Google a présenté Project Wing 1, son prototype de drone capable de livrer des colis.

L'Image du jour

Google a présenté Project Wing 1, son prototype de drone capable de livrer des colis.

Start-up 2014, les nouveaux maîtres de la Silicon Valley

Dernier Dossier

Start-up 2014, les nouveaux maîtres de la Silicon Valley

En juin dernier, nous étions de retour à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour la quinzième édition ...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Une faille de sécurité majeure repérée dans Mac OS X Lion

Une mise à jour de Mac OS X, la 10.7.3, intègre une faille de sécurité qui donne accès aux mots de passe stockés sur la machine avec FileVault.

La dernière mise à jour de Mac OS X Lion (10.7.3) comporte une brèche permettant l'accès à un fichier texte contenant l'ensemble des mots de passe des utilisateurs.
C'est David I. Emery, expert en sécurité informatique, qui a révélé l'information sur le site  Cryptome. 
Résultant sans doute d'une erreur de manipulation de l'un des développeurs d'Apple, l'erreur entraine l'enregistrement en clair des mots de passe de Lion dans un fichier de logs pour tous ceux qui s'identifient.
Néanmoins, ce problème ne concerne que les personnes ayant effectué une mise à jour vers Mac OS X 10.7.3 et utilisant le premier volet du logiciel de cryptage de données FileVault, issue d'une précédente version du système d'exploitation.

La marque à la pomme dispose en effet de deux versions de FileVault.

La première, utilisée jusqu'à la mise à jour 10.7 et utilisant la norme Advanced Encryption Standard (AES), ne chiffre que le répertoire personnel de l'utilisateur, laissant de côté les répertoires systèmes. La seconde, FileVault 2, fournie avec Mac OS X Lion 10.7.3, crypte quant à elle l'ensemble du contenu du disque dur.
Problème, lorsqu'une personne met à jour Lion tout en continuant à utiliser la première version de FileVault, une erreur se produit et créé une faille de sécurité. Selon David I. Emery, quiconque possède un accès administrateur peut ainsi avoir accès à l'ensemble des mots de passe de tous les utilisateurs de la machine. 
Pire, même sans accès administrateur, le fichier reste accessible en démarrant le Mac en mode « disque cible » ou en passant par la partition de récupération de Lion.


Un problème à relativiser



Toutefois, une simple migration vers FileVault 2 règle en partie le problème puisque celle-ci obligerait toute personne souhaitant s'introduire dans une machine concernée à connaître au moins le mot de passe de l'un des utilisateurs avant de pouvoir accéder au fichier et la mise en place d'un mot de passe firmware, indispensable au démarrage de la partition de récupération ou au lancement du mode « disque cible FireWire », limiterait  les possibilités d'intrusion. 
Sans doute apparu lors de la dernière mise à jour 10.7.3, ce problème aurait, selon David I. Emery, été découvert plus tôt par d'autres utilisateurs et la firme de Tim Cook serait au courant depuis  un moment. Les employés des Genius Bar disposeraient d'ailleurs d'une technique standard pour mettre fin au problème : passer à FileVault 2et chiffrer tout le disque dur.


Quoi qu'il en soit, cet épisode met en lumière la fragilité d'une telle technologie et pour David I. Emery, « une erreur comme celle-ci ne représente finalement pas vraiment plus de danger que le fait de laisser son ordinateur sans surveillance pendant quelques minutes ».

Apple ne s'est pas encore exprimée sur le sujet.


Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité