Il semble que Apple ait quelques difficultés quand il s’agit de gérer les mots de passe de ses utilisateurs… et ce n’est pas la première fois…
Cette fois c’est le système de chiffrement FileVault qui est mis en cause. Oubli de messages de debug de la part d’un développeur ou boulot d’un stagiaire ? :p
Dans tous les cas, les mots de passe des utilisateurs du système se retrouvent en clair dans un des fichiers de log qui nécessite tout de même de faire partie du groupe admin pour être lu.
Ce qui est ballot ce qu’un utilisateur avait averti de ce problème sur le forum d’Apple il y a 3 mois… et aucun retour de la pomme. On se croirait chez Oracle :p
Apple, LOL / FAIL / PWNED, passwords
Un petit script bash de devloop permet d’exploiter la grace period de la commande sudo (temps durant lequel le système ne redemande pas de mot de passe) pour exécuter une commande en temps que root (ou admin) sous Linux, BSD et Mac OS X.
Apple, BSD, Faille / Exploit, Linux, OS X
Si les fanboys Apple sont de plus en plus nombreux, on plaisante quand on affirme que certains ont vendu leur âme…
Mais en Chine, certains semblent prêts à tout pour pouvoir accéder aux dernières technologies marquées d’une pomme.
Ainsi récemment, 5 personnes dont un chirurgien ont été arrêté pour une opération chirurgicale et l’utilisation illégale d’un rein.
Ces 5 personnes s’étaient mises d’accord avec un un jeune de 17 ans qui était prêt à vendre son rein pour gagner de l’argent dans l’optique de s’offrir un iPad ou un iPhone. Le jeune homme souffre maintenant de grave problèmes de santé qui pourraient bien lui être fatals.
Le trafic illégal d’organes bat son plein en Chine et en juin dernier un chinois a vendu l’un de ses reins pour s’acheter un iPad 2.
L’année dernière une jeune fille vendant sa virginité en échange d’un iPhone 4…
Apple, Chine
Vous voulez savoir comment font les policiers pour fouiller vos smartphones lors de leurs investigations ?
Ils utilisent XRY, un soft développé par une compagnie Suédoise , Micro Systemation, basée à Stockholm.
Vous pouvez voir une vidéo de présentation du soft là. Il permet de bypasser le code PIN IOS et Android et de dumper les Datas directement sur votre PC 
Le logiciel a déjà été vendu dans près de 60 pays différents (d’après l’entreprise)…
Apple, Inforensique
F-Secure a posté un article instructif sur le fonctionnement du malware FlashBack qui modifie des paramètres du navigateur Safari pour faire charger ses librairies à la place des librairies du système (dans le même style qu’un LD_PRELOAD sous nux)
Apple, Malware
Alors que le cour du BitCoin est au plus mal, un nouveau malware utilisant les ressources systèmes de postes infectés pour en générer a fait son apparition… sur Mac OS X.
Baptisé DevilRobber, il se fait passer pour une appli graphique pour Mac sur des sites de downloads bittorrent.
Le malware peut aussi faire des captures d’écran du poste infecté et d’autres opérations dont l’objectif reste encore un mystère…
Apple, bitcoin, Malware
Sur d4n3ws nous n’avons pas traité le décès de Steve Jobs. Sans doute parce que si je n’ai rien contre le personnage et ne nie pas l’importance d’Apple dans l’histoire de l’informatique, ça reste, de mon point de vue de libriste, DRM & compagnie…
Une boîte qui vend des verrous que les fanboys fidèles à la marque s’empressent de casser.
Quoiqu’il en soit Steve Jobs laissera une trace, même dans l’histoire du cinéma puisque les studios à l’origine de The Social Network ont acheté les droits d’adaptation de la biographie autorisée qui devrait apparaître courant 2012.
Le précédent film dans lequel Jobs était joué était Pirates of Silicon Valley (super film que je vous conseille de voir)
Apple, cinéma
Cet article indique comment il est possible avec le dernier Mac OS X de récupérer les hash + les graines utilisées pour stocker les mots de passe des users sur le système.
Ce type de données n’est normalement pas accessible à tous (comme le fichier shadow sous Linux) mais il semble qu’Apple ait oublié quelques détails…
Cela dis ce ne serait pas leur première bourde.
Apple, LOL / FAIL / PWNED, passwords
Via TheRegister et H-Online :
Il semble que les dévs d’Apple aient oublié de prendre un paramètre en compte lorsqu’ils ont implémentés la connexion par OpenLDAP sur le système Lion (Mac OS X 10.7).
Manque de bol, ce paramètre c’est le mot de passe !
Résultat c’est porte ouverte sur les machines qui ont été configurées pour utiliser une authentification OpenLDAP puisqu’il suffit de disposer d’un nom d’utilisateur valide et d’entrer quelque soit le mot de passe.
Apple, LOL / FAIL / PWNED
Via Digitizor, Forbes et Wired :
Attaquer un ordinateur portable par sa batterie… Il fallait y penser !
C’est ce que l’expert sécu Charlie Miller a fait en découvrant que les MacBooks ont un mot de passe par défaut pour le firmware de la batterie.
Cet accès permet d’obtenir le contrôle total du firmware et de bousiller les batteries : le chercheur en a grillé 7 lors de ses essais.
L’accès à ce firmware pourrait aussi servir à placer des backdoors difficiles à détecter et résistantes à un formatage complet des disques et un flashage du BIOS : qui penserait que le malware se trouve dans la batterie ?
Une présentation de ces recherches sera faite à la prochaine conf BlackHat. Un outil de sécurisation nommé Caulkgun permettant de changer le pass du firmware par un passe aléatoire devrait être rendu public.
Via TheRegister :
La société californienne Passware vend, pour une somme que la décence nous empêche de relayer, un kit d’exploitation pour pwner du (OS X) Lion.
Le Passware Kit Forensic v11 se branche sur le port firewire du portable Apple et va fouiller en mémoire pour extraire en quelques minutes les mots de passe de session.
Récemment c’est la société russe bien connue Elcomsoft qui proposait son outil All-In-One iOS Forensic Toolkit pour analyser le matos Apple basé sur le système iOS.
Apple, firmware, Inforensique, passwords