Archive for 30 avril 2007

MacLockPick : un défaut de sécurité de Mac OS X ?

Je viens de tomber sur ceci : Un logiciel qui met le Mac à nu ! .

Évidemment, dans la niouze sensationnelle (sensationnaliste ?), ça se pose là. Et évidemment, on peut se demander comment un tel logiciel peut faire pour récuperer de telles informations, sans même qu’on s’en rende compte.

La réponse est simple : il s’appuie sur la fainéantise des utilisateurs.

Et avant qu’on me saute dessus violemment pour m’étriper, je vais expliquer un peu :-)

Le logiciel en question s’appuie sur une fonction très puissante de Mac OS X intitulée le trousseau d’accès. Les plus anciens d’entre vous se souviendront que j’avais pondu un dossier à ce sujet il y a déjà quelques années de ça. Une phrase-clé (normal pour un trousseau :-) ) de ce dossier était : « quand mon trousseau est ouvert à l’aide de son mot de passe, toutes les clefs disponibles sont accessibles sans condition supplémentaire. »

Pourquoi Apple a-t-elle implémenté le trousseau dans son système ? Pour ne plus avoir à se souvenir de tous les mots de passe, ou plutôt, pour ne plus avoir à les retaper systématiquement. Il est vrai que dans notre monde de plus en plus sécurisé, les mots de passe sont légions. Mon trousseau contient environ 900 mots de passe, et je ne suis pas sûr de me souvenir de tous.

Maintenant, le problème, c’est que par défaut, le trousseau est ouvert dès l’ouverture de session. Ce problème est exacerbé par le fait que la session du premier utilisateur créé est ouverte automatiquement sous Mac OS X (pas sous Mac OS X Server).

Pourquoi cela ? Parce que le but de Mac OS X est de rester simple et non rebutant pour la majorité des utilisateurs. Et en cela, la notion de trousseau est complexe pour les utilisateurs débutants, mais utile, car transparente. Peut-être trop d’ailleurs, j’y reviens plus loin.

Le trousseau est cependant un outil indispensable pour le Power User, qui a effectivement besoin d’accéder rapidement à ses données. Mais le Power User a aussi plus le sens de la sécurité informatique, car il travaille souvent avec des données sensibles. Il a alors pensé à améliorer la sécurité du trousseau à l’aide des méthodes suivantes :

– Il a créé plusieurs trousseaux pour scinder les informations entre les pas trop confidentielles, les Top Secret et les Secret Défense ;
– Il a configuré les réglages du trousseau pour qu’il soit verrouillé automatiquement au bout de xxx minutes, xxx étant relativement court (moins de 15 minutes), ou encore lors de la mise en veille ;
– Il a également mis sur son trousseau par défaut un mot de passe différent du mot de passe d’ouverture de session, pour éviter que le trousseau soit directement accessible quand on ouvre sa session ;
– Il n’a pas mis les mots de passe de ses images-disques sécurisées dans le trousseau, parce que faut pas exagérer quand même ;
– Et évidemment, son mot de passe de trousseau est plus proche de « XvH3kr4TpuYba?!2b » que de « toto ».

Donc, non, pas de faille de sécurité ici. MacLockPick, c’est bien indiqué, tire parti du fait que le trousseau reste ouvert même en sortie de veille par défaut : « MacLockPick takes advantage of the fact that the default state of the Apple Keychain is open, even if the system has been put to sleep. »

Il suffit donc de ne pas respecter les réglages par défaut pour contourner la pseudo-puissance de ce logiciel. Du coup, évidemment, ça demande à être un peu moins feignant. Mais la sécurité a toujours un prix : cette fois-ci, c’est celui d’un peu moins de fainéantise, pour un peu plus de vigilance.

Security Update 2007-004, Mac OS X Server et FTP cassé

La dernière mise à jour de sécurité 2007-004 a une tendance systèmatique à « faire sauter » le service FTP. En clair : plus aucun point de partage ne fonctionne correctement, et les changements de réglages ne donnent rien avec Server Admin. Pire encore : les utilisateurs connectés risquent de se retrouver à la racine du système !

Explication : cette mise à jour remplace le fichier ftpd.plist situé dans /System/Library/LaunchDaemons sur Mac OS X server avec la version du même fichier pour Mac OS X Client. Et du coup, ce n’est plus xftpd mais ftpd qui est lancé à la place.

Solution : remplacez le fichier ftp.plist par une copie de sauvegarde du fichier d’un serveur, ou remplacez son contenu avec le code que j’indique dans cette page (désolé, mais il semble que WordPress ait du mal à afficher proprement mon code XML).

Relancez le serveur (relancer le service FTP ne suffit pas), et vous êtes paré.

Google, c’est vraiment n’importe quoi

Comment aller de Paris à New York.

Voir surtout le point 20…

(Merci à Lolo)

Google, c’est vraiment n’importe quoi

Comment aller de Paris à New York.

Voir surtout le point 20…

(Merci à Lolo)

Trophée Findus : et qui c’est qui gagne, encore une fois ?

