Mac OS X 10.5 et sécurité : Apple doit revoir sa copie ?

Le par  |  12 commentaire(s) Source : Par la rédaction de Vulnérabilité
Apple_Leopard

Souvent louables, les fonctionnalités de sécurité introduites dans Mac OS X 10.5 interpellent nombre de spécialistes dénonçant une implémentation incomplète qui pourrait laisser les utilisateurs à la merci d'attaques.

Nos confrères du site Vulnérabilité.com nous apprennent que parmi les 300 nouveautés annoncées pour Mac OS X 10.5, un petit nombre est orienté sécurité. Plusieurs experts en la matière se sont donc jetés sur le Leopard dès sa sortie pour savoir de quoi il en retournait exactement. Apparemment, ils ont été déçus par la réalité des faits et la firme à la pomme d'être parfois vertement critiquée.

Thomas Ptacek de Matasano Security, concède par exemple volontiers que la fonctionnalité de bac à sable (sandbox) et l'intégration de la technologie ASLR (Address Space Layout Randomization) sont deux très bonnes idées mais elles sont malheureusement appliquées de manière imparfaite.

Apple leopard

La raison d'être du bac à sable est de faire fonctionner une application dans un environnement protégé, offrant pour les applications soumises à ce régime un accès restreint aux fichiers autorisés, au réseau, ..., ce afin d'éviter qu'elles ne fassent office de vecteurs d'attaques. Gros problème selon Ptacek, les applications justement les plus susceptibles de servir de vecteurs d'attaques à l'instar du navigateur Web Safari, du client mail ou du client de messagerie instantanée iChat ne peuvent prétendre à ce fonctionnement en mode protégé.

La technologie ASLR de randomisation de l'espace d'adressage quant à elle, souffre également d'une mauvaise intégration pour Ptacek et son objectif de prémunir efficacement le système contre les attaques de type buffer overflow n'est pas correctement rempli. La configuration aléatoire des processus en assignant aux éléments de base un emplacement mémoire différent à chaque démarrage, ne s'applique ainsi pas à toutes les composantes du système (dynamic linker library en l'occurrence) et certains malwares peuvent donc retrouver leurs billes en disposant de l'information recherchée à un emplacement précis.


Un firewall perfectible

Parmi d'autres problèmes mineurs évoqués, s'il est bien un qui stigmatise les critiques, c'est le pare-feu de Mac OS X 10.5. Heise Security a notamment réalisé un test dont les conclusions sont sans appel. Outre son austérité pour l'utilisateur lambda, le site allemand reproche au pare-feu de Leopard de ne pas être activé par défaut et pire, de ne pas se comporter comme il devrait lorsqu' il est activé. En mode restreint, les connexions réseaux à des services non autorisés peuvent toujours être établies alors que le paramètre bloquer toutes les connexions entrantes est purement factice puisque sans effet.

Certes, le premier bilan semble plutôt contrasté pour Mac OS X 10.5 en termes de sécurité mais il faut bien garder à l'esprit que l'intégration de ces nouvelles fonctionnalités constitue une avancée dans la politique d' Apple en la matière, d'autant que Mac OS X est un système qui fait rarement la une pour des cas avérés de virus et vers.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #189751
"d'autant que Mac OS X est un système qui fait rarement la une pour des cas avérés de virus et vers"

Ces problèmes de sécurité pourraient bien donner des idées à des gens malveillants...
Le #189752
Il faut relativiser certains élément cités, le pare feu est ipfw et il est largement à la hauteur.

Ce que l'expert en question pointe c'est la mauvaise ergonomie du "front-end".

En ce qui concerne le bac-a-sable, léopard a été sorti en urge, les applications comme Safari, Mail et autres seront "sandboxés" avec 10.5.1 tout simplement.

Rien de bien grave en fait...
... sauf pour ceux qui adhèrent comme des iMoutons au discours commercial de Apple.

