Selon nos confrères australiens de ZD NET, MacOSX comporterait encore des failles détectées et comblées voici plus de dix ans sur d'autres systèmes d'exploitation.
La firme de sécurité informatique australienne SureSec, sous la houlette de son chercheur le plus chevronné, Neil Archibald, affirme que le système d'exploitation d'Apple Computer, MacOSX, comporterait de sérieuses vulnérabilités. Pire encore, ces failles existeraient depuis plus de dix ans, sans que cela semble inquièter outre mesure les développeurs de Cupertino.
Et de réouvrir une vieille (elle aussi !) querelle: MacOSX devrait sa relative insensibilité face aux virus au fait qu'il occupe finalement des parts de marché assez faibles. C'est en tout cas ce qu'affirme Archibald: "La seule raison pour laquelle MacOSX n'a pas été affligé des mêmes problèmes que Windows ou que d'autres plate-formes basées sur UNIX tient au fait qu'il est moins répandu. Si cette situation devait changer, on pourrait assister à une véritable vague de soucis de sécurité chez Apple, beaucoup plus que tout ce que l'on a connu à Redmond ou ailleurs..."
Archibald justifie son point de vue par le fait qu'Apple n'emploie aucun outil d'audit pour examiner ses logiciels propres, contrairement à Microsoft, chez qui un tel usage est largement répandu, notamment depuis la mise en place de la Trustworthy Computing Initiative, qui vise à combattre les erreurs de codage pouvant donner lieu aux tristement célèbres dépassements de mémoire tampon, ou "buffer overflow".
"Le code employé par Apple dans ses logiciels et bibliothèques dynamiques est largement sous-examiné", ajoute Archibald. "C'est ce qui explique la présence de petites erreurs de code, qui persistent parfois longtemps. Certaines de ces erreurs existaient sur des systèmes d'exploitation concurrents voici dix ou quinze ans, mais ont été réglées depuis. Pas chez Apple."
Et notre chercheur donne quelques exemples: en août dernier, les versions 10.4.x (jusqu'à 10.4.2) de MacOSX étaient affectées d'un bogue connu sous le nom de "dsidentity"; ce problème, facile à régler, permettait la création et la suppression sauvage de comptes d'administrateur sans coup férir. D'après Archibald, de telles erreurs pourraient être repérées au moyen d'une relecture attentive. D'ailleurs, lorsqu'Archibald a mentionné la faille en question aux programmeurs de chez Apple, ces derniers se seraient esclaffés tellement l'erreur était grossière...
Autres exemples: la possibilité d'une corruption d'une plage mémoire, avec transfert involontaire du contrôle d'une machine à un attaquant distant, ou plus près de nous une faille, corrigée récemment, qui affectait l'allocation de mémoire, et qui permettait à certaines applications d'écraser n'importe quel fichier du système, et de jongler avec les droits d'administration.
Selon Archibald, la faiblesse des audits internes n'est pas le seul tort d'Apple en terme de sécurité. Il est également reproché aux développeurs de la firme à la pomme de prendre parfois de haut les spécialistes de la sécurité informatique lorsque ceux-ci lui annoncent avoir découvert une vulnérabilité affectant leur système. "D'après mon expérience", nous confie Archibald, "Apple a toujours répondu avec lenteur à nos avertissements de sécurité. A croire qu'Apple s'attend à ce que les spécialistes du secteur gardent indéfiniment pour eux leurs découvertes..."
SureSec s'est récemment livrée à un audit des principaux codes sources d'Apple, à la demande de ce dernier, et de nombreux bogues ont été découverts. Tous n'occasionnaient pas de failles majeures, mais certains étaient encore présents dans les toutes dernières versions de MacOSX, tant sur PowerPC que sur Intel. C'est sans doute ce point particulier qui rend Archibald si pessimiste quant à l'avenir de la sécurité du système d'exploitation d'Apple.
Ce dernier se refuse à commenter les déclarations d'Archibald, se contentant d'indiquer que MacOSX est aussi stable et sûr qu'il peut l'être, et que tous les renseignements à ce sujet peuvent être consultés sur le site de la marque.
