87 replies to this topic

[Txon]

Tu expliques pourquoi puis tu dis que rien... OS X tout comme les Linux ont en protection leur système de droits utilisateurs. Mais (probablement à cause des mauvaises habitudes Windowsiennes) les utilisateurs cliquent sans savoir et beaucoup n'ont pas de mot de passe sur le session, il suffit donc que d'un "OK" quand les droits d'administrations sont demandés au User basique :-/

Quand j'écris "pas grand chose", je veux bien dire que rien ne sera vraiment efficace tant que l'utilisateur fera n'importe quoi et donnera des autorisations à toute demande.

Il est possible de renforcer la protection du système, surtout en mode hyperviseur (ring -1) ; voir la "news" de noisette à ce sujet et les réponses. Mais même de cette manière il demeurera forcément des failles.
Le système d'exploitation le plus sûr à ce niveau serait Qubes (open source, ICI en français). Il demeure trop confidentiel. J'aimerais que quelqu'un, anglophone de préférence, ait une machine suffisante pour le tester.

Sinon il semblerait que FlashBack rapporte $10 000 à son créateur par jour, et une 3ème malware exploite cette même faille... Joie fête et cotillons...

Si on compte 500.000 "bots", ça fait 2 cents par bot. Pas mal ! C'est comparable aux $ 450 par jour que générait le W32.Xpaj.B botnet avec seulement 25.000 PCs sous Windows l'année dernière.

@+

[EboO]

Lors du premier démarrage d'un mac il n'est pas demandé explicitement de créer un mot de passe pour le compte ? Si c'est la base de la sécurité il faudrait insister dessus. Sur windows je ne crois pas qu'il y ait les mêmes implications liées au mot de passe d'où sa négligence.

[noisette]

On en parle sur techno-science, qui ne nous apprend rien de neuf, si ce n'est que le grand public doit être désormais conscient de cette nouvelle donne.

http://www.techno-sc...news&news=10355


MS se frotte les mains.
(au lieu de se les laver)

[loumax]

Lors du premier démarrage d'un mac il n'est pas demandé explicitement de créer un mot de passe pour le compte ? Si c'est la base de la sécurité il faudrait insister dessus. Sur windows je ne crois pas qu'il y ait les mêmes implications liées au mot de passe d'où sa négligence.

Sur Windows à l'installation, il t'es aussi demandé de créer un mot de passe
Tout comme sur les sessions invités sous Windows, il faudra obligatoirement le mot de passe pour installer un logiciel ou faire des modifications sur le système

[Txon]

On en parle sur techno-science, qui ne nous apprend rien de neuf, si ce n'est que le grand public doit être désormais conscient de cette nouvelle donne.
http://www.techno-sc...news&news=10355

Hélas ! Quel pourcentage de macareux lit la presse informatique ?

Mais notez aussi qu'Apple peut encore s'améliorer: il leur a fallu des mois pour publier le correctif approprié - ce qui est long comparé au cycle mensuel de mise à jour de Microsoft.

Adrien oublie qu'il a fallu parfois des mois et des mois à Microsoft pour combler certaines failles de sécurité.

MS se frotte les mains.
(au lieu de se les laver)

@+

[Txon]

... et une 3ème malware exploite cette même faille...

Te réfères-tu à la version "S" de Flashback qui n'a plus besoin de l'approbation de l'utilisateur ?

"Intego a découvert une nouvelle variante du malware Flashback connu sous le nom des Flashback.S, qui continue d'utiliser une vulnérabilité de Java contre lequel Apple a été censé avoir publié un patch. La révélation choquante est qu'aucun mot de passe de l'utisateur est requis pour cette variante du maliciel. Il s'immisce dans les fichiers locaux du système, manipule les données et supprime son enregistrement à partir du cache afin de l'empêcher d'être détecté. Intego indique que le nombre de systèmes affectés par les Flashback.S se multiplie rapidement."
New Flashback Variant Continues Java Attack, Installs Without Password

@+

[EboO]

Lors du premier démarrage d'un mac il n'est pas demandé explicitement de créer un mot de passe pour le compte ? Si c'est la base de la sécurité il faudrait insister dessus. Sur windows je ne crois pas qu'il y ait les mêmes implications liées au mot de passe d'où sa négligence.

Sur Windows à l'installation, il t'es aussi demandé de créer un mot de passe
Tout comme sur les sessions invités sous Windows, il faudra obligatoirement le mot de passe pour installer un logiciel ou faire des modifications sur le système

C'est bien l'objet de ma surprise : si le mot de passe est mis en avant dans windows et connaissant l'apport de sécurité sur mac il faut le mettre encore plus en avant/

[CaseyN]

... et une 3ème malware exploite cette même faille...

Te réfères-tu à la version "S" de Flashback qui n'a plus besoin de l'approbation de l'utilisateur ?

"Intego a découvert une nouvelle variante du malware Flashback connu sous le nom des Flashback.S, qui continue d'utiliser une vulnérabilité de Java contre lequel Apple a été censé avoir publié un patch. La révélation choquante est qu'aucun mot de passe de l'utisateur est requis pour cette variante du maliciel. Il s'immisce dans les fichiers locaux du système, manipule les données et supprime son enregistrement à partir du cache afin de l'empêcher d'être détecté. Intego indique que le nombre de systèmes affectés par les Flashback.S se multiplie rapidement."
New Flashback Variant Continues Java Attack, Installs Without Password

@+

Non, de Sophos (si je ne me trompe pas sur le nom.)

Lors du premier démarrage d'un mac il n'est pas demandé explicitement de créer un mot de passe pour le compte ? Si c'est la base de la sécurité il faudrait insister dessus. Sur windows je ne crois pas qu'il y ait les mêmes implications liées au mot de passe d'où sa négligence.

Sur Windows à l'installation, il t'es aussi demandé de créer un mot de passe
Tout comme sur les sessions invités sous Windows, il faudra obligatoirement le mot de passe pour installer un logiciel ou faire des modifications sur le système

C'est bien l'objet de ma surprise : si le mot de passe est mis en avant dans windows et connaissant l'apport de sécurité sur mac il faut le mettre encore plus en avant/

Sur Mac on te propose de faire ta session, et tout comme sur Windows il est demandé login + mdp... Si la personne n'en mets pas alors il n'y en aura pas. Il me semble que c'est pareil sur Linux. (sauf pour le compte root, mais on parle bien ici d'un compte admin faisant parti des sudoers)

[EboO]

Ce mot de passe est demandé dans quelles circonstances ?
Il remplace les alertes UAC de windows ?

[Darksky]

Il me semble que sur Windows le mot de passe n'est pas obligatoire.
Lors de l'installation, il nous le propose et le recommande, mais on peut très bien s'en passer, il ne l'impose pas.

Ce qui abouti qu'on arrive sur une session administrateur sans mot de passe. Qui plus est, même avec un mot de passe, on abouti de toutes façons sur une session administrateur. Microsoft devrait déjà travailler sur ce point je pense pour améliorer sa sécurité.
J'avoue que personnellement, je travaille toujours sous une session admin. Oui je sais, c'est pas bien, c'est dangereux... Enfin après je comprend un peu le fonctionnement du truc, je clique pas sur tout, etc... bref, je ne me suis pas encore chopé un virus.

Mais si Microsoft imposait déjà le mot de passe pour le compte admin, et qu'il créait une session utilisateur plutôt qu'admin par défaut, ça pourrait déjà limiter la casse. Enfin, je crois...
Car c'est selon moi une grande "force sécuritaire" des environnements Linux et Mac. Après, si la nouvelle variante n'a plus besoin de cette élévation de privilèges pour s'installer là c'est une autre histoire...

[CaseyN]

Ce mot de passe est demandé dans quelles circonstances ?
Il remplace les alertes UAC de windows ?

Le mot de passe sous OS X est demandé lors des opérations sortant du domaine du simple utilisateur. Donc lors des accès système. Certaines Apps lors de leur install (les rares en suivant-suivant-terminé) en ont besoin pour s'installer au niveau du système (Flash par exemple pour aller dans les plugin pour tous les utilisateurs). JAVA pour se mettre aussi (ce qui explique pourquoi en passant par une faille de celui ci on peut atteindre l'OS... Alors qu'au début il fallait explicitement que le User s'en occupe).
Un point cependant s'il n'y a pas de mot de passe sur la machine : OS X affiche la demande de mot de passe, il suffit de faire OK en laissant vide pour que cela marche. Mais le système demande tout de même donc la sécurité n'est pas corrompue par manque de mdp.

[EboO]

Mais si Microsoft imposait déjà le mot de passe pour le compte admin, et qu'il créait une session utilisateur plutôt qu'admin par défaut, ça pourrait déjà limiter la casse. Enfin, je crois...
Car c'est selon moi une grande "force sécuritaire" des environnements Linux et Mac.

Je suis bien d'accord, j'insiste sur cette histoire de mot de passe pour bien saisir la différence entre les 2 situations, et de ce point de vue là windows rame un peu.
Finalement sur un mac si on demande le mot de passe alors qu'il n'y a pas de raison ça sent le sapin, idem si on surf et d'un coup une demande...
Et finalement sur le mac les applications ne sont pas ancrées trop profondément c'est ça ? Elles peuvent interagir avec le système mais guère le modifier, sans compter la sandbox. En gros j'ai l'impression que sur mac ou linux faut vraiment faire le gros boulet pour choper une connerie. Contrairement à windows où les bébêtes sont plus raffinées

[Txon]

... et une 3ème malware exploite cette même faille...

Te réfères-tu à la version "S" de Flashback qui n'a plus besoin de l'approbation de l'utilisateur ?

"Intego a découvert une nouvelle variante du malware Flashback connu sous le nom des Flashback.S, qui continue d'utiliser une vulnérabilité de Java contre lequel Apple a été censé avoir publié un patch. La révélation choquante est qu'aucun mot de passe de l'utisateur est requis pour cette variante du maliciel. Il s'immisce dans les fichiers locaux du système, manipule les données et supprime son enregistrement à partir du cache afin de l'empêcher d'être détecté. Intego indique que le nombre de systèmes affectés par les Flashback.S se multiplie rapidement."
New Flashback Variant Continues Java Attack, Installs Without Password

@+

Non, de Sophos (si je ne me trompe pas sur le nom.)

Alors il doit s'agir de Mal/20113544-A .... Mal/JavaCmC-A. Python-based malware attack targets Macs. Windows PCs also under fire.

D'un autre côté, Graham Cluley, de Sophos, note que 1 "mac" sur 5 serait porteur de maliciels conçus pour Windows et que un "mac" sur 36 (2,7%) serait infecté par un maliciel conçu pour Mac OS X.
2,7 % de tous les "mac", ça fait beaucoup de monde et il faut noter que certains ont été infectés via des clés USB et autres moyens comme de vulgaires PCs sous Windows. J'avoue que je résiste mal à la tentation de me marrer.

Mais si Microsoft imposait déjà le mot de passe pour le compte admin, et qu'il créait une session utilisateur plutôt qu'admin par défaut, ça pourrait déjà limiter la casse. Enfin, je crois...
Car c'est selon moi une grande "force sécuritaire" des environnements Linux et Mac. Après, si la nouvelle variante n'a plus besoin de cette élévation de privilèges pour s'installer là c'est une autre histoire...

Que je sache, sous Windows XP il était déjà possible et recommandé de se servir d'un compte utilisateur aux droits restreints.
Sous Windows "7" il existe trois niveaux de comptes :
.... ordinaire, administrateur de base à droits partiels,
.... utilisateur à droits restreints,
.... grand administrateur avec tous les droits.
Malheureusement, les usagers ne connaissent généralement que le premier et cliquent trop souvent sur n'importe quoi pour aller plus vite ou parce qu'ils n'ont rien compris. C'est cependant pour eux qu'un compte utilisateur restreint serait le plus nécessaire.

