MacLockPick : un défaut de sécurité de Mac OS X ?

Je viens de tomber sur ceci : Un logiciel qui met le Mac à nu ! .

Évidemment, dans la niouze sensationnelle (sensationnaliste ?), ça se pose là. Et évidemment, on peut se demander comment un tel logiciel peut faire pour récuperer de telles informations, sans même qu’on s’en rende compte.

La réponse est simple : il s’appuie sur la fainéantise des utilisateurs.

Et avant qu’on me saute dessus violemment pour m’étriper, je vais expliquer un peu :-)

Le logiciel en question s’appuie sur une fonction très puissante de Mac OS X intitulée le trousseau d’accès. Les plus anciens d’entre vous se souviendront que j’avais pondu un dossier à ce sujet il y a déjà quelques années de ça. Une phrase-clé (normal pour un trousseau :-) ) de ce dossier était : « quand mon trousseau est ouvert à l’aide de son mot de passe, toutes les clefs disponibles sont accessibles sans condition supplémentaire. »

Pourquoi Apple a-t-elle implémenté le trousseau dans son système ? Pour ne plus avoir à se souvenir de tous les mots de passe, ou plutôt, pour ne plus avoir à les retaper systématiquement. Il est vrai que dans notre monde de plus en plus sécurisé, les mots de passe sont légions. Mon trousseau contient environ 900 mots de passe, et je ne suis pas sûr de me souvenir de tous.

Maintenant, le problème, c’est que par défaut, le trousseau est ouvert dès l’ouverture de session. Ce problème est exacerbé par le fait que la session du premier utilisateur créé est ouverte automatiquement sous Mac OS X (pas sous Mac OS X Server).

Pourquoi cela ? Parce que le but de Mac OS X est de rester simple et non rebutant pour la majorité des utilisateurs. Et en cela, la notion de trousseau est complexe pour les utilisateurs débutants, mais utile, car transparente. Peut-être trop d’ailleurs, j’y reviens plus loin.

Le trousseau est cependant un outil indispensable pour le Power User, qui a effectivement besoin d’accéder rapidement à ses données. Mais le Power User a aussi plus le sens de la sécurité informatique, car il travaille souvent avec des données sensibles. Il a alors pensé à améliorer la sécurité du trousseau à l’aide des méthodes suivantes :

– Il a créé plusieurs trousseaux pour scinder les informations entre les pas trop confidentielles, les Top Secret et les Secret Défense ;
– Il a configuré les réglages du trousseau pour qu’il soit verrouillé automatiquement au bout de xxx minutes, xxx étant relativement court (moins de 15 minutes), ou encore lors de la mise en veille ;
– Il a également mis sur son trousseau par défaut un mot de passe différent du mot de passe d’ouverture de session, pour éviter que le trousseau soit directement accessible quand on ouvre sa session ;
– Il n’a pas mis les mots de passe de ses images-disques sécurisées dans le trousseau, parce que faut pas exagérer quand même ;
– Et évidemment, son mot de passe de trousseau est plus proche de « XvH3kr4TpuYba?!2b » que de « toto ».

Donc, non, pas de faille de sécurité ici. MacLockPick, c’est bien indiqué, tire parti du fait que le trousseau reste ouvert même en sortie de veille par défaut : « MacLockPick takes advantage of the fact that the default state of the Apple Keychain is open, even if the system has been put to sleep. »

Il suffit donc de ne pas respecter les réglages par défaut pour contourner la pseudo-puissance de ce logiciel. Du coup, évidemment, ça demande à être un peu moins feignant. Mais la sécurité a toujours un prix : cette fois-ci, c’est celui d’un peu moins de fainéantise, pour un peu plus de vigilance.

14 réflexions sur « MacLockPick : un défaut de sécurité de Mac OS X ? »

  1. Il reste cependant quelques questions… Comment ce soft récupère-t-il le mot de passe de l’utilisateur ? En effet, celui-ci est mentionné dans la liste des informations fournies, et de plus il est nécessaire* pour pouvoir extraire les mots de passe du Trousseau, même quand celui-ci est ouvert.

    Autre question, il prétend récupérer les clés Wifi, or celles-ci sont stokée dans le Trousseau du système, dont la clé n’est pas récupérable à priori.

    * en fait, c’est le mot de passe du Trousseau, mais le soft ne semble fonctionner que si les deux sont identiques

  2. Il n’est pas mentionné qu’il récupère le mot de passe de login, mais plutôt le mot de passe du trousseau par défaut. En tout cas, ça apparait dans la section « Keychains », et je suppose qu’ils s’appuient sur le fait que le login de l’utilisateur est le même que celui du trousseau. Mais si on les rend différents l’un de l’autre, il n’y a plus d’accès simple au trousseau. C’est du moins comme ça que je le comprends.

    Ensuite, reste un point important : un éditeur de logiciels ne peut pas se permettre de vendre son produit en s’appuyant sur une pseudo-faille de sécurité. Car si Apple venait à fermer cette porte, comment feront-ils pour vendre leur produit ?

    Par conséquent, il n’y a pas de faille de sécurité à boucher par Apple. C’est plus du « social engineering » qu’autre chose.

    Reste que le produit est évidemment intrigant, mais qu’il ne mérite pas d’être considéré comme représentant une faille de sécurité.

  3. > Il n’est pas mentionné qu’il récupère le mot de passe de login,
    > mais plutôt le mot de passe du trousseau par défaut

    La question reste : comment ? En principe, ce mot de passe n’est pas sensé être récupérable.

  4. GG, tu oublies une feature du trousseau, les ACLs, on peut déterminer quelle appli peut accéder à une information même quand le trousseau est déverrouillé. De même, le mot de passe peut être demandé à chaque autorisation donnée.

    Malheureusement c’est un réglage à faire pour chaque entrée.

  5. Mais heureusement, le réglage par défaut des ACLs est de n’autoriser que l’application par laquelle le mot de passe est utilisé.

    En conséquence il est impossible pour MacLockPick d’accéder aux mots de passe du trousseau même si celui-ci est déverrouillé. Peut-être qu’ils ont trouvé une faille dans le système d’identification de code d’Apple et que MacLockPick arrive à se faire passer pour Safari afin de récupérer les mots de passes de Safari etc.

    Mais l’hypothèse la plus probable me semble être l’envie d’un bon coup de pub chez SubRosaSoft. D’ailleurs cela a plutôt bien fonctionné!

  6. On boot sur le CD, on change le mot de passe du user, on redémarre, on va dans le compte du User, on change le mot de passe, et tada!!! « Le mot de passe du trousseau sera remplacé par celui de l’utilisateur ». Même sans le soft j’y arrive!!!
    Pour les clés Wifi, il faut aller tant le pannel « Réseau ». Dans l’onglet Airport, tu fais « par défaut, se connecter : Aux réseaux préférés ». Dans la liste, tu choisi un réseau, « modifier » et ypuka cliquer sur afficher le mot de passe. C’est de l’hexa, mais loin d’être insurmontable.
    J’ai gangé les 10 000$?

  7. @ El Doctor

    Tu oublies les gens qui utilisent FileVault (si tu utilises le cd, les documents filevaults sont irrécupérable, soit tout le Home folder de l’user…)
    Par ailleurs, pas toutes les clés wifi sont accessible via ta manipulation : seules celles pour lesquelles on a coché la case « Rendre visible » ou quelque chose comme ça lorsqu’on a rentré le mot de passe le sont.

    Donc je rejoins ps : comment fait il pour trouver les clé wifi qui sont stockées en trousseau système, qui n’est ouvrable ni par un user, ni par un admin… (à moins qu’il soit possible de l’ouvrir en root, en supposant alors que l’utilisateur est loggué en admin et que les mots de passe root et admin sont les mêmes)…

    En clair, ce soft repose quand même sur beaucoup de suppositions…

  8. Salut GG
    est ce que lorsqu’on à activé la demande de mot de passe en sortie de veille, le trousseau est vérouillé ?
    Merci pour ta réponse, et oui, Lionel est un peu dans la « scandalisation » quelques fois, mais on aime ce qu’il fait ! ;)

  9. ElDoctor> « On boot sur le CD, on change le mot de passe du user, on redémarre, on va dans le compte du User, on change le mot de passe, et tada!!! “Le mot de passe du trousseau sera remplacé par celui de l’utilisateur”. Même sans le soft j’y arrive!!! »

    Ouaip. Sauf que si tu vas dans l’appli Trousseau d’accès, ben ton trousseau est bien verrouillé, et ne s’ouvrira qu’avec le mot de passe original de l’utilisateur. Le message d’alerte est inexact : il te dit qu’il sera modifié, mais il ne le fera réellement que si les mots de passe d’utilisateur et de trousseau étaient concordants à l’origine.

    On essaye encore ? :-)

    Pour le mot de passe original, je pense qu’il doit effectivement cracker le mot de passer d’ouverture de session (NetInfo & co ne sont pas les solutions les plus sécurisées du monde). En tout cas, il ne peut pas s’appuyer sur le mot de passe du trousseau : il ne peut pas utiliser le mot de passe de ce dernier pour identifier le mot de passe de la session, c’est donc forcément le cas inverse.

    Mais je le répète : le mot de passe du trousseau n’est identique que dans les réglages par défaut. Il suffit de changer ces derniers pour être protégés.

    Capripot : Non, il faut quand même s’assurer que la case « Verrouiller pendant la suspension d’activité » est cochée dans les réglages de chaque trousseau, toujours dans l’application Trousseau d’accès. Et comme Lolo l’a fait remarquer, on peut aussi jouer avec les ACL pour s’en sortir.

  10. GG > Ouaip. Sauf que si tu vas dans l’appli Trousseau d’accès, ben ton trousseau est bien verrouillé, et ne s’ouvrira qu’avec le mot de passe original de l’utilisateur. Le message d’alerte est inexact : il te dit qu’il sera modifié, mais il ne le fera réellement que si les mots de passe d’utilisateur et de trousseau étaient concordants à l’origine.

    Dans ce dernier cas (ou les mdp session et trousseau sont identiques), je vois bien comment il remplace le mdp de session, il suffit de l’écraser dans NetInfo. Par contre, pour le trousseau, il faudrait logiquement commencer par décrypter le contenu ce qui requiert le mot de passe d’origine… Le système stocke-t-il le mdp de session de façon à ce qu’il puisse le retrouver, en plus du hash dans NetInfo ?

    Question liée : comment s’effectue le login si on active l’ouverture automatique de session ? Le mdp est-il rendu accessible au système, qui procède donc à un login standard en fournissant le mdp, ou est-ce que le système court-circuite la procédure de login usuelle et parvient donc à se connecter sans le mpd.

  11. PS : ce n’est pas pour rien qu’on te demande de taper ton ancien mot de passe avant d’en mettre un nouveau ;-)

    Pour la question liée, eh, c’est ma foi une bonne question, à étudier.

  12. > ce n’est pas pour rien qu’on te demande de taper ton ancien mot de passe avant d’en mettre un nouveau

    Oui, mais j’avais cru comprendre que quand on effectue le changement de mot de passe via l’utilitaire prévu en démarrant sur le DVD, et que le mot de passe de session et du trousseau était identique, dans ce cas les deux sont modifiés.

  13. pour ma part je ne sais pas ce qui s est passé, hier j’ai du toucher a certains trucs et toutes les informations que je disposais ont disparu, musiques fichier dos mailing,…. Est ce que vous croyez que elles pourraient se trouver dans MAC OS( dans ce fameux trousseau)… je ne pense pas avoir donner ordre a supprimer tout mon disc dur..

    en ce qui concerne le trousseau il me demande a chaque fois un mot de passe qui m ‘est inconnu car je n’en ai jamais créé.. quel serait le mot de passe trousseau par défaut? et comment trouver ce mot de passe. j’ai essayé mot de passe d utilisateur mais rien n y fait. merci de m ‘aider

  14. Hier j’ai changé mon nom d utilisateur sur mon mac et en le rallumant je me suis apercu que j’avais perdu toutes mes données. itunes plus aucunes musiques, word vide excell vide bref tout est vide comme ci je venais de l acheter comment puis-je faire pour les retrouver?

    merci de m aider

Les commentaires sont fermés.