CanSecWest : le MacBook Air premier à baisser pavillon

Le par  |  18 commentaire(s)
CanSecWest_Concours

Dans le cadre du concours de hacking organisé en marge de la conférence sur la sécurité informatique CanSecWest, le MacBook Air d'Apple a été le premier à rendre les armes. Deux portables équipés de Vista et Ubuntu résistent encore.

CanSecWest_ConcoursLors d'une précédente actualité, nous vous informions de la tenue annuelle de la conférence CanSecWest à Vancouver, lieu d'échanges devenu presque incontournable pour les experts de la sécurité informatique.

Pour " distraire la galerie ", un concours de hacking est organisé par la filiale de 3Com, Tipping Point. Trois machines avec trois OS différents sont ainsi prêts à recevoir les attaques de hackers :
  • Fujitsu U810 fonctionnant sous Windows Vista Ultimate SP1
  • MacBook Air d'Apple avec Mac OS X 10.5.2 Leopard
  • VAIO VGN-TZ37CN intégrant la distribution Linux Ubuntu 7.10

Après assouplissement des règles seulement
Un véritable défi qui n'a pu être relevé la première journée du challenge, tous les participants ayant échoué dans leurs tentatives d'attaques à distance. Après ces 24 heures d'efforts infructueux, le concours est entré dans une deuxième phase avec un accès physique autorisé aux machines par l'entremise des organisateurs. La partie a pris dès lors une autre tournure et il aura fallu seulement deux minutes à Charlie Miller pour prendre le contrôle du MacBook Air devenu sa propriété en récompense de son " exploit ". En prime, il empoche un chèque de 10 000 dollars.

Pour procéder, Miller a demandé aux organisateurs du concours de naviguer sur un site Web contenant le code exploit qui lui a permis de mettre à mal la sécurité de la machine. On n'en saura pas plus et même si selon certaines sources le navigateur Safari est en cause, les détails techniques de la vulnérabilité et le vecteur d'attaque sont maintenant la propriété de Tipping Point, et Apple aura tout loisir de la combler.

Chercheur en sécurité informatique, Charlie Miller est loin d'être un inconnu du monde Apple, puisqu'on lui attribue la découverte de la première faille dans l'iPhone permettant sa prise de contrôle. A noter d'autre part que Miller a été le premier et donc le seul participant à tenter sa chance sur le MacBook Air après assouplissement des règles du concours.

Pour le moment, les deux autres machines du concours sous Windows Vista et Ubuntu 7.10 résistent encore.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #199564
j'attends le commentaire de LVM
Le #199566
Le #199567


J'attends avec impatience le commentaire d'Apple
Le Vendangeur Masqué Hors ligne Vétéran 2082 points
Le #199570
OS X a parfaitement résisté aux tentatives d'attaque à distance et c'était prévisible.

Le seul moyen d'arriver à rentré dans un mac fut l'accès physique en jouant la ruse (surfer sur un site bien spécifique) et à s'en prenant à un logiciel externe (Safari qui est en pleine mutation en ce moment et dont les devs peuvent pas être partout [1er sur l'acid test3, 1er sur la performance, ...]).

Bravo donc à l'heureux vainqueur qui vient là d'économiser du boulot à Apple. Et tous mes regrets à ceux qui pensaient qu'OS X était un gruyère, la réalité est tout autre (à condition de lire tout l'article [et d'arriver à le comprendre] et pas que le titre).

Pas brillant par contre les hackeurs sous Windows qui ont franchement pas été doué. Pourtant des failles chez MS on en trouve tous les jours et pas qu'une:
http://www.eweek.com/c/a/Security/Hacker-Pours-Cold-Water-on-Windows-Server-2008-Security-Design/
Le #199571
Le #199573
@freeman :

Ton voeux est exhaussé, si mac a plié le premier, c'est parce que ceux qui se sont tournés vers les autres machines sont pas doués et des gros mauvais

C'est avec ce genre de "concours" qu'on voit vraiment les failles critiques, qui sont applicables et non celles qui sont "potentiellement critique" (mais qui demandent des conditions telles qu'on a plus de chance de gagner 2 fois au loto)
Le #199580
"On n'en sera pas plus" ->"On n'en SAURA pas plus"
Le #199583
@ Le Vendangeur Masqué

"Et tous mes regrets à ceux qui pensaient qu'OS X était un gruyère, la réalité est tout autre (à condition de lire tout l'article [et d'arriver à le comprendre] et pas que le titre)."

les 3 systemes sont testé de la meme facon et mas os x a sucombé au 1er hacker..... no comment.

enfin bon comme toujours tu defens apple de manière aveugle....


"1er sur l'acid test3"

a bon il me semblait que c'était opéra
Le #199587
C'est quand même marrant ca...Mac OS se fait hacker, c'est le hacker qui est un genie, vista resiste, et c'est le hacker qui est naze !!!
Les pauvres DEV de Safari ne peuvent pas etre partout.
En plus, il n'ont pas eu un acces physique au portable: l'acces physique s'est fait par l'entremise des organisateurs! 2mn il a resister..2mn. en deux minute, il a compromis le system, et pris le controle de l'ordinateur...Pour un system ultra top securisé...Ben...
Et pas de chance tout les super bon, on tous essayer de casser la machine imprenable. Pas un seul bon hacker s'est dit "tiens, si je tente Vista, j'ai une bonne chance de gagner vu le gruyere que c'est !"
Je sais, c'est dur de voir un mythe s'effondrer, mais c'est comme ca...
Le Vendangeur Masqué Hors ligne Vétéran 2082 points
Le #199603
@CocoVFR

2 minutes c'est le temps qu'a pris l'attaque. Mais le gars a cherché pendant plusieurs semaines la méthode avant le concours.

Et le lien que j'ai donné montre que Vista semble touché par des problèmes bien plus graves. Donc le niveau des participants à ce concours est vraiment faible. CQFD.

Au fait le type a rien compromis du tout, il a fallu qu'il indique à l'organisateur d'aller surfer sur un site piégé. L'organisateur aurait très bien pu refuser étant donné le caractère totalement aléatoire du principe de cette attaque.

Le plus amusant c'est que des virus/spywares/etc... y'en a pas sur Mac. Faut croire que les génies ça court pas les rues.

@frodon

Opéra est retombé à 99% suite à une erreur dans le test. Et ils n'ont pas fourni à quiconque la moindre preuve qu'ils avaient réussi, alors que le webkit tout le monde peut le télécharger.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]