Juin 2013
OS X Lion : un mot de passe qui se réinitialise trop facilement ?
par Christophe Laporte le 20.09.2011 à 10:37
Le blog Defence in Depth qui suit depuis des années de très près la façon dont Apple protège les mots de passe dans Mac OS X vient de faire une belle découverte. Sous Lion, la commande terminal dscl permet de changer le mot de passe sans avoir à entrer l'ancien.
Pour cela, il suffit de taper l’instruction suivante : dscl localhost -passwd /Search/Users/NOMDEL’UTILISATEUR. Un mot de passe vous sera alors demandé. Ce qui est gênant dans cette affaire, c’est qu’il est possible de réaliser cette opération sans avoir les privilèges administrateur et/ou sans avoir à saisir votre ancien mot de passe…
Alors est-ce grave ? Oui et non… Car si une personne veut vous faire des misères en utilisant cette méthode, il faut qu’elle dispose d’un accès physique à votre machine ou à la limite d’un accès SSH à votre ordinateur.
Mais une telle possibilité n’est pas nouvelle en soi : il existe d’ores et déjà un moyen similaire de modifier le mot de passe de n’importe quel utilisateur sans être un hacker de haut vol si vous avez accès à l’ordinateur... Il suffit de démarrer sur la partition de restauration, ouvrir le terminal et taper l’instruction resetpassword (lire : Astuce : réinitialiser le mot de passe admin sur OS X Lion).
En attendant qu’Apple rectifie le tir, il existe plusieurs manières de se prémunir : il est recommandé notamment de désactiver l’ouverture de session automatique (qui d’un point de vue sécurité a toujours été une saloperie), de suspendre les comptes invité, ainsi que de paramétrer le système de manière à ce qu’il vous demande votre mot de passe après la suspension d’activité ou le lancement de l’économiseur d’écran.
CNET qui propose quelques conseils suggère également de désactiver l’accès au terminal aux utilisateurs qui n’en ont pas besoin.
De manière générale, pour améliorer la sécurité de votre ordinateur, deux options (complémentaires) sont à envisager. La première consiste à activer FileVault, qui protège les données de votre disque dur en chiffrant son contenu. Sur les SSD, cette option n’a quasiment aucun impact sur les performances. En démarrant sur la partition de secours, vous ne pourrez pas faire grand-chose tant que vous n’aurez pas entré votre mot de passe.
Seconde option à considérer et que l’on peut activer via l’Utilitaire de mot de passe du programme interne inclus dans la partition de restauration, la possibilité d’exiger un mot de passe lorsque vous démarrez sur un autre support que votre disque dur interne (ou SSD).
Toutes ces précautions sont à étudier, mais le plus important avant tout est de savoir quel degré de sécurité vous désirez avoir.
Pour cela, il suffit de taper l’instruction suivante : dscl localhost -passwd /Search/Users/NOMDEL’UTILISATEUR. Un mot de passe vous sera alors demandé. Ce qui est gênant dans cette affaire, c’est qu’il est possible de réaliser cette opération sans avoir les privilèges administrateur et/ou sans avoir à saisir votre ancien mot de passe…
Alors est-ce grave ? Oui et non… Car si une personne veut vous faire des misères en utilisant cette méthode, il faut qu’elle dispose d’un accès physique à votre machine ou à la limite d’un accès SSH à votre ordinateur.
Mais une telle possibilité n’est pas nouvelle en soi : il existe d’ores et déjà un moyen similaire de modifier le mot de passe de n’importe quel utilisateur sans être un hacker de haut vol si vous avez accès à l’ordinateur... Il suffit de démarrer sur la partition de restauration, ouvrir le terminal et taper l’instruction resetpassword (lire : Astuce : réinitialiser le mot de passe admin sur OS X Lion).
En attendant qu’Apple rectifie le tir, il existe plusieurs manières de se prémunir : il est recommandé notamment de désactiver l’ouverture de session automatique (qui d’un point de vue sécurité a toujours été une saloperie), de suspendre les comptes invité, ainsi que de paramétrer le système de manière à ce qu’il vous demande votre mot de passe après la suspension d’activité ou le lancement de l’économiseur d’écran.
CNET qui propose quelques conseils suggère également de désactiver l’accès au terminal aux utilisateurs qui n’en ont pas besoin.