Qui vivra verra...
La firme de sécurité informatique australienne SureSec, sous la houlette de son chercheur le plus chevronné, Neil Archibald, affirme que le système d'exploitation d'Apple Computer, MacOSX, comporterait de sérieuses vulnérabilités. Pire encore, ces failles existeraient depuis plus de dix ans, sans que cela semble inquièter outre mesure les développeurs de Cupertino.
Et de réouvrir une vieille (elle aussi !) querelle: MacOSX devrait sa relative insensibilité face aux virus au fait qu'il occupe finalement des parts de marché assez faibles. C'est en tout cas ce qu'affirme Archibald: "La seule raison pour laquelle MacOSX n'a pas été affligé des mêmes problèmes que Windows ou que d'autres plate-formes basées sur UNIX tient au fait qu'il est moins répandu. Si cette situation devait changer, on pourrait assister à une véritable vague de soucis de sécurité chez Apple, beaucoup plus que tout ce que l'on a connu à Redmond ou ailleurs..."
Archibald justifie son point de vue par le fait qu'Apple n'emploie aucun outil d'audit pour examiner ses logiciels propres, contrairement à Microsoft, chez qui un tel usage est largement répandu, notamment depuis la mise en place de la Trustworthy Computing Initiative, qui vise à combattre les erreurs de codage pouvant donner lieu aux tristement célèbres dépassements de mémoire tampon, ou "buffer overflow".
"Le code employé par Apple dans ses logiciels et bibliothèques dynamiques est largement sous-examiné", ajoute Archibald. "C'est ce qui explique la présence de petites erreurs de code, qui persistent parfois longtemps. Certaines de ces erreurs existaient sur des systèmes d'exploitation concurrents voici dix ou quinze ans, mais ont été réglées depuis. Pas chez Apple."
Et notre chercheur donne quelques exemples: en août dernier, les versions 10.4.x (jusqu'à 10.4.2) de MacOSX étaient affectées d'un bogue connu sous le nom de "dsidentity"; ce problème, facile à régler, permettait la création et la suppression sauvage de comptes d'administrateur sans coup férir. D'après Archibald, de telles erreurs pourraient être repérées au moyen d'une relecture attentive. D'ailleurs, lorsqu'Archibald a mentionné la faille en question aux programmeurs de chez Apple, ces derniers se seraient esclaffés tellement l'erreur était grossière...
Autres exemples: la possibilité d'une corruption d'une plage mémoire, avec transfert involontaire du contrôle d'une machine à un attaquant distant, ou plus près de nous une faille, corrigée récemment, qui affectait l'allocation de mémoire, et qui permettait à certaines applications d'écraser n'importe quel fichier du système, et de jongler avec les droits d'administration.
Selon Archibald, la faiblesse des audits internes n'est pas le seul tort d'Apple en terme de sécurité. Il est également reproché aux développeurs de la firme à la pomme de prendre parfois de haut les spécialistes de la sécurité informatique lorsque ceux-ci lui annoncent avoir découvert une vulnérabilité affectant leur système. "D'après mon expérience", nous confie Archibald, "Apple a toujours répondu avec lenteur à nos avertissements de sécurité. A croire qu'Apple s'attend à ce que les spécialistes du secteur gardent indéfiniment pour eux leurs découvertes..."
SureSec s'est récemment livrée à un audit des principaux codes sources d'Apple, à la demande de ce dernier, et de nombreux bogues ont été découverts. Tous n'occasionnaient pas de failles majeures, mais certains étaient encore présents dans les toutes dernières versions de MacOSX, tant sur PowerPC que sur Intel. C'est sans doute ce point particulier qui rend Archibald si pessimiste quant à l'avenir de la sécurité du système d'exploitation d'Apple.
Ce dernier se refuse à commenter les déclarations d'Archibald, se contentant d'indiquer que MacOSX est aussi stable et sûr qu'il peut l'être, et que tous les renseignements à ce sujet peuvent être consultés sur le site de la marque.
Qui vivra verra...
Source :
Slashdot
