000 $ qu'un vista sur un fujitsu +5 000$ (arf arf arf)

content que la tite distrib linux tienne encore, mais que va gagner celui qui la hack?
parce que le montant semble descendre... pas très motivant tout ça...

anthoprotic [29/03/2008 08:20] (effacer) (éditer)

Juste par curiosité, combien de personnes participent à ce concours?

Brewenn [29/03/2008 08:38] (effacer) (éditer)

Les trois ou quatre pieds nickelés qui oeuvrent en permanence à la gloire de Saint OS X vont être verts de rage.

Votre OS X à été craqué le premier en deux minutes, avant MS Windows !
Pas une raison pour en souiller vos sous vêtements.

:))))

Beleggrist [29/03/2008 08:50] (effacer) (éditer)

Faudra qu'on m'explique l'interêt pour un (visiblement) anti-mac de venir troller sur un forum Mac...

Entre Leopard et Vista, mon choix est vite fait : un système sobre et classe, rapide et efficace ou un truc avec des p'tites lunmières qui rame à crever, et qui m'empêche de bosser parce qu'il stresse quand iTunes (ou Windamp, ou WMP) veut accéder à Net ?

Quand au nombre de personnes qui cherchent à hacker un Mac par rapport à ceux qui essayent de hacker un PC sous Windows... Y a pas photo.

1664 [29/03/2008 08:51] (effacer) (éditer)

@Alex666

Oui d'un point de vu purement pecunier.
Car 10000$ plus la revente du MBA qui ne sert a rien ca fait un petit 12000$ sympathique.

mike1 [29/03/2008 08:54] (effacer) (éditer)

et voilà!!! sur ubuntu tien la route Dur, dur.... une passoir le mac OS X..... je change de système!

Brewenn [29/03/2008 09:05] (effacer) (éditer)

@Beleggrist

Non non pas anti-mac, seulement anti-cons

superoro [29/03/2008 09:07] (effacer) (éditer)

Bien ils sont trois à participer, puisqu'il n'y a que 3 portables! ;-)

Ok je sors...

legolas [29/03/2008 09:10] (effacer) (éditer)

Ouais, bon! y-a-t-il seulement eu un hacker pour forcer le pécé avec autant d'entrain que le MB ? Il aurait pas tenu 2 minutes si ça se trouve.

Dad [29/03/2008 09:13] (effacer) (éditer)

Euh, Beleggrist, faut savoir perdre, aussi.
Ce qui me rassure, c'est l'accès physique au mac nécessaire au Hacker pour le faire tomber !
Et ce qui m'étonne c'est quand même que Vista ai tenu.
Qu'on le veuille ou non, avec une certaine intégrité intellectuelle, ça fait mal.

fadem [29/03/2008 09:23] (effacer) (éditer)

Soyez pas de mauvaise foi les gars... Le Macbook Air est tombé en 2 minutes via Safari, point. Ca n'enlève rien à la qualité de Mac OSX. Mais ça soulève quand même une question. On dit très souvent que OSX est très sûr. Est-ce une qualité réellement intrinsèque ou est-ce plutôt un effet secondaire, du fait que peu de pirates et autres malveillants s'y intéressent ? Je trolle pas là, j'aimerais vraiment savoir si ce manque d'attaques ne pousserait pas Apple à y aller mollo sur la sécurité...

FabriceG [29/03/2008 09:30] (effacer) (éditer)

Comme ce soit-disant concours a été préparé à l'avance, ça en diminue tout de même la portée. Mais, ce qui est très intéressant, c'est que le Mac a craqué à l'étape 2, le PC sous win seulement à l'étape 3, ce qui veut dire qu'un Mac, en config de base a été craqué alors que le pc non ! Donc, ne se leurrons pas, à l'heure actuelle, un Mac est le moins sécurisé. Une faille dans Safari, qui ouvre tout le cœur de OS X. Certains se consoleront que ce n'est pas OS X qui a craqué, mais juste un composant périphérique. Mais vous connaissez l'histoire de la chaîne et de ses maillons, il suffit d'un faible…


@Mike1 : bon débarras, ciao mec ! va te payer une bonne indigestion sous ubuntu :D

@Brewenn : je sais qu'on est tous le con de quelqu'un, mais là tu en fais vraiment de trop. Ça devient trollesque, et ma foi, je ne sais pas qui est le con dans l'histoire, hein ! Retourne sur ton PC fissa et épargne nous ta fiante.

Voilà que je m'énerve… tant pis.

Krytchek [29/03/2008 09:39] (effacer) (éditer)

bonjour, je ne veux polémiquer avec personne, d'accord ?
Ma question est vraiment sérieuse : ils hackent quoi les gars là ?
Vu qu'ils ont un accés physique à la machine, ça suppose qu'ils l'ont démarré, qu'ils peuvent lancer des applis, selon l'étape où ils en sont, ils peuvent installer des applis, donc quel est la différence avec moi qui m'installe devant ma machine tous les matins, rentre mon code d'ouverture de session et travaille ??
J'ai dû rater un truc....
merci d'éclairer ma lanterne..

bugman [29/03/2008 09:50] (effacer) (éditer)

lol, du calme les enfants.

Comme dit plus haut, il est tombé, POINT.
Il n'y a pas de quoi s'arracher une cote (ni celle du voisin d'ailleurs) pour ça.

A mon avis, tout est hackable (Ripp de DVD, YesCard...) alors un OS vous pensez !
Maintenant, (pour moi) OsX est pour le moment encore assez sûr pour l'utiliser sans crainte, mais demain je serais peut être contraint de faire comme sous Windows et pousser plus haut sa sécurité. C'est une bonne chose que de le savoir.

Et pis c'est tout.

