Nouveau concours de sécurité sur MacOS X

Mécontente de la façon dont s'est passé un récent concours de hacking autour de MacOS X, l'administrateur système de l'Université du Wisconsin lance à son tour une initiative similaire, mais dans un contexte, disons, plus réaliste...'

En réponse à un article plutôt critique de nos confrères de ZD Net Australie, dont nous nous sommes récemment fait l'écho, Dave Schroeder, administrateur des systèmes informatiques de l'Université d'état du Wisconsin, a choisi d'organiser lui aussi son concours de hacking.

Spécialiste des configurations sous UNIX et MacOS X, qu'il gère au quotidien, Schroeder voudrait prouver que ces dernières plate-formes ne sont pas aussi vulnérables que le laissait penser le dernier concours organisé par un Suédois peut-être un peu naïf. Il commence cependant son annonce par ces mots : "MacOS X n'est pas invulnérable. Comme tout système d'exploitation, il présente des défauts en matière de sécurité. Cependant, l'architecture générale et la philosophie de MacOS X, associées à l'emploi de solutions open-source, font de ce système une plate-forme extrêmement sûre."

Reprenant une configuration proche de celle du précédent concours, Schroeder a configuré en serveur un Mac Mini sous MacOS X 10.4.5 entièrement patché et mis à jour, avec deux comptes d'utilisateur, et un accès SSH et HTTP entièrement ouverts, même si ces deux derniers points représentent déjà, selon Schroeder, une anomalie rarement rencontrée en situation réelle.

Les hackers qui voudront se mesurer à MacOS X se verront fournir un URL (une adresse Web) menant à un site, dont ils devront corrompre le contenu pour prouver qu'ils sont parvenus à entrer dans le système d'exploitation de la machine de test. Pas d'escalade de privilèges ici, donc, mais du hacking pur et dur, et l'occasion pour Apple, qui garde le silence à l'heure qu'il est, de redorer son blason. Et de tirer les enseignements de cette initiative, lorsqu'elle sera clôturée, ce qui semble déjà être le cas.

Mais chacun sait que l'on fait dire à ce genre d'expérience un peu ce que l'on veut. Nous jugerons sur pièce lorsque les résultats de ce concours, purement honorifique, seront publiés...