@+

[loumax]

Un compte d’administrateur est un compte d’utilisateur qui permet d’effectuer des modifications affectant d’autres utilisateurs. Les administrateurs peuvent modifier des paramètres de sécurité, installer des logiciels et des matériels, et accéder à tous les fichiers de l’ordinateur. Ils sont également habilités à modifier d’autres comptes d’utilisateurs.
Lorsque vous configurez Windows, vous êtes tenu de créer un compte d’utilisateur. Ce compte est un compte d’administrateur qui vous permet de configurer l’ordinateur et d’installer tous les programmes souhaités. Une fois l’ordinateur configuré, nous vous recommandons d’utiliser un compte d’utilisateur standard pour vos opérations quotidiennes. Pour maintenir la sécurité, il est préférable d’utiliser un compte d’utilisateur standard à la place d’un compte d’administrateur.

http://windows.microsoft.com/fr-FR/windows-vista/What-is-an-administrator-account

Mais si Microsoft imposait déjà le mot de passe pour le compte admin, et qu'il créait une session utilisateur plutôt qu'admin par défaut, ça pourrait déjà limiter la casse. Enfin, je crois...
Car c'est selon moi une grande "force sécuritaire" des environnements Linux et Mac.

C'est le "talon d'Achille" de Microsoft, ont-ils voulus à l'époque laisser ce libre choix pour privilégier les utilisateurs avertis ayant une bonne connaissance de l'os, mystère ... Ce qui à ses débuts était sans grande conséquence puisque les maliciels étaient quasiment inexistants, mais l’erreur est de maintenir cette pratique aujourd'hui, sachant que la grande majorité des utilisateurs sont des néophytes !

Contrairement à windows où les bébêtes sont plus raffinées

Avec le temps, elles deviendront aussi raffinées sous Mac que sous Windows

Malheureusement, les usagers ne connaissent généralement que le premier et cliquent trop souvent sur n'importe quoi pour aller plus vite ou parce qu'ils n'ont rien compris. C'est cependant pour eux qu'un compte utilisateur restreint serait le plus nécessaire.

@+

Le "syndrome du clic fou" ...

[EboO]

Sur Mac le mot de passe n'est pas contournable ? En gros pas de mot de passe pas d'ennuis ?
Pourquoi ne pas faire la même chose sur windows ? 1ère session : création d'un mot de passe admin pour passer d'un compte utilisateur à un compte admin. Si le mot de passe n'est pas créé pas de démarrage et puis voilà. Taper un mot de passe dans les situations critiques c'est plus chiant qu'un clic mais justement parce que c'est chiant ça peut faire réfléchir.
Ou alors une autre solution : vu que les "cons ça ose tout" on laisse les cons se débrouiller
J'ai hâte (façon de parler) de voir ce que vont donner las antivirus multi-plateformes...

[vigen]

Renseignements techniques on ne peux plus complet sur ce phénomène:

http://news.drweb.fr...=636&lng=fr&c=5

On pourras quand meme apprécier a sa juste valeur, la quantité et précision des explications.

Ce message a été modifié par vigen - 03 mai 2012 - 21:43 .

[CaseyN]

Si tu ne mets pas de mot de passe tu as quand même la demande du mot de passe qu'il suffira de laisser vide et de cliquer sur OK. Mais les logiciels ne pourront clicker à ta place ;-)

[EboO]

Dr Web sent le filon

Cette protection par mot de passe a-t-elle déjà été contournée par un malware ou un expert en sécurité ? Si non tant mieux ça devrait le faire, si oui on va avoir aux mêmes drive-by que sur windows.

[CaseyN]

Pas à ma connaissance.

[Txon]

ette protection par mot de passe a-t-elle déjà été contournée par un malware ou un expert en sécurité ? Si non tant mieux ça devrait le faire, si oui on va avoir aux mêmes drive-by que sur windows.

Pour ce qui est de contourner le mot de passe, c'est fait pour Mac OS X ...

"Intego a découvert une nouvelle variante du malware Flashback connu sous le nom des Flashback.S, qui continue d'utiliser une vulnérabilité de Java contre lequel Apple a été censé avoir publié un patch. La révélation choquante est qu'aucun mot de passe de l'utisateur est requis pour cette variante du maliciel. Il s'immisce dans les fichiers locaux du système, manipule les données et supprime son enregistrement à partir du cache afin de l'empêcher d'être détecté. Intego indique que le nombre de systèmes affectés par les Flashback.S se multiplie rapidement."
New Flashback Variant Continues Java Attack, Installs Without Password

Pour Windows, depuis assez longtemps (en fait depuis le fameux "BluePill" de Joanna Rutkowska).

@+

[EboO]

C'est contourné ou pas ?

[Txon]

C'est contourné ou pas ?