Neosky [29/03/2008 09:51] (effacer) (éditer)

Ce qu'il faut dire c'est aussi que pour OS X le gars avait déja préparer depuis longtemps! donc ya plus trop de mérite

gratoune [29/03/2008 09:52] (effacer) (éditer)

Krytchek
Il n'ont pas le code administrateur, mais si l'on a un accès physique à un ordinateur il ni en a aucun qui tienne devant un pirate

dariolym [29/03/2008 09:52] (effacer) (éditer)

En même temps, c'est un peu normal que le PC soit pas tombé à l'étape 2, Microsoft à bientôt plus rien le droit de mettre sur son système comme programme, vu que c'est quasi à chaque fois un procès qui les attends... dites moi seulement si vous avez déjà vu un ordinateur "client" qui utilise internet (donc avec une possibilité de se faire hacker) SANS avoir Flash player installé...

Sur le mac, on fourmille de petits utilitaires qui savent parler entre eux, et je ne m'étonne même pas du résultat, ça me parait normal.

Maintenant, il faut voir ce que l'on entends hacking par... parce que je vois pas vraiment ce qui, sur mon ordinateur, pourrai intéresser quiconque d'autre que moi... un petit carnet d'adresses pour le vendre peut être?

Moi, ce qui me fait plus peur, c'est le bon vieux virus qui fout le bronx dans les données et efface quelques fichiers par-ci par-là, et de ce coté, je suis plutôt tranquille sous OSX...

bugman [29/03/2008 09:57] (effacer) (éditer)


Pas trop d'accord la dessus. Le but est atteint. Qu'un hacker mette trente secondes ou 30 jours pour compromettre mes données, je m'en tape. Ce qui m'importe, c'est qu'il y arrive.

Beleggrist [29/03/2008 09:58] (effacer) (éditer)

Ok. On a perdu. Il est tombé en 2 min.

Combien il y a de virus, pour MacOS, encore ? Pour Windows ?

Venez pas me dire que Windows est sûr...

Krytchek [29/03/2008 10:01] (effacer) (éditer)

@ Gratoune,
Si je comprends bien, ils avaient accés aux ordis via une session "Invité" avec des droits limités et ils devaient prendre le contrôle total de l'ordi ?

bugman [29/03/2008 10:10] (effacer) (éditer)

@ Beleggrist :

Combien il y a de virus, pour MacOS, encore ? Pour Windows ?
Comme tu le dis : ENCORE (pour l'instant)
Venez pas me dire que Windows est sûr...
De plus en plus, on n'est plus au temps de W98 non plus. Bon, ok, il reste l'OS certainement le moins fiable.

catabounga [29/03/2008 10:15] (effacer) (éditer)

Pour hacker le PC en 2 minutes il n'avais qu'à y installer Safari……… lol
OK je sors

Beleggrist [29/03/2008 10:18] (effacer) (éditer)

@bugman : mon "encore" voulait dire "rappellez-moi", pas "encore-il-y-en-aura" ;-) Sorry pour le manque de précision.
Et c'est vrai qu'avec la "montée" d'Apple, on est de moins en moins à l'abri. Mais quand même, faut pas être parano non plus... C'est dans longtemps.

"De plus en plus, on n'est plus au temps de W98 non plus. Bon, ok, il reste l'OS certainement le moins fiable."
Oui. Et avec le plus de pourriciels au monde.

greensource [29/03/2008 10:21] (effacer) (éditer)


Heu faut pas prendre ça à coeur quand même ;-)
Moi aussi je suis tombé sous le charme de MacOSX il a énormément de qualité mais forcément ces défault.
Peut être qu'à force d'avoir des trous partout dans Internet Explorer et Cie Microsoft ayant tellement bosser dessus bas ils finissent par avoir des résultats.
Chez Apple pour l'instant ils sont peut être plus sur le coté ergonomie de leurs applications.
C'est une très bonne chose ce genre de coup de pied au cul, sinon comment Apple ferait-il pour réagir? Lorsqu'une vrai attaque arrive?

Le fait est qu'avec des par de marché grandissante, ils sont plus appétissant, et on est encore oinn d'avoir des systèmes grand public sécurisé faut pas ce leurrer, MacOSX compris.

FabriceG [29/03/2008 10:24] (effacer) (éditer)

@Beleggrist : tu as complètement raison. Mais ne te trompe pas de bataille. Et celle-là, "on" l'a perdue !
Oui je comprends bien que beaucoup rechignent à l'admettre, je suis moi même assez écœuré. mais c'est comme ça.
Le Mac a été craqué en le pointant sur un site préparé à l'avance. il n'y a pas d'histoire de droits admin ou pas. Un fois le mac dans ce site, depuis un autre ordinateur on a pu en prendre le contrôle complet (en root donc). On n'en sait pas plus (et heureusement !!!) Maintenant ils vont faire connaître la faille à Apple, et une fois corrigée, la faille sera dévoilée, pas avant. Comme beaucoup l'on dit avant, il devrait y avoir un concours permanent. Et n'oublions pas une chose, aucun système n'est sûr (snif!), et si un resiste, c'est juste que la ou les failles n'ont pas été trouvées, que l'on en soit convaincu maintenant, même avec Mac OS X ou même Ubuntu !
Pour finir sur une note optimiste, Apple va combler la faille, et notre système va redevenir un système des plus sûr. Jusqu'à la prochaine fois !

bugman [29/03/2008 10:27] (effacer) (éditer)

@Beleggrist :
On est plutôt d'accord :)

Et c'est là que vient le problème. Combien ai-je d'amis sous Win installant de tout et (surtout) du n'importe quoi. Vu la monté d'utilisateurs Apple, combien de pourriciels risquent de fleurir sur notre OS ? Et mes amis, futurs switchers, changeront ils leurs (sales) habitudes ?

