Yosemite, ainsi que plusieurs versions précédentes du système d’exploitation d’Apple, est affecté par une faille permettant une élévation des privilèges par escalade. Le découvreur de la brèche a fait part de sa trouvaille il y a plusieurs semaines, mais il faudra attendre janvier prochain pour un correctif.
La faille touche au minimum Yosemite, Mavericks et Mountain Lion
Emil Kvarnhammar, chercheur en sécurité chez Truesec, a indiqué il y a un peu plus de deux semaines avoir découvert une importante faille de sécurité au sein de Yosemite. Exploitée, elle permettrait à un pirate d’obtenir les droits « root » sur la machine via une escalade des privilèges. Le Suédois a d’ailleurs publié une vidéo pour montrer que l’exploitation était tout à fait possible, et pas seulement dans Yosemite.
Le dernier OS X est en effet concerné, mais il est possible, comme il l’a indiqué, que la faille soit en fait beaucoup plus ancienne. Elle est présente sur les deux versions précédentes du système, Mountain Lion et Mavericks, mais le chercheur ajoute qu’elle existait encore sûrement avant, probablement même sur Snow Leopard qui reste un système encore utilisé (parce que certains Mac ne peuvent en fait pas aller plus loin).
Kvarnhammar explique qu’Apple a été immédiatement informé de l’existence de la faille, nommée « rootpipe » et que si elle n’a d’abord par répondu, elle a ensuite réclamé de plus amples détails. La firme a demandé au chercheur de garder les détails pour lui jusqu’en janvier 2015, période supposée où un patch correcteur devrait donc être disponible. Ce genre de pratique est courant et assure que la faille n’est pas largement exploitée avant que la solution ne soit prête. Par exemple, dans ses bulletins mensuels de sécurité, Microsoft précise si chaque mise à jour colmate une brèche dont les détails ont été tenus secrets ou non.
Utiliser un compte standard et chiffrer son disque dur
Le chercheur garde donc les détails pour lui, et on ne sait même pas pour l’instant si la faille peut être exploitée ou non à distance et si elle est critique. Il a cependant indiqué à MacWorld qu’il existe deux moyens d’atténuer le risque de subir une attaque. Premièrement, activer FileVault, la solution de chiffrement intégral des données fournies par Apple avec OS X. L’assistant de paramétrage de Yosemite enjoint d’ailleurs l’utilisateur à le faire (pour la première fois dans l’histoire du système).
Details on the #rootpipe exploit will be presented, but not now. Let's just give Apple some time to roll out a patch to affected users.
— Emil Kvarnhammar (@emilkvarnhammar) 16 Octobre 2014
Deuxièmement, se servir d’un compte standard pour son activité quotidienne et pas d’un compte administrateur. En effet, la seule information à peu près technique sur la faille est qu’elle permet de contourner une protection réclamant le mot de passe système lorsque la commande « sudo » est invoquée. Cette commande est héritée pour rappel du monde Unix et est intégrée dans de nombreuses distributions Linux, notamment Ubuntu, pour accorder temporairement des droits supérieurs à un utilisateur.
Les détails complets de la faille root pipe ne seront donc publiés qu’au mois de janvier prochain, quand le correctif d’Apple sera prêt. D’ici là, il faut simplement espérer qu’elle ne sera pas exploitée, en particulier dans le cas où l’action peut se faire à distance.
Commentaires (63)
#1
#2
#3
#4
Apple, au courant de la faille mais ils ne vont quand même pas boucher le trou de sécurité en dehors des périodes de mise à jours!
Et encore personne n’en sait rien. “période supposée où un patch correcteur devrait donc être disponible”
#5
Et ce soir, à la télévision :
" />
« Roofpipe, la nouvelle faille de Bash qui peut plier votre iPhone. »
#6
rooFpipe ? ou rooTpipe ?
Les 2 apparaissent :x
#7
Quasi à chaque fois que je lis une news Apple, c’est pour annoncer un problème (ISO 8.0.1, bendgate, Iphone 6 PLus qui crashe, Apple Pay qui paye en double ….).
" />
Ah quand une news sans blème ?!?!
#8
et en exclu sur reddit
#9
Unix / LInux sont-ils impactés par cette faille ?
#10
C’est peut etre juste que cette faille n’est pas corrigeable rapidement et qu’il faut passer beaucoup de tests de qualité avant de publier le patch parce que sudo est une des bases des mécanismes de sécurité et du fonctionnement de MacOSX, non ?
La Sécurité est fondamentale mais elle ne peut pas se substituer aux principes de base. Et le tout 1er principe est que ca doit marcher… Donc il me semble normal que meme pour un patch qui bouche une faille, il soit necessaire de passer les controles qualité avec la plus grande des rigueurs.