De manière générale, pour améliorer la sécurité de votre ordinateur, deux options (complémentaires) sont à envisager. La première consiste à activer FileVault, qui protège les données de votre disque dur en chiffrant son contenu. Sur les SSD, cette option n’a quasiment aucun impact sur les performances. En démarrant sur la partition de secours, vous ne pourrez pas faire grand-chose tant que vous n’aurez pas entré votre mot de passe.
Seconde option à considérer et que l’on peut activer via l’Utilitaire de mot de passe du programme interne inclus dans la partition de restauration, la possibilité d’exiger un mot de passe lorsque vous démarrez sur un autre support que votre disque dur interne (ou SSD).
Toutes ces précautions sont à étudier, mais le plus important avant tout est de savoir quel degré de sécurité vous désirez avoir.
|
4
3
2
1
Vos réactions (54 réactions)
Skittou
[20/09/2011 10:46]
Que se passe-t-il si on a activé FileVault et que quelqu'un parvient malgré tout à modifier votre le mot de passe utilisateur, par exemple via la méthode décrite ci-dessus?
Que se passe-t-il si on a activé FileVault et que quelqu'un parvient malgré tout à modifier votre le mot de passe utilisateur, par exemple via la méthode décrite ci-dessus?
Lucieaus
[20/09/2011 10:49]
On parle des failles de sécurité de Microsoft, mais au moins chez eux elles ne sont pas accessibles au premier venu.
On parle des failles de sécurité de Microsoft, mais au moins chez eux elles ne sont pas accessibles au premier venu.
melaure
[20/09/2011 10:51]
Quand je pense à certains sur d'autres news qui térrorisaient ceux qui voulaient rester sur SL en leur affirmant que leur OS étaient devenu totalement non sécurisé du jour au lendemain après la sortie de Lion, et qu'on lit ce genre de grosse faiblesse sur Lion ... Ils auraient mieux fait de la fermer ! Et Lion n'est pas prêt de venir chez moi ;)
Il faut qu'Apple patch ça très vite en tout cas.
Quand je pense à certains sur d'autres news qui térrorisaient ceux qui voulaient rester sur SL en leur affirmant que leur OS étaient devenu totalement non sécurisé du jour au lendemain après la sortie de Lion, et qu'on lit ce genre de grosse faiblesse sur Lion ... Ils auraient mieux fait de la fermer ! Et Lion n'est pas prêt de venir chez moi ;)
Il faut qu'Apple patch ça très vite en tout cas.
mugu
[20/09/2011 10:52]
mais que fait apple?
mais que fait apple?
kiros
[20/09/2011 10:57]
via MacG Mobile
En même temps pour taper l'instruction dans terminal, il faut avoir accès a la machine et qu'une session soit ouverte, donc pas besoin de mot de passe pour avoir accès a tout.
En même temps pour taper l'instruction dans terminal, il faut avoir accès a la machine et qu'une session soit ouverte, donc pas besoin de mot de passe pour avoir accès a tout.
kiros
[20/09/2011 10:59]
via MacG Mobile
C'est comme dire, "une fois chez moi, mes verrous se ferme de l'intérieur a la main".
C'est comme dire, "une fois chez moi, mes verrous se ferme de l'intérieur a la main".
Aurélien-A
[20/09/2011 11:04]
Pour info l'ouverture de session automatique est désormais désactivée par défaut sous Lion.
Pour info l'ouverture de session automatique est désormais désactivée par défaut sous Lion.
orus
[20/09/2011 11:10]
Je ne partage pas du tout votre optimisme. Là c'est de de pire en pire. C'est carrément gravissime, inexcusable. La cerise sur le gâteau de bugs (berk!), Lion le boulet.
Une ligne de commande pour changer le mot de passe, nous tombons bien bas.
"En attendant qu’Apple rectifie le tir, il existe plusieurs manières de se prémunir :" Oui réinstaller Snow Leopard, c'est la meilleurs méthode.
Apple semble désormais plus préoccupé à nous sortir des gadgets iTruc qu'a nous sortir des produits finis pour le Mac. Inquiétant.
Je ne partage pas du tout votre optimisme. Là c'est de de pire en pire. C'est carrément gravissime, inexcusable. La cerise sur le gâteau de bugs (berk!), Lion le boulet.
Une ligne de commande pour changer le mot de passe, nous tombons bien bas.
"En attendant qu’Apple rectifie le tir, il existe plusieurs manières de se prémunir :" Oui réinstaller Snow Leopard, c'est la meilleurs méthode.