Beleggrist [29/03/2008 10:32] (effacer) (éditer)

Boah, ouais. C'pas ça qui va changer ma vie non plus. Faites des backups, et tout se passera bien ;-)

jusdei [29/03/2008 10:56] (effacer) (éditer)

Bon de mon côté, si j'ai bien compris et c'est ce qui m'intéresse : c'est que le mac n'a cracké que quand le mec était dessus, qu'il avait un accès physique... Or, si j'ai bien compris, par internet ils n'ont pas réussi à prendre le contrôle de la machine... et franchement c'est ce qui m'inquiète le plus car à part me faire voler mon iMac je vois pas comment quelqu'un aurait un accès à ma machine et dans ce cas, c'est plus la perte de la machine en elle-même qui me ferait mal que les données (à partir du moment où musique, vidéo... ont été sauvegardés ailleurs) car je ne suis pas une entreprise avec des données très sensible.
Donc le côté rassurant, c'est qu'OS X tient sur les coups de boutoir par internet (c'est bien ça ? car sinon là ça m'inquiète...) à partir du moment où on fait un minimum attention (site sécurisé en cas de paiement... et qu'on installe pas n'importe quoi sur la machine à partir de choses téléchargées).

Beleggrist [29/03/2008 11:00] (effacer) (éditer)

@bugman :
J'ai switché il y a... 1 an et demi, à peu près, et cette sale habitude prend du temps à disparaître ;-) J'ai plein de petits trucs (qui paraissent) super utiles, on est en admiration devant pendant 3min, et après on oublie... Mais sur MacOS, c'est bien moins "foireux" (en tous cas, c'est l'impressions que j'avais, et que j'ai toujours).
Et puis avec MacOS, avant de foutre le bronx dans les dossiers "sensibles" , on te demande un mot de passe, ce qui restreint les possibilités... Tandis qu'avec Windows...

Brewenn [29/03/2008 11:03] (effacer) (éditer)

Sur PC
Si vous n'avez pas besoin de Safari inutile de l'installer et d'accroître ainsi la surface d'attaque du système. :)

BeePotato [29/03/2008 11:11] (effacer) (éditer)

Une remarque tout de même pour ceux qui voudraient tirer des résultats de ce concours la conclusion que tel ou tel OS est moins sûr que tel ou tel autre : le règlement du concours spécifiait qu'il fallait utiliser une faille non encore rendue publique.
Le gars qui a gagné le MBA est don bien tombé : il avait trouvé une faille encore inconnue dans Safari, suffisamment longtemps avant le début du concours pour pouvoir trouver comment l'exploiter (parce que trouver une faille et trouver comment l'exploiter sont deux choses bien différentes) et mettre en place son site web, et il a eu la chance que personne d'autre ne trouve cette faille et ne la rende publique.

Ça ne veut donc pas dire que les machines sous Windows et Ubuntu ne présentaient aucune faille leur permettant d'être hackées en 2 minutes : si ça se trouve, il y en a, mais elles sont toutes déjà connues et ne pouvaient donc pas être utilisées pour le concours. Et je précise, pour les trolleurs : je dis "si ça se trouve", parce que j'ai la flemme de vérifier ; je n'affirme pas que ces failles existent, j'explique juste que le résultat du concours seul ne permet absolument pas de tirer des conclusions sur la sécurité comparée des différents OS.

shoko [29/03/2008 11:14] (effacer) (éditer)

Purée, le fanatisme à l'état pur ... "on a perdu" à croire que vous êtes les fondateurs de la marque ... vous (et moi de même) leur remplissez les caisses et rien de plus, point barre. Je constate juste que c'est la fin du pougnage des macusers fanatiques face aux PC Users, et c'est pas un mal. Un peu d'humilité ne fait pas de mal. Sûr que sur Clubic ils doivent se marre grave.

BeePotato [29/03/2008 11:17] (effacer) (éditer)

Au passage un dernier truc à noter : tout ça veut dire aussi que le gars Miller (celui qui a gagné le MBA) avait trouvé une belle faille dans Safari il y a déjà un bout de temps, mais qu'il a préféré la garder sous le coude pour l'utiliser pour son profit personnel.
On espère au moins qu'il en avait averti Apple.

bugman [29/03/2008 11:27] (effacer) (éditer)

Pour un hacker, avertir Apple, c'est peut être prouver que l'on a outrepasser le CLUF, non?

Philactere [29/03/2008 11:28] (effacer) (éditer)

Aïe avec ça on a mis le doigt là où ça fait mal, la légendaire sécurité au dessus du grand méchant adversaire Windows.

2 enseignements à ce sujet :
- TOUS les systèmes peuvent avoir des failles, un OS aujourd'hui est bien trop complexe pour pouvoir se prétendre infaillible.
- Microsoft a fait de réels efforts semble-il du côté sécurité, il serait temps pour les macfans d'évacuer l'image Microsoft = win98 et écrans bleus.

Sachant cela il est illusoire de prétendre être 100% sécurisé, le vrais challenge (mais à vrais dire il m'importe assez peut de savoir qui est le plus mieux sécurisé tant qu'on n'est pas dans des systèmes critiques) est la réactivité des éditeurs à patcher les failles une fois celles-ci découvertes. Et pour répondre à certains commentaires ici-même ces derniers jours a propos du nombre et de la taille des mise à jour de sécurité, je préfère nettement un éditeur qui livre des mise à jour à tout moment quant il le faut (et quel que soit leurs tailles) qu'un autre qui pratiquerait la politique de l'autruche comme l'a fait Microsoft pendant longtemps (mais qui ne semble plus être le cas).

Un nombre élevé de correctifs n'est pas forcément signe de mauvaise qualité, comme veulent le prétendre certains, mais peut aussi être signe de qualité quant ceux-ci sont livrés rapidement.

J'espère simplement que cela va rendre plus humble certaines personnes et surtout qu'Apple aura a coeur de continuer de livrer des patchs le plus rapidement possible.

Brewenn [29/03/2008 11:37] (effacer) (éditer)

@FabriceG
Libre à vous de vous inclure dans les personnes que j'évoquais dans un post précédent.

Les trois ou quatre pieds nickelés qui oeuvrent en permanence à la gloire de Saint OS X :)

YAZombie [29/03/2008 11:40] (effacer) (éditer)

On aura en tout cas appris une chose intéressante: Brewenn a des troubles de la personnalité…

Brewenn [29/03/2008 11:44] (effacer) (éditer)

@Philactere

Heureux qu'il y ait quelqu'un qui soit enfin réaliste !