La couleur rouge te dérange-t-elle ? Ma traduction du texte publié par Intego n'est-elle pas assez claire ?
Préfères-tu de l'anglais ? Une couleur turquoise peut-être ?

Flashback.S never asks the victim to enter an administrative password for installation ...

Unlike the original Flashback strain, Flashback.S can install itself without requesting users to enter an administrator password. Flashback.S can install automatically when users visit compromised websites, if Java is enabled in the web browser, and OS X is using an older version of Java that contains the known Java security flaw.

Petite note amusante : depuis la sortie de Flashback S, le botnet de "macs" serait passé à plus de 800.000 zombies.
Des progrès mais peut encore mieux faire !

@+

[EboO]

Délicate attention

Ce qui me dérange c'est la divergence de discours entre vous 2, tu cites tes sources tu as raison. Ma question doit être tournée différemment (je pense que vous ne l'avez pas interprétée de la même manière) : si on exclu cette horreur de java et que l'on prend le système de base le mot de passe peut-il être contourné ?
Vu que java est implanté profondément ça ne me surprend pas vraiment qu'une nouvelle variante soit disponible et qui contourne cette difficulté. Mais il est clair que si java disparaissait des ordinateurs ça ne serait pas un mal.

[Txon]

Java en version non "patchée" ne permet que de passer de l'extérieur dans le hall d'entrée. Le système d'alarme, c'est à dire la demande de mot de passe qui ne fait absolument pas partie de Java sans lequel elle fonctionne théoriquement très bien, est alors évité par un Flaskbak S qui rase le mur. Je ne vois pas comment Java aurait quelque chose à voir avec ce "contournement" d'un module qu'il ne contrôle pas.
Il semblerait par contre que les "macs" ayant un Java corrigé et un OS X à jour ne laissent plus passer Flashback ....

@+

[loumax]

Des progrès mais peut encore mieux faire !

Ça va viendre n'en doutons pas

si on exclu cette horreur de java et que l'on prend le système de base le mot de passe peut-il être contourné ?

Si ce n'est déjà fait, ça ne saurait tarder.
Dis toi que ceux qui ont réussi à infecter le MBR d'un Seven X64 ou créer un virus bios, arriveront à faire de même sur les Macs si "le jeu en vaut la chandelle", tout est une histoire d'argent : le temps où les virus étaient créés par des étudiants boutonneux pour s'amuser est révolu, c'est devenu un bizness qui brasse des sommes colossales.
Or je pense, que ceux qui ont ouvert cette "boite de pandore" en même temps que ce botnet, peuvent avoir suscité l'intérêt de certains malfaisants sur les Macs (l’appât du gain), et il serait alors possible que les infections se multiplies rapidement.

La rançon de la gloire, en quelque sorte

[Txon]

Des progrès mais peut encore mieux faire !

Ça va viendre n'en doutons pas

Le pire c'est que maintenant le "patchguard" de Mac OS X semble bien contourné. Pour peu que d'autres black hat hackers prennent connaissance de la technique et il ne restera plus qu'à trouver d'autres portes d'entrée.

... créer un virus bios,

Ceux qui sont cités dans le site dont tu fournis le lien ne sont pas les "inventeurs" du "bioskit". A priori ce serait John Heasmann deux ou trois ans plus tôt à la suite d'hypothèses émises par Greg Hoglund dès 2004 (voir -> ICI).

@+

[EboO]

Ça promet tout ça -_-

[Txon]

Une analyse mise à jour par Symantec et publié mercredi dernier , révèle qu'au cours d'une période de trois semaines, en avril, le botnet a affiché plus de 10 millions de publicités sur des « mac » compromis. Un « clic » aurait été fait sur environ 400.000 de ces annonces ce qui aurait rapporté $ 14,000 aux attaquants s'ils avaient pu les toucher.
"Il est estimé que le composant actuel « ad-clicking » a été seulement installé dans environ 10.000 « mac » sur plus de 600,000 machines infectées. Autrement dit, utilisant moins de 2 pour cent de botnet entier les attaquants ont pu produire $ 14,000 en trois semaines, signifiant que si les attaquants avaient pu utiliser botnet entier, ils auraient pu potentiellement avoir gagné des millions de dollars en une année."

@+