S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Un nouveau concours de piratage de MacOS X

Viens te battre si t'es une pomme !

L’article publié hier parlant du piratage d’un Mac Mini en moins de trente minutes a provoqué un grand nombre de réactions. Nous avions alors nuancé la situation en précisant qu’un acte isolé ne prouvait rien en soi, et que certains détails étaient nécessaires.

Ces fameux détails, nous les avons désormais : ils permettent de mieux cerner le déroulement du concours et plus précisément de la technique utilisée par le gagnant. Ce dernier a bel et bien utilisé une faille à un moment précis, mais il ne s’agissait pas réellement d’une faille permettant un accès direct et distant de la machine ciblée. Le vainqueur du concours, Gwerdna, indiquait à ZDnet Australie que la machine aurait pu être mieux protégée, sans donner vraiment plus de précisions.

Ce manque de sécurité résulte en fait de l’activation du SSH (Secure Shell) et d’une faille locale. SSH est un outil permettant de se connecter à des machines en réseau au travers de lignes de commandes. Gwerdna s’est servi de cet outil pour créer sur le Mac Mini une base de données LDAP et une interface web associée permettant de créer des comptes utilisateurs. Normalement, ces comptes sont limités et ne peuvent ni modifier ni supprimer des fichiers. L'intéressé s’est alors servi d’une faille pour élever les privilèges d’un compte, lui permettant alors de modifier la page web qui servait de preuve du piratage.

Bien que le gagnant ait effectivement utilisé une faille non corrigée de MacOS X, celle-ci n’aurait jamais pu être utilisée si le SSH n’avait pas activé. Il faut noter à ce propos, qu’il n’est pas activé par défaut . Afin de remettre les « choses dans l’ordre » et rétablir semble-t-il un fond de vérité, un autre concours a été organisé, cette fois par l’Université du Wisconsin.

Ce nouveau concours a commencé hier et se terminera vendredi. Ses créateurs espèrent rendre justice à la plateforme d’Apple. Ils précisent qu’il s’agit cette fois de devoir pirater une machine depuis l’extérieur, alors que la méthode utilisée par Gwerdna est considérée comme une attaque de l’intérieur. La machine est également un Mac Mini et la page web à modifier se trouve ici :
Les auteur de ce concours précisent qu’il s’agit d’un test communautaire et académique : aucun prix n’est à gagner, si ce n’est la reconnaissance. Ils ne considèrent pas MacOS X comme inviolable, mais souhaitent simplement rétablir l’équilibre.

PS : Merci à Hakime pour les précisions ;)
Publiée le 07/03/2006 à 15:20

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;