Car si il y a bien un domaine ou rien n'est arrêté et ou le risque 0 n'existe pas c'est bien celui des OS et des logiciels. :)

Mac1978 [29/03/2008 12:08] (effacer) (éditer)

Impressionnant, déjà 193 réactions à l'article de base de hier, et 33 depuis 7 heures ce matin. "On a perdu / ils ont gagné" et tout le monde s'engueule. On croirait une finale de Coupe du monde France-Italie ; qui va donner le coup de boule ?

Il y a quand même quelques faits basiques perdus de vue (valables pour tous les OS testés).
1. Le type s'était préparé des semaines à l'avance, donc les 2 minutes citées dans l'article sont juste là pour faire mousser, simplement parce que la vérité c'est 2 min. + le temps passé à la préparation.
2. La faille est dans Safari et non dans OS X ; dès lors, rien ne permet, à ce stade, de dire que la même faille n'existe pas dans Safari pour Vista et que donc, s'il avait préféré le Fujitsu au MBA, Miller n'aurait pas cracké Vista en "2 minutes" + le temps de préparation.
3. L'accès physique à la machine a été nécessaire. Or n'importe quel responsable de sécurité sait que 98% des risques en entreprises sont liés à l'humain et que la première barrière est à mettre dans les contrôles d'accès et la gestion des personnes (Pourquoi certains portables PC sont-ils équipés en standard d'un lecteur d'empreintes digitales ?).
4. La démarche marketing d'Apple et ses sympathiques spots "I am a Mac/I am a PC" tapant systématiquement sur le fait que le Mac serait plus sûr qu'un PC, il faut bien s'attendre à une réaction de la concurrence...

N'est-il pas au moins aussi important de voir combien de temps Apple met à corriger la faille (pour les 2 versions de Safari si c'est le cas) que de savoir qui perd, qui gagne ?

melaure [29/03/2008 12:38] (effacer) (éditer)

Oui enfin Safari ce n'est pas OS X. Ce n'est donc pas OS X qui a failli mais une application qui tourne dessus. Et c'est souvent le problème des OS, le point faible est souvent du à une application.

Le docteur [29/03/2008 12:46] (effacer) (éditer)

Et Ubuntu tient toujours...

Le docteur [29/03/2008 12:50] (effacer) (éditer)

Ce qui m'inquiète c'est qu'on retrouve encore le "nouveau nouveau" d'Apple en tête de liste de ce qui permet de planter une machine.
Je ne suis pas sur Mac depuis si longtemps donc je me demande.
- Si ce serait arrivé avec Tiger
- Si ce serait arrivé avec Safari 2

Est-ce ma machine, mais on dirait que tout ce que fait Apple en ce moment est bugué/non fiable... ???
J'ai autant peur de Léopard sur mon Mac que j 'avais peur de Windows sur un PC...

BeePotato [29/03/2008 13:05] (effacer) (éditer)

@ Le docteur :
Tu peux aussi ajouter la question : "est-ce que ce serait arrivé sur un Mac à base de PowerPC (avec le même Leopard et le même Safari) ?". ;-)
Et la réponse : rien n'est moins sûr...

robertito [29/03/2008 13:56] (effacer) (éditer)

Il est tout de même très étonnant et dommage qu'en passant par Safari et en utilisant une simple faille en se connectant à une page web on puisse avoir accès au système. Une fois cette faille corrigée, le Mac est-il le plus sécuritaire???? Parce que souvent les nouvelles sur les Virus oblige d'avoir accès à la machine et de taper le mot de passe de l'usager.

oomu [29/03/2008 14:02] (effacer) (éditer)

et c'est toujours un hack quand la personne fait une connerie.

parlez moi de hack où la machine est allumée, et PAF une personne prend le contrôle VIA internet. sans action de l'utilisateur. LA ca sera autre chose.

cela dit, c'est un bug safari Grave. etj'estime que Mozilla a pris beaucoup plus au sérieux cet aspect qu'apple. Firefox 2 avait eu son lot de soucis que mozilla a pris comme une insulte personnelle, et Firefox 3 a tout un aspect sécurité (anti-phishing, parano ssl et certificat) très très poussé pour prendre les devants.

-
rappelons qu'avec toute la bonne volonté du monde, un site web est un vecteur de CODE EXECUTABLE (jscript, java, même flash, etc) sont du _CODE_ . des instructions que d'une manière ou d'une autre, plus ou moins dans un "conteneur", le Processeur va lire et exécuter.

c'est pour cela que franchement, je ne vais pas sur n'importe quel lien sans raison, même si j'ai confiance en os x, mon router, mon navigateur, je n'active pas java (sauf au cas par cas), même si j'ai confiance en la machine virtuelle java, je ne clique pas sur les liens que je vois dans Mail sans bien vérifier d'abord que c'est bien un lien qui va là où c'est censé être (je me méfie de bug d'affichages de Mail ou autre qui ferait passer http://grospirate-mafia-russe.ru/~hack/hahahaxor.php en "ebay.com" )

etc.

ca ne demande pas de temps, ca ne demande pas d'efforts, juste de NE PAS être hyper-actif du style "yaha le mail qui a l'air très cool avec une promo ! zE click et je télécharge! youhou !!!"

fde [29/03/2008 14:09] (effacer) (éditer)

Ce qu'il faut savoir aussi, c'est que le bon vieux Charlie Miller a déclaré avoir choisi de hacker Mac OSX "par facilité" car, selon lui, "quand [il] cherche une faille sous Mac OSX, [il] en trouve une", ce qu'il ne se permet pas de dire pour Vista et Ubuntu.

Et ce n'est pas juste un trolleur, puisque lui-même est un Mac user. Il y a tout de même un minimum d'introspection à faire de ce côté chez Apple, pour que la phrase "Mac OS X est un système sécurisé" devienne une vérité et plus seulement un slogan marketing.

oomu [29/03/2008 14:10] (effacer) (éditer)

je ne considère toujours pas XP sp2 ni Vista comme des os de qualité et de bonne sécurité. (et j'ai les trop nombreuses occasion de travailler avec, pour gagner mon pain (un très gros pain))

tout simplement parce qu'il y a trop de vecteurs pour diffuser des virus sans aucune action de la part de l'utilisateur. cela n'est pas du au "noyau" windows, mais à tout ce qui est livré avec.

-
et je considère toujours Linux et os X comme égaux sur leur conception et qualité technique.

par contre, il m'apparait comme évident que safari souffre d'un manque de rigueur de la part d'apple. plusieurs fois, des failles de safari étaient des failles déjà décelées dans des produits similaires et apple n'a pas été assez prompt

c'est d'ailleurs étonnant, par endroit, ils réagissent plus vite que la lumière, (on a le patch bang parce que par exemple, les équipes "Samba" et développeurs "php" ont eux même trouvés un bug et pondu une nouvelle version) et des fois ,on sait qu'il y a eu un bug dans opera ou firefox, qui normalement devrait aussi se trouver dans safari et non, ca attend que les médias s'agitent

-
le problème est : les navigateurs et les programmes de tchat, et mail, facilitant le transfert de données et surtout de _codes_ sont maintenant presque plus important que le système d'exploitation

à quoi cela sert d'avoir un unix moderne et impeccable si vous avez un programme par dessus qui fait n'importe quoi sans que l'utilisateur réalise les conséquences ?

oomu [29/03/2008 14:16] (effacer) (éditer)

je ne connais pas de hack de Tiger ou Leopard en eux même qui permette de prendre le controle à distance sans action de l'utilisateur

par contre

tiger a eu plusieurs mises à jour de Samba parce que potentiellement samba avait un bug inquiétant

Safari 2 fut mis à jour plusieurs fois à coup du bug classique des entêtes TIFF. (un bug ultra classique, parce que libtiff et le format TIFF font TROP DE CHOSES et que les développeurs oublient leur satané potentialité)

ce bug de "tiff" est celui qui permettait de hacker un iphone dans sa version 1.0.2 (de mémoire) pour installer des logiciels. on passait via safari pour exécuter un outil de prise de contrôle à distance, permettant ainsi de copier dans son iphone des logiciels.
une idée très "cool" mais en fait l'exploitation d'un bug grave d'un des sous-composants de safari.

safari mac et iphone furent mis à jour très vite. mais ce bug tiff fut un des bugs classique corrigés dans des tonnes de programmes linux y a des années, et que firefox aussi a connu (globalement tout ce qui utilisait tiff en fait, du monde opensource au monde propriétaire)

c'est un exemple très pertinent.

--
bref c'est la vie. ne voyez pas cela comme une catastrophe, mais un rappel permanent que l'informatique et les ordinateurs est un projet de l'humanité, en continuel chantier, et qu'il vaut mieux un bug médiatisé que des pirates qui s'en servent en silence.

oomu [29/03/2008 14:20] (effacer) (éditer)

sinon j'ai du mal à comprendre le principe de hack quand on est devant.

donnez moi votre ordinateur, même le super serveur Solaris de la NSA, ben je le pirate.

non mais sérieux, donnez moi votre portable mac, windows, linux, vous l'avez verrouillez etc. ben je le pirate.


vous avez mis un mot de passe dans EFI ? ben je le pirate. j'ai mon tournevis, je mets efi en court circuit, zou

vous avez mis un mot de passe dans mac os X et bloqué le dvd ? pas de probleme, je branche un lecteur externe, je boote sur le cd d'install de mac os x et je demande un reset des mots de passe.

votre pc windows vista extrem ? ben je redémarre votre ordi sous un cdrom linux, j'accède à la partition ntfs sans soucis, sans respect des autorisations (mon cd linux en a cure de vos comptes et autorisations windows, il ouvre la partition et dit amen! )

etc.

un accés physique et votre ordi n'est plus qu'un objet. un pied de biche et zou, on fracture la porte.

-
il faut penser Filevault, bitlocker (windows) et autres mécanismes de cryptages comme des ralentisseurs.

vous avez votre super prochain film de cinéma , les rush, dans un dossier filevault et un ninja vous a volé votre mac. et bien, oui il va avoir du mal à casser filevault (cryptage avec une clé de 256 octets je crois ?), mais IL PEUT.

théoriquement, il PEUT.c'est censé être LONG (un ordi moyen est censé s'y casser les dents des semaines ou mois)

mais il peut!

parce qu'il a l'accès physique au contenu (même crypté) et à l'ordinateur.

robrob [29/03/2008 14:28] (effacer) (éditer)

A oomu
Il n'y avait PAS d'acces physique. Il a juste demande a un des organisateurs d'aller sur un site. Le hacker lui n'a pas touche a la machine.

Squelettor [29/03/2008 14:35] (effacer) (éditer)

Bon, je met un petit commentaire pour tout ceux qui non toujours pas vraiment comprit comment le mac s'est fait hacker :
Un utilisateur est allé sur le site web du hacker et ce dernier à pu prendre le contrôle de la machine.
Alors arrêter avec les "j'ai du mal à comprendre le principe de hack quand on est devant" et autre dans le même genre. Vous allez tout les jours sur différent site web, pas besoin que quelqu'un vous vole ou vous prenne votre mac pour cela.

Un Vrai Type [29/03/2008 15:27] (effacer) (éditer)

@ robrob:
Exact, mais il en lui a pas demandé QUE de visiter un site.
S'il a du cliquer sur "Ouvrir l'application" ou valider un certificat java inconnu, cela relativise la faille (tout comme les failles sous OS X.2 qui exécutaient une application téléchargée sans avertissement, c'est bien une faille, mais de l'utilisateur, pas de l'OS) .
Par contre s'il a réussi à avoir accès au disque dur via javascript, une applet java etc.. (normalement impossible) il y a un énorme problème mais que QUE dans safari.
Entre les 2, il peut y avoir un problème dans Keychain par exemple.