Ça va faire comme avec Windows et Linux, ceux qui refusent de considérer un ordinateur comme une machine plus complexe qu'une machine a écrire se feront piller. :darwin:

Leur sentiment d'invulnérabilité a été mis à sac par le PoC du récent troyen mais c'est pas encore probant pour la majorité des fanboys.
Le #189759
comme quoi personne n'est parfait a 100%
Le #189763
sheep, quand tu dors tu penses encore à lui?
on dirait que t'es obnubilé
Le #189764
Arrêtes, ca fait longtemps que j'ai pas fait référence! Une fois de temps en temps ca détent

Pour en revenir au sujet: L'OS non parfait, ca pas vraiment grâve, c'est normal, par contre une telle régression sur certains points c'est plus qu'étrange.
Le #189766
C'est marrant, c'est pas Microsoft, donc on dit de relativiser, et les commentaire sont plutot normal.

Mais bon je persiste a croirent que s'il avait ete question d'un windows ont aurrait urlé, en disant que c'etait une honte.

Ce qui est vrai, l'urgence n'escuse pas les faut argument de vente, on ne peux pas pretendre à plus de sécurité par les sandbox, si les applications les plus à risque ne sont pas éxécuté dedans.
Peu importe que l'interface du pare-feu soit mal fait, le constat du non respect de la politique dicté dans certain cas, sera toujours le meme.
Et tout ceci n'est pas adminisible etant donné le discourt commercial autour

Quand la petite phrase concernant les vers sous Mac OS X, c'est simple, comparont le nombre d'ordinateur sous windows par rapport au nombre sous Mac OS X, en tenant compte du pourcentage d'utilisateur avertie dans les deux cas, et donc qui utilise des outils a dequate pour se proteger.
Et on verra qu'au final on a le meme taux dans les deux cas.
Le #189769
"Quand la petite phrase concernant les vers sous Mac OS X, c'est simple, comparont le nombre d'ordinateur sous windows par rapport au nombre sous Mac OS X, en tenant compte du pourcentage d'utilisateur avertie dans les deux cas, et donc qui utilise des outils a dequate pour se proteger.
Et on verra qu'au final on a le meme taux dans les deux cas."
C'est beau les discours sans preuve. Comment ça s'appelle déjà ? Un sophisme ?
Le #189771
Jarode, je suis d'accord, le discours commercial est pourri parce que certains le prennent pour argent comptant, mais il relève du génie commercial.

Les applications pointées "hors sandbox" sont a l'épreuve depuis 2 ans déjà dans les versions précédentes de OsX. C'est incohérent avec le discours commercial mais c'est cohérent techniquement parlant.

En ce qui concerne le danger des malwares il est évident. Parmi les switchers il y a forcément un %age de crétins déçus de windows parce qu'ils se sont fait attrapés par un malware.
Ne se remettant pas en question, il feront les même bêtises avec OsX.

Changer d'os ne rend pas nécessairement plus intelligent.
Le #189776
Bah Maxime81, je vais pas me fatiguer plus que l'auteur de la news.
Je suis juste plus comment dire, convaincant, tout en ne donnant pas de chiffre (apres tout c'est les seul preuve qu'on aurrait) qui de toute facon ne seront jamais vrai.

Sophisme? neologisme ? enfin dans le sens que tu lui donnne, puisque ce n'est pas un argument, mais un discourt. Sophistique oui si on veut, et je m'en fous. Le raisonnement est bon, et se base sur la difference de proportion que nous connaissont (les chiffres réel etant inconnaissable, mais leur ordre et les relation entre eux sont estimable). Donc sa ne peche ni par la forme (raisonnement bien formé ), ni par le fond (constat de l'approximation réel)
Seul petite faute, "meme taux", "environt les memes taux" serait plus juste. Conclusion un peu attive diront nous, mais l'objectif principal pointer du doigt cette phrase ignoble dans la news est atteint.


Kertiam, ok les applications concerner tournait sans jusqu'a présent, mais c'est pas parce qu'avant on conduiser sans ABS, que l'ABS n'empeche pas des accident. Et sa sert a rien de mettre l'ABS que sur une roue, parce qu'il en reste d'autre qui pourront pecher.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]