Apple semble désormais plus préoccupé à nous sortir des gadgets iTruc qu'a nous sortir des produits finis pour le Mac. Inquiétant.
jlb_
[20/09/2011 11:22]
Vous êtes allés un cran plus loin ? Je n'ai pas Lion mais dans SL on a le même phénomène. Quand on va un cran plus loin on a droit à :
Permission denied. Please enter user's old password:
@orus et d'autres: Evitez de commenter des choses que vous ne comprenez visiblement pas
Vous êtes allés un cran plus loin ? Je n'ai pas Lion mais dans SL on a le même phénomène. Quand on va un cran plus loin on a droit à :
Permission denied. Please enter user's old password:
@orus et d'autres: Evitez de commenter des choses que vous ne comprenez visiblement pas
philus
[20/09/2011 11:23]
Si vous me laissez un pc sous la main, je peux vous changer le mot de passe admin en moins de 1 minute. il suffit de le rebooter sur un cd ou une mémoire usb avec ce qu'il faut dessus.
C'est enfantin et ça n'a jamais choqué personne
Si vous me laissez un pc sous la main, je peux vous changer le mot de passe admin en moins de 1 minute. il suffit de le rebooter sur un cd ou une mémoire usb avec ce qu'il faut dessus.
C'est enfantin et ça n'a jamais choqué personne
XiliX
[20/09/2011 11:23]
D'un autre coté... si vous perdez le mot de passe de l'utilisateur, comment vous faites pour changer le mot de passe de l'utilisateur ? Soit en passant par cette ligne de commande, soit en passant par la récupération. Dans les deux cas il faut avoir accès à l'ordinateur.
C'est évident que la meilleure solution est d'empêcher l'accès à ces deux fonctionnement. Mais alors, comment réinitialiser le mot de passe de l'utilisateur en cas de perte de celui-ci ?
Biensur je parle ici le cas d'un utilisateur admin.
D'un autre coté... si vous perdez le mot de passe de l'utilisateur, comment vous faites pour changer le mot de passe de l'utilisateur ? Soit en passant par cette ligne de commande, soit en passant par la récupération. Dans les deux cas il faut avoir accès à l'ordinateur.
C'est évident que la meilleure solution est d'empêcher l'accès à ces deux fonctionnement. Mais alors, comment réinitialiser le mot de passe de l'utilisateur en cas de perte de celui-ci ?
Biensur je parle ici le cas d'un utilisateur admin.
alexzen
[20/09/2011 11:29]
via MacG Mobile
Euh ... Je dois être débile mais si le mec est devant la machine, pourquoi aurait il besoin de changer le mot de passe pour y accéder ?
La sécurité et la paranoïa sont par moment un peu trop liés a mon goût.
D'ailleurs que ce soit Microsoft ou Apple c'est exactement pareil.
Euh ... Je dois être débile mais si le mec est devant la machine, pourquoi aurait il besoin de changer le mot de passe pour y accéder ?
La sécurité et la paranoïa sont par moment un peu trop liés a mon goût.
D'ailleurs que ce soit Microsoft ou Apple c'est exactement pareil.
Lucieaus
[20/09/2011 11:32]
@alexzen
Si une autre personne est devant la machine, elle a juste à changer le mot de passe avec la manip pour ensuite pouvoir faire tout ce qu'elle veut dessus.
@alexzen
Si une autre personne est devant la machine, elle a juste à changer le mot de passe avec la manip pour ensuite pouvoir faire tout ce qu'elle veut dessus.
kagou
[20/09/2011 11:33]
En effet il faut au minimum qu'un tel utilitaire demande l'ancien mot de passe. Sinon, il ne doit être visible/accessible/et donc utilisable que par root, donc avec re-demande du mot de passe admin.
En effet il faut au minimum qu'un tel utilitaire demande l'ancien mot de passe. Sinon, il ne doit être visible/accessible/et donc utilisable que par root, donc avec re-demande du mot de passe admin.
sylko
[20/09/2011 11:34]
Oui, il y a pleins de méthodes ...et alors http://osxdaily.com/2011/08/24/reset-mac-os-x-10-7-lion-password
Pour celles et ceux qui perdent leur mot de passe, c'est bien pratique. Faut arrêter d'être paranos.
Oui, il y a pleins de méthodes ...et alors http://osxdaily.com/2011/08/24/reset-mac-os-x-10-7-lion-password
Pour celles et ceux qui perdent leur mot de passe, c'est bien pratique. Faut arrêter d'être paranos.
4
3
2
1
Réagir
Il n'est pas possible de réagir à cette dépêche. Si vous souhaitez toutefois réagir, n'hésitez pas à faire un tour dans nos forums.