Mais ce qui est surprenant, c'est qu'il a pu lancer un accès à distance (alors que par défaut, ils sont tous inactifs dans Mac OS X. Selon le processus, c'est aussi potentiellement une faille de tous les BSD.

Bref, si l'opérateur n'a pas fait d'autres manipulations que de visiter un site web, ce bug est aussi grave et "pathétique" que les .jpeg corrompu sous Windows XP. Même si on execute du code dans une page web, il ne reste pas que la règle est l'interdiction absolue de récupérer des informations sur l'ordinateur.

Il me vient immédiatement une autre piste, le support partiel de HTML5 qui prévoit un accès restreint à l'ordinateur...

Un Vrai Type [29/03/2008 15:28] (effacer) (éditer)

"mais que QUE" -> Mais pas que.

Mac1978 [29/03/2008 15:48] (effacer) (éditer)

http://www.letemps.ch/template/economie.asp?page=9&article=228747

Pour ceux qui veulent lire un compte rendu intéressant sur Black Hat, la réunion des hackers à Amsterdam.

aurel74 [29/03/2008 16:17] (effacer) (éditer)

Faut relativiser tout ca quand même, comme le dit l'article, le concours était organisé en plusieurs paliers. Mais comme la faille sous windows provient de Flash et que ca doit-être une des premières chose que l'on ajoute quand on installe windows, les deux systèmes ne sont pas plus sécurisés l'un que l'autre. A la différence que la faille de Safari sera sans doute comblé par Apple relativement rapidement. Alors que Microsoft est dépendant de la bonne volonté d'Adobe...

Sur 2 bécanes normales, les 2 systèmes n'auraient pas tenu plus de 5 minutes.

Brewenn [29/03/2008 16:28] (effacer) (éditer)

"Le pirate faisait ce qu'il voulait de mon Mac".

Victime d'un pirate particulièrement doué, un lecteur de SVM Mac raconte en détail son inquiétante mésaventure....!

Le docteur [29/03/2008 16:47] (effacer) (éditer)

@BeePotatoe
Tu peux aussi ajouter la question : "est-ce que ce serait arrivé sur un Mac à base de PowerPC (avec le même Leopard et le même Safari) ?". ;-)
Et la réponse : rien n'est moins sûr...

--> Oui, il n'aurait pas démarré :D

Brewenn [29/03/2008 17:50] (effacer) (éditer)

Et bien, Messieurs si vos activités sont dans la sécurité informatique, en cas de problèmes vos clients auront toujours la ressource de vous poursuivre pour négligence professionnelle....! :((

Un Vrai Type [29/03/2008 18:29] (effacer) (éditer)

@ Brewenn:
C'est toi qui affirmait qu'il fallait un anti-virus pour se protéger des failles hier, non ?
Juste LOL.

Brewenn [29/03/2008 18:44] (effacer) (éditer)

@u "bredaud"
Non je conseillais à quelqu'un de conserver son anti virus, (je n'ai jamais dis qu'un anti virus protégait des failles).
J'ai remarqué qu'au fil des posts, sous vos différents pseudos vous me faites souvent tenir des propos que je n'ai pas tenus.

Un Vrai Type [29/03/2008 19:24] (effacer) (éditer)

@ Brewenn :
Je n'ai qu'un seul pseudo, que ça te plaise ou non.
Et désolé de jouer ton jeu :
"Alors que les deux spécialistes en sécurité que sont, Jerry Khan et Un Vrai Type nous confirment l'impossibilité d'exploiter ces failles. "
J'ai dis ça où ?

Au revoir :)

Brewenn [29/03/2008 19:56] (effacer) (éditer)

@u "bredaud"
Bref, inutile de spéculer à l'heure actuelle, puisque la faille est inexploitable sans manipulation volontaire de l'utilisateurs.? La vraie question est quelles manipulations ont été demandées...

fde [29/03/2008 19:56] (effacer) (éditer)

Je me répète, mais ce qu'il faut savoir aussi, c'est que le bon vieux Charlie Miller a déclaré avoir choisi de hacker Mac OSX "par facilité" car, selon lui, "quand [il] cherche une faille sous Mac OSX, [il] en trouve une", ce qu'il ne se permet pas de dire pour Vista et Ubuntu.

Et ce n'est pas juste un trolleur, puisque lui-même est un Mac user. Il y a tout de même un minimum d'introspection à faire de ce côté chez Apple, pour que la phrase "Mac OS X est un système sécurisé" devienne une vérité et plus seulement un slogan marketing.

Un Vrai Type [29/03/2008 20:06] (effacer) (éditer)

@ Brewenn :
LA faille.
Unique,
Celle du sujet de la news.

Apprend à troller, parce que tu pêches un peu en ce moment, malgré que tu brasses beaucoup.

Brewenn [29/03/2008 20:16] (effacer) (éditer)

@u "bredaud"

LA faille.Unique, Celle du sujet de la news.

C'est bien de celle la dont vous parlez comme inexploitable

Brewenn [29/03/2008 20:32] (effacer) (éditer)

Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable, Le Mac est sur, OS X est inviolable . . . .

bugman [29/03/2008 21:40] (effacer) (éditer)

Bon, allez stop maintenant, vous mettez vos pyjamas et au lit !

Mc-aïe [29/03/2008 21:41] (effacer) (éditer)

@ Brewenn
très bon la methode coué..!

Encore une fois, la plus part d'entre vous ont le jus qui rentre dans les chaussettes..!

Pour se servir d'une faille sous safari, en deux minutes, il faut déjà savoir que celui-ci possède une faille
Ce qui implique d'être aux faits, et de travailler pas mal de temps à réfléchir à la solution de l'exploiter..

Alors si en plus on a accès à la machine, deux minutes c'est déjà trop long...!


Conclusion, ce hacker connaissait déjà la faille, et savait déjà comment faire pour l'exploiter..