Y’a rien de pire qu’un patch qui est censé combler une faille et qui créé des bugs.
Combien de types dans ton genre tomberaient sur le dos d’Apple si celui ci deployait un patch pas bien testé qui foutrait la merde dans certains cas ?
#11
Et même pas un commentaire de hater sudo ?
Tout se perd…
#12
On peut parler de “faille” de sécurité ? vu qu’il faut être en mode root (Sudo) et donc pouvoir effectuer une action nécessitant des privilèges administrateur. (qui demande un môt de passe sous OS X) .
#13
#14
#15
#16
A mon avis, tu te trompes du tout au tout. Par défaut la création du premier compte OSX est un compte administrateur et l’immense majorité des gens ne partageant pas leur ordinateur avec d’autres personnes et n’y connaissant pas forcément grand chose à la sécu informatique, surement l’immense majorité des utilisateurs de OSX, utilisent donc quotidiennement un compte administrateur comme compte principal …
Donc oui c’est bien une faille de sécurité parce que ce contournement ne devrait évidemment pas être possible sur la machine et que cette faille concerne potentiellement un nombre assez important d’utilisateurs. Son exploitation effective est une toute autre question elle.
Edit: et arrete avec ton numéro de fanboy. Apple met clairement bien trop longtemps à patcher les failles de sécurité des ses OS. Certaines sont d’ailleurs toujours présentes sur d’anciennes versions (Lion, Mountain Lion) qu’Apple ne corrigera jamais … Une honte tout simplement.
#17
#18
C’est pas l’inverse justement ? D’après ce que je comprends c’est l’user qui fait un sudo pour exécuter une action en root, d’habitude ça demande le mot de passe sauf que là non.. Il y aurait donc une élévation des privilège sans connaître le mot de passe.. Enfin c’est ce que j’aiccompris de la news..
#19
Bien sûr que non, ça part d’un compte normal, cf la vidéo.
" />
#20
#21
Tu a rate tout le cote critique de la faille en question.
Cette faille permet avec un compte administrateur (ATTENTION, pas un compte root, un compte administrateur comme celui que tu a creer au premier demarrage du systeme/de ton ordi) d’exploiter sudo pour passe en ROOT sans demander le mot de passe.
Il conseille d’utilise un compte standard, car a la difference d’un compte administrateur, un compte standard n’est pas autorise a utilise sudo (Et donc n’est pas autorise a faire des modification sur le systeme, meme avec un mot de passe.)
#22
d’façon, sudo c’est pour les faibles, Su est la vraie commande 
" />
#23
“Il faut simplement espérer qu’elle ne sera pas exploitée, en particulier dans le cas où l’action peut se faire à distance.”
“Peut” ou “pourrait” ?
#24
Eh les gens, pour ceux qui ne le savent pas encore, pas besoin de hacker la commande sudo, sur OS X il suffit de démarrer en Single User pour se faire un nouveau compte admin / renommer l’ancien, changer son MdP ou tout ce que vous voulez, donc bon, le sudo sur OS X ça reste surtout un gadget histoire d’avoir un MdP mais c’est tout, un hacker averti fera bien tout ce qu’il voudra avec un Mac.
#25
#26
#27
Ouai enfin le single user n’a rien d’une faille, c’est un fonctionnement normal :).
#28
#29
#30
Et surtout, il faut être physiquement présent devant le Mac (et avoir le temps d’agir) , ce qui limte bcp.
#31
mais le single user implique un accès physique j’imagine ? Le sudo protège root d’une prise de contrôle a distance
Grilled
#32
#33
#34
Le découvreur de la brèche a fait part de sa trouvaille il y a plusieurs
semaines, mais il faudra attendre janvier prochain pour un correctif.
Ça c’est de la réactivité…
#35
#36
#37
Tu préfères la merde par le patch à un piratage en règle ?
Le pirate tu ne pourras pas le rappeler.
#38
#39
Vu que ça passe par Sudo, une idée de si c’est reproductible sur du GNU/Linux ?
#40
#41
Entre ça et les un peu moins de 4 millions de compte itunes hackés … dure semaine pour Apple
" />
#42
#43
#44
#45
#46
#47
#48
rootpipe c’est nouveau ? la pipe de la route
#49
#50
#51
#52
#53
sudo su - ?
" />
#54
Mais il faut être dans le groupe des sudo pour pouvoir faire ça, un user basique ne peu pas faire de sudo. Mais bon, dans 99% des cas, c’est le compte créer a l’installation qui est utilisé, donc un compte avec les privilège sudo.
" />
Par contre pour firevault ça me parait bizarre sont conseil, il me semblé que le home des utilisateur était décrypter au loggin, donc si l’utilisateur est logger sa protège absolument pas.
lateo a écrit :sudo su - ?
ptin ca marche en plus -_-
#55