Dans le monde de la CMF, il y a normalement une tradition : celle des trophées Findus, que je distribue pour attribuer les meilleurs poissons d’avril (voir les trophées des années 2005 et 2006, et oui, pour 2006, j’étais vainqueur par abandon). Malheureusement, d’année en année, le nombre de prétendants a fortement diminué, ce qui fait qu’au final, on ne trouve plus grand chose pour nous contenter, qu’on est triste et qu’on se met à se dire que Windows XP c’est pas si moche que ça (bon, quand même pas).

Heureusement, Mac4ever est toujours là pour nous faire rire (et pas que), et nous a donc proposé le sublime Sk-iBlog d’iPapy, avec des photos des Steve (Jobs & Woz), que je me demande où qu’ils ont pu les piocher tellement elles sont hallucinantes. Bref, on les kif’ grave, et on j’leur file le Trophée Findus pour 2007, bravo à eux !

Poisson 2007

(NB : le résultat pour 2007 étant le même que pour 2005, j’ai remis la même image, j’ai aussi le droit d’être une feignasse)

À l’annonce de ce résultat, l’équipe de Mac4ever a déclaré « Woah trop cool, merci GG, décidément t’es un dieu, on t’adore, tiens, allez, un autocollant MacBidouille rien que pour toi, ça nous fait plaisir ! ». Ce à quoi j’ai répondu : « Grouik, si tu m’touches avec ça, je te jure que je te force à avaler 10 kg de chocolat suisse orange en provenance directe de MacGé ». Ergo a préféré faire le dos rond (jaune), alors que Denis se cachait sous son clavier pour faire semblant de coder en PHP alors que tout le monde sait qu’il préfère programmer en VB Script). C’est alors que François Cunéo a surgi avec un nouvel appareil photo Cakon (fusion de Canon et Nikon, vu qu’il le change chaque semaine, à force je sais plus) et un test d’un nouveau développeur de fichiers RAW (intitulé Apé-RAW).

Bref, c’est dans cette scène digne des meilleurs épisodes de Groland que Grouik a réussi à s’échapper en utilisant Ergo comme bouclier humain, et en attaquant avec des DVD de Windows Vista©™®Ltd et des CD AOL, tout en jurant qu’un jour, ils auraient la peau d’iPapy et de Phil Schiller. Les pauv’.

Sinon, hors concours car pas dans le monde Mac, mais très drôle quand même, un drôle de calendrier

Trophée Findus : et qui c’est qui gagne, encore une fois ?

Dans le monde de la CMF, il y a normalement une tradition : celle des trophées Findus, que je distribue pour attribuer les meilleurs poissons d’avril (voir les trophées des années 2005 et 2006, et oui, pour 2006, j’étais vainqueur par abandon). Malheureusement, d’année en année, le nombre de prétendants a fortement diminué, ce qui fait qu’au final, on ne trouve plus grand chose pour nous contenter, qu’on est triste et qu’on se met à se dire que Windows XP c’est pas si moche que ça (bon, quand même pas).

Heureusement, Mac4ever est toujours là pour nous faire rire (et pas que), et nous a donc proposé le sublime Sk-iBlog d’iPapy, avec des photos des Steve (Jobs & Woz), que je me demande où qu’ils ont pu les piocher tellement elles sont hallucinantes. Bref, on les kif’ grave, et on j’leur file le Trophée Findus pour 2007, bravo à eux !

Poisson 2007

(NB : le résultat pour 2007 étant le même que pour 2005, j’ai remis la même image, j’ai aussi le droit d’être une feignasse)

À l’annonce de ce résultat, l’équipe de Mac4ever a déclaré « Woah trop cool, merci GG, décidément t’es un dieu, on t’adore, tiens, allez, un autocollant MacBidouille rien que pour toi, ça nous fait plaisir ! ». Ce à quoi j’ai répondu : « Grouik, si tu m’touches avec ça, je te jure que je te force à avaler 10 kg de chocolat suisse orange en provenance directe de MacGé ». Ergo a préféré faire le dos rond (jaune), alors que Denis se cachait sous son clavier pour faire semblant de coder en PHP alors que tout le monde sait qu’il préfère programmer en VB Script). C’est alors que François Cunéo a surgi avec un nouvel appareil photo Cakon (fusion de Canon et Nikon, vu qu’il le change chaque semaine, à force je sais plus) et un test d’un nouveau développeur de fichiers RAW (intitulé Apé-RAW).

Bref, c’est dans cette scène digne des meilleurs épisodes de Groland que Grouik a réussi à s’échapper en utilisant Ergo comme bouclier humain, et en attaquant avec des DVD de Windows Vista©™®Ltd et des CD AOL, tout en jurant qu’un jour, ils auraient la peau d’iPapy et de Phil Schiller. Les pauv’.

Sinon, hors concours car pas dans le monde Mac, mais très drôle quand même, un drôle de calendrier

Les majors ont deux nouvelles cibles à abattre

Après une certaine annonce, certaines têtes sont mises à prix…

(Faut que j’arrête de faire dans le Kernel Panic moi)