C-tout

Mc-aïe [29/03/2008 21:46] (effacer) (éditer)

Mais comme toutes application qui rentre sur le réseau est susceptible d'avoir des failles, ils suffit d'être prudent, et de bien configurer son système, mise à part celà, toujours pas de virus connu à ce jour.

Tiens, mettons plutôt un prix de 50 000 $ au premier qui fera un virus pour mac..!

La ce serait du SPORT !

Gabone [29/03/2008 21:55] (effacer) (éditer)

alors les adolescents on fait mumuse !!!!

pacou [30/03/2008 00:38] (effacer) (éditer)

Euh ... juste une question là sur le vif : vous n'allez pas refaire 15 pages ou plus de commentaire sur cet article qui n'est que la suite d'un autre?

Et puis le p'tit père Brewenn de mes deux, là, faut qu'on le trouve physiquement et qu'on lui foute une branlée pour qu'il comprenne qu'il nous emmerde?

JE DEMANDE AUX MODERATEURS D'ARRETER CES FILS DE DISCUSSION SANS FIN, MAIS SANS SUCCES. PEUT ETRE QU'ECRIVANT EN GROS DANS LE FIL LUI MEME ILS VONT COMPRENDRE QU'IL Y A NECESSITE DE LE FAIRE ...

Brewenn [30/03/2008 07:21] (effacer) (éditer)

@pacou
Menaces verbales, intimidation sur le Net contre une personne se contentant de dénoncer la stupidité de certains im posteurs voués "corps et âmes" à la cause APPLE, n'admettant pas que l'on puisse dire que la plate-forme APPLE est aussi sujette à des failles comme les autres, il suffit de voir les correctifs régulièrement publiés par APPLE.

Je vous conseillerais donc d'éviter ce genre de menaces, qui ne pourrait que vous apporter des ennuis, sans compter les soucis et tracas au diffuseur de vos menaces.

Je ne suis peut être plus en activité, mais je possède encore un carnet d'adresses actif, et deux ou trois coups de fil à quelques administrations pourrait rapidement vous ramener à des propos plus modérés. :)

Un Vrai Type [30/03/2008 10:55] (effacer) (éditer)

@ Brewenn:
Dépôt de plainte pour insulte en public déposé ce matin à 9h30.
Bon courage pour la suite.

BeePotato [30/03/2008 11:44] (effacer) (éditer)

@ Le docteur : "--> Oui, il n'aurait pas démarré :D"

Euh... j'ai pas saisi la blague, là... :(

BeePotato [30/03/2008 11:50] (effacer) (éditer)

Et ça y est, Brewenn est reparti avec "APPLE"... Ce n'est qu'un détail, mais à la longue presque aussi agaçant que toutes les inepties qu'il nous sort.
Ce serait pas mal qu'il profite de sa retraite pour aller prendre quelques cours. En plus, ça l'occuperait et peut-être que du coup il passerait moins de temps à poster des brewenneries. ;)

Brewenn [30/03/2008 12:34] (effacer) (éditer)

Si c'est comme pour vos affabulations, pas prêt de voir la suite :)

Mickjagger [30/03/2008 14:24] (effacer) (éditer)



T'es gentil tu te répètes, t'as déjà publié ça dans les comms y'a 1 semaine ou 10 jours...
T'as une liste de copier-coller ou quoi?!
Surtout que le blaireau de SVM Mac, il a constaté une faille en allant sur un site de rencontres "à caractère sexuel" comme le dit pudiquement le magazine... Et en gros il a utilisé Flash qui lui demandait d'allumer sa webcam (même le cybersexe n'est pas sans risques... ;)
Et puis il avait pas mis de mot de passe à son ordi, etc etc
Le plus drôle étant que le mec est censé être quelqu'un qui bosse dans la sécurité informatique.

pat3 [30/03/2008 14:37] (effacer) (éditer)

Rigolo ce fil; ce qui a de bien avec les dimanches, c'est qu'on peut prendre le temps de lire ce genre de fil et d'en rire ;-)
Ça fout tellement un coup cette annonce au discours Apple que peut des contributeurs sont allés vérifier la procédure du concours. De plus, les informations les plus cruciales ne sont pas divulguées, ce qui fait que l'essentiel des réactions sont épidermiques. Enfin, le VRAI gagnant de ce concours, c'est clairement son organisateur, qui tous les ans crée un buzz formidable sur une information totalement inexploitable. Décidément, avec l'avènement d'internet, on vit de plus en plus dans un vaporworld…

pacou [31/03/2008 01:22] (effacer) (éditer)

@Brewenn
VOS menaces et insinuation ne me font pas peur.

Par contre vous nous emmerdez, ça c'est vrai. Et puis le Mac pas sûr et tout, dont acte. On attend les réponses par patches et autres correctifs.

Brewenn [31/03/2008 04:05] (effacer) (éditer)

@pacou

Aucune menace dans mes propos, juste une mise en garde, d'ailleurs je suis étonné du fait de votre profession, que vous vous laissiez aller à de telles dérives verbales.

Quand à ma liberté d'expression, si elle vous dérange parce que je mets le doigt la ou ça fait mal ... ne consultez pas le blog ! :)

revol [31/03/2008 08:32] (effacer) (éditer)

FabriceG : oui, certes ce n'est pas l'OS qui a été cracké directement mais Safari... Mais le résultat pour Apple c'est qu'un produit Apple a été cracké pour pénétrer FACILEMENT OS X.

Alors que dans le cas de Windows, c'est un produit ADOBE qui a été utilisé (et il est d'ailleurs possible que les crackers aient également pu utiliser la même faille côté Mac OS X s'ils n'avaient pas pu cracker si vite via Safari.)

Ubuntu tient toujours... Est-ce qu'il y a Flash installé?? (Et dans la même version!)

La seule et triste conclusion, c'est que derrière un discours médiatique et tapageurs, Mac OS X et Safari détient la palme du couple OS / Navigateur les moins fiable du marché.

On ne le dira jamais assez : GET FIREFOX !

