[Paenitentia]

Un Suédois un peu trop confiant dans le niveau de sécurité de son Macintosh a organisé il y a quelques jours un concours de hacking. Il a été surpris du résultat...

Le 22 février dernier, jour de l'anniversaire de votre serviteur, un utilisateur suédois enthousiaste a décidé de prouver au monde entier que le système d'exploitation MacOS X d'Apple Computer ne méritait pas la—relative—mauvaise presse qu'il a reçu ces derniers temps. Ne reculant devant aucun sacrifice, il configuré son Mac Mini en serveur, et a publiquement invité les hackers à passer les barrières de sécurité, et prendre le contrôle de sa machine. Les postulants se voyaient octroyer un accès local, et pouvaient ainsi tenter leur chance. La machine devait redémarrer un fois par jour, afin de purger la mémoire des fichiers obsolètes, un peu à la manière dont un serveur peut le faire.

Hélas, après seulement quelques heures, le concours, baptisé "rm-my-mac" (jeu de mots entre la commande "remove commande" sous UNIX et "harm my Mac") était terminé : un hacker que le site australien de ZD Net a identifié sous le pseudonyme de "gwerdna" aurait réussi, peut-être en à peine 30 minutes, à prendre le contrôle de la pauvre machine. Pire encore, le hacker présente la chose ainsi : " J'ai d'abord essayé de déterminer si ce Mac présentait des erreurs de configuration exploitables, puis j'ai employé quelques codes non dévoilés de ma fabrication, afin de profiter d'une des nombreuses failles non corrigées sous MacOS X."

Selon "gwerdna", ce Mac Mini aurait pu être mieux protégé, mais rien n'aurait pu empêcher qu'il soit hacké, car il subsiterait dans le système au moins une faille critique, non publiée pour l'heure, et non corrigée par Apple. Toujours selon le hacker anonyme, MacOS X serait "facile à pénétrer", malgré les patches destinés à éviter la corruption de plages de mémoire, et ce qui le sauverait d'un plus grand nombre de menaces (virus et vers en tous genres) serait sa plus faible base de clientèle par rapport à d'autres systèmes basés sur UNIX ou à Microsoft Windows.

Un vieux débat dans lequel nous n'entrerons pas ici...

Source

Décidément, c'est une période à oublier pour Apple...

[modem]

Oula , j'ai mal pour le gars qui c'est fait pirater

@+ MODEM

[comtezero]

Y aurait-il un rapport avec cette article ?

http://www.vulnerabilite.com/actu/20060307103938piratage_Mac-Mini.html

Je pense que oui

[sgtkinchloe]

oui c'est le meme piratage si tu veux savoir il a fait le tour du net celui la il y a meme eu un second piratage sous cette même plateforme également réussi par deux pirates qui leur on dis que certains vieille faille reste présente et même si elle ny 'etaint pas ils auraient réussi quand même a rentrer dans la machine !

[comtezero]

erff j'avais bien compris, c'était plus pour dire qu'en faite ce challenge à l'air d'être du bidon un peu, quand on lit l'article et aussi que :

Effrayant ! Mais certains sites Internet à forte audience se sont empressés de reprendre l'information et ont oublié d'expliquer qu'un compte SSH (service qui n'est pas activé par défaut), avec certes des privilèges limités, était mis à disposition des challengers.

et que :

Des motivations financières ?

Quelles pourraient être les motivations de l'organisateur anonyme ? Une piste se dévoile lorsqu’on visite son site Internet du concours : la publicité au clic. Prenez un sujet à la mode, laissez planer l'ombre du doute et ajoutez une pincée de 'menace communautaire'. Vous obtenez un cocktail marketing détonnant qui génère une couverture presse étonnante et bien évidemment des centaines de milliers de visites rémunératrices en provenance du monde entier. CQFD.

De là à dire que le piratage faisait en fait partie d'une stratégie
commerciale bien échafaudée... Il y en a bien qui gagnent 1 million de dollars en vendant des pixels sur une page web !

[jawa]

erff j'avais bien compris, c'était plus pour dire qu'en faite ce challenge à l'air d'être du bidon un peu, quand on lit l'article et aussi que :

Effrayant ! Mais certains sites Internet à forte audience se sont empressés de reprendre l'information et ont oublié d'expliquer qu'un compte SSH (service qui n'est pas activé par défaut), avec certes des privilèges limités, était mis à disposition des challengers.

et que :

Des motivations financières ?

Quelles pourraient être les motivations de l'organisateur anonyme ? Une piste se dévoile lorsqu’on visite son site Internet du concours : la publicité au clic. Prenez un sujet à la mode, laissez planer l'ombre du doute et ajoutez une pincée de 'menace communautaire'. Vous obtenez un cocktail marketing détonnant qui génère une couverture presse étonnante et bien évidemment des centaines de milliers de visites rémunératrices en provenance du monde entier. CQFD.

De là à dire que le piratage faisait en fait partie d'une stratégie
commerciale bien échafaudée... Il y en a bien qui gagnent 1 million de dollars en vendant des pixels sur une page web !

Si ce serait seulement une stratégie commerciale ce serait pas si pire mais on a aucune preuve... et apple a dû prendre un coup... mais bon je ne crois pas qu'il y ait tant de faille non-décourtent que cela dans macOSX mais presque tout est possible pour un hacker qui connait bien toutes les failles à exploiter...