La dernière mise à jour de Mac OS X, la 10.7.3, a créé une jolie faille de sécurité. Elle concerne les utilisateurs de FileVault, la fonction de chiffrement des données intégrée à Mac OS. Plus spécifiquement, la faille ne concerne que FileVault des anciennes versions de Mac OS X (avant 10.7). Explications.
Un journal indiscret
FileVault, avant Mac OS X 10.7 Lion, chiffrait uniquement le répertoire personnel d'un utilisateur, pas les répertoires systèmes. Lion inclut une nouvelle version de FileVault, FileVault 2, qui chiffre à la fois les données des utilisateurs et les données du système. Dans Mac OS 10.7.3, quelqu'un a, sans doute par inadvertance, activé l'enregistrement du mot de passe des sessions FileVault dans un fichier stocké en clair dans les répertoires systèmes. N'importe qui ayant un accès administrateur ou root peut lire ce fichier et donc connaître les clés de chiffrement des autres utilisateurs de la machine. Pire, sans accès administrateur à la machine, il suffit de démarrer le mac en mode disque cible ou sur la partition de restauration intégrée à Lion. Un changement de mot de passe ne modifie rien puisque le nouveau sera aussi enregistré.
Have you tried turning it off and on again ?
Le problème est donc grave, mais d'une portée limitée. Ne sont concernées que les personnes i) ayant mis à jour vers 10.7.3 et ii) utilisant FileVault 1, issu d'une précédente version de Mac OS. Il y a heureusement de bonnes chances qu'un utilisateur de FileVault depuis de longues années ait préféré migrer vers FileVault 2, plus sécurisé et plus stable. Il y a également une bonne partie des utilisateurs qui sont demeurés à Mac OS X 10.4, .5 ou .6.
Si vous êtes concernés, que faire ? En attendant un correctif venant d'Apple (peut-être dans 10.7.4), il suffit de désactiver puis réactiver FileVault : le chiffrement passera alors automatiquement en FileVault 2. N'oubliez pas non plus de choisir un mot de passe différent, l'ancien étant toujours quelque part sur votre disque ou dans vos sauvegardes.
L'art de faire des quote...
Oui enfin à partir du moment où tous les concernés peuvent passer sous FV2 (et je vois pas pourquoi ils resteraient scotchés à la version précédente !), tout ça est plutôt bénin.
Et c'est une simple erreur d'inattention, corrigible aisément, pas une mauvaise conception du système. iOS reste ainsi loin devant Android en matière de sécurité:
http://www.pcinpact.com/news/70180-trend-micro-etude-securite-os-mobiles.htm
Et c'est une simple erreur d'inattention, corrigible aisément, pas une mauvaise conception du système. iOS reste ainsi loin devant Android en matière de sécurité:
http://www.pcinpact.com/news/70180-trend-micro-etude-securite-os-mobiles.htm
On s'en FOUT complètement de votre guerre des OS. Vous espérez convaincre quelqu'un avec ça?