Almux [31/03/2008 08:58] (effacer) (éditer)

Le "problème" ici, c'est qu'il fallait venir avec un hack "nouveau", donc:
• Tous ceux qui existent sous vista et Linux sont exclus d'office, même s'ils ne sont pas "patchés".
• Il était couru d'avance qu'Apple serait LA cible, parce que Apple agace terriblement l'industrie et les PC geeks avec sa montée en force.

Donc, à part quelques arguments balancés pour faire baisser le chiffre d'affaire d'Apple pendant quelques semaines, il n'y a pas de quoi s'en faire. Aucune comparaison possible avec le déclin irrémédiable de M$, par exemple...

Almux [31/03/2008 09:02] (effacer) (éditer)

Aah! Encore une chose:
@revol (entre autres)
Dans quelques jours "ON" apprendra que linux est un véritable Emmental bouuré de failles "SURTOUT" sous Firefox 3 et (mais cela on le sait déjà) qu'une centrale de serveurs sous windows (XP ET vista) est tombée sous le contrôle de hackers sans scrupule...
Tout le monde se crêpe le chignon et essaye d'arracher les yeux des autres... dans ce domaine et dans bien d'autres ;)

james85 [31/03/2008 09:19] (effacer) (éditer)

Si je comprends bien Safari est moins sûr qu'IE, sauf si on installe y installe Flash.

Et je ne comprends pas bien les réactions légèrement paranoïaques "ils ont fait exprès de s'acharner sur Mac OS X". Ce sont des réactions argumentées ou de simples envies que cela se soit passé comme ça ?

ziedjo [31/03/2008 09:37] (effacer) (éditer)

Juste comme ça, mais ça ne viendrai à l'idée de personne de penser que Charlie Miller est tout simplement meilleur que ses confrères ? Ceci expliquerai aussi cela. Pour comparer, ça aurait été bien que ce soit la même personne qui fasse le test sur les trois machines et qu'il dise sur laquelle ça a été le plus simple finalement...

Niejcas [31/03/2008 11:51] (effacer) (éditer)

brewenn..

Tu troll mal. Pas la peine de nous la jouer "ho vous m'insultez alors que je fais que donner mon point de vue" quand on pretend faire la chasse aux cons, merci bien.

Pourquoi macgeneration ne réagit pas? Ça leur fais des sous?

Nicosun [31/03/2008 12:04] (effacer) (éditer)

A distance il n'y est pas arrivé, il aura fallu donc un contact physique

contre la seconde attaque je vous conseille un logiciel très performant : "barre de fer en travers la gueule" disponible chez tout les bon quincaillier du coin

CF_melo [31/03/2008 12:21] (effacer) (éditer)

Brewenn, bien dit :)

Mais dès que quelqu'un est objectif et anti-con prétentieux et communautaristes, il est anti-mac, c'est bien connu.

Brewenn [31/03/2008 13:37] (effacer) (éditer)

Non non j'ai bien un Macintosh (marguerite) sous OS X.4 de marque APPLE

Et je ne me fais aucune illusion sur la sécurité des OS, des applications, des drivers et autres utilitaires.

Mais après plus de 40 ans dans les NT, on ne peut être que réaliste :)

Aekold [05/04/2008 11:07] (effacer) (éditer)

Ce qui est étonnant dans ces commentaires c'est le parti prit de tout un chacun. Ce qui semble clair, c'est que tout OS, aussi bien conçu soit-il, est et restera faillible. Qu'on soit sous linux, osx ou windows, le problème reste entier.

Le seul constat qui peut être fait, tant au niveau de MS qu'au niveau d'Apple, c'est leur force marketing à vanter les mérites en terme de sécurité de leur protégé. Et c'est de là que proviennent les polémiques. Pour preuve, Miller utilise une faille d'un produit apple pour contrôler OSX.

Pour ce qui est des autres systèmes basés sur Unix (Débian, Ubuntu, Fedora...) les développeurs mettent en avant le côté libre de la distribution. Quel intérêt pour un hacker de dire : j'ai hacké un système libre. Enfin, soit dit en passant, une Débian est forcément plus sûre qu'OSX ou Vista tout simplement car la personne qui l'installe, le fait de A à Z. On a un contrôle entier sur son installation, c'est aussi pour ça qu'il est plus difficile de hacker un "linux", vous ne pensez pas ?
OSX qui est lui aussi basé sur un Unix, reste un "operating system" basée sur une solution clé en main pour l'utilisateur lambda. C'est pareil pour Windows.

Après, et c'est mon avis personnel, je continue à penser que pour le moment OsX reste plus sécurisant que Windows. Pas d'antivirus à installer, le firewall de base est, selon moi, assez bien conçu et permet de contrôler la sécurité de sa machine très facilement. Et l'utilisation de tout les jours est la plus intuitive que j'ai pu rencontrée jusqu'alors.

Hindifarai [09/04/2008 16:56] (effacer) (éditer)

Informations pour ceux qui ne comprennent pas qu'ubuntu ne tombe pas malgré la faille flash, c'est tout simplement parce qu'ubuntu par défaut installe firefox avec gnash comme extension pour les anims flash, si l'utilisateur veut utiliser le plug-in non free d'adobe il doit l'installer de son propre chef.
Installer flash non libre pour regarder des sites ne s'en servant que comme conteneur bitmap dans 98% des cas est une abération...à quand la mort du flash j'ai hate!! La plupart des pseudos designers ne savent pas l'utiliser à 20% de ses capacités et pourraient faire bien mieux sans.

Brewenn faîtes attention vous vous répétez et ne retenez pas les remarques que l'on vous fait mêmes quand elles sont constructives : comme je vous le disais il y a quelques jours discerner applications drivers et utilitaires fait vraiment tâche pour quelqu'un se voulant donneur de leçon en sécurité système faîtes un effort dans votre jeu de rôle sinon ça n'a plus grand interêt...ou bien il y a également l'option qui est de lire les pages des liens que vous vous amusez à donner, et pourquoi pas à essayer de les comprendre(je suis sur qu'avec quelques efforts vous en seriez capables)