Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Un MacBook Air hacké les doigts dans le nez

30 réponses
Avatar
Daniel
Ouch!
Ça fait mal aux yeux de lire ça. On a soumis 3 ordinateurs munis de 3
systèmes d'exploitation (MacOSX, Linux et Windows) à des «hackers». Si
l'un d'eux pouvait réussir à prendre le contrôle de l'un d'eux, il
gagnait 20000$ ainsi que l'ordi hacké.

Le Mac... n'a pas résisté 2 minutes.

C'eût été Windows qui aurait été pris en défaut, on aurait eu une
enfilade de 50-60 intervenants en train de se moquer et de se rouler
par terre (je m'étais déjà acheté ma bouteille de vin), mais là on va
la jouer «low profile».

Cela s'est passé à Vancouver (Canada)

<http://www.macquebec.com/spip.php?article4569>
<http://cansecwest.com/>

Daniel

10 réponses

1 2 3
Avatar
jacques
Daniel wrote:

Le Mac... n'a pas résisté 2 minutes.


A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.

Test bidon, pour le Mac mais aussi pour les autres OS.

Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html

Avatar
Eric Levenez
Le 29/03/08 04:39, dans ,
« Daniel » a écrit :

Le Mac... n'a pas résisté 2 minutes.


D'après ce que j'ai compris, le cracker a trouvé une faille et a mis 3
semaines pour réussir à l'utiliser. Les 2 minutes ne concernent que sa
tentative, cela aurait pu être 2 secondes. Cela ne veut rien dire sur la
fiabilité de Mac OS X par rapport aux autres systèmes.

--
Éric Lévénez -- <http://www.levenez.com/&gt;
Unix is not only an OS, it's a way of life.

Avatar
Jerome Vernet


Bref, quasiment tout le monde s'est attaqué au macbook air. La seule
conclusion qu'on peut en tirer c'ets que les hackers préfèrent gagner un mac.

Pas mal, comme conclusion !


lol


--
-----
Jerome Vernet
Petite Collection de vieux micros
http://perso.orange.fr/jerome.vernet/

Avatar
Dare Dare Motus
On 2008-03-29 09:23:45 +0100, Erwan David said:

La seule
conclusion qu'on peut en tirer c'ets que les hackers préfèrent gagner un mac.


he he he he.... pas mal vu !!

Avatar
blanc
Jacques Foucry wrote:

A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.


Si j'en crois le site de cansecwest :
<http://cansecwest.com/&gt;
il n'y avait pas d'acces physique (7ème point) :

Quick Overview:

* Limit one laptop per contestant.
* You can't use the same vulnerability to claim more than one box, if
it is a cross-platform issue.
* Thirty minute attack slots given to contestants at each box.
* Attack slots will be scheduled at the contest start by the methods
selected by the judges.
* Attacks are done via crossover cable. (attacker controls default
route)
* RF attacks are done offsite by special arrangement...
* No physical access to the machines.
* Major web browsers (IE, Safari, Konqueror, Firefox), widely used and
deployed plugin frameworks (AIR, Silverlight), IM clients (MSN, Adium,
Skype, Pigdin, AOL, Yahoo), Mail readers (Outlook, Mail.app,
Thunderbird, kmail) are all in scope.
--
JiPaul.
/ /--/--// Jean-Paul Blanc
|/| L | quelquepart en (somewhere in)
/|| = ||| FRANCE

Avatar
jacques
JiPaul wrote:

* No physical access to the machines.


Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.

Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html

Avatar
patpro ~ Patrick Proniewski
In article <1ienoxw.5arw28s4brx0N%,
(Jacques Foucry) wrote:

JiPaul wrote:

* No physical access to the machines.


Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.


ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.

patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133


Avatar
Nicolas-MICHEL'_remove_'
patpro ~ Patrick Proniewski wrote:

ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.


Autrement dit :
"La pomme jaune a pourri, donc la pomme rouge ne peut pas pourire"

Ils devaient utiliser les softs installés par défaut, donc Safari et pas
un firefox ou autre, ce qui ne prouve pas que les autres butineurs sont
exempts de faille. Au contraire en fait.

--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas

Avatar
Nicolas-MICHEL'_remove_'
JiPaul wrote:

Jacques Foucry wrote:

A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.


Si j'en crois le site de cansecwest :
<http://cansecwest.com/&gt;
il n'y avait pas d'acces physique (7ème point) :


C'est pas ce que j'ai lu

<http://www.macgeneration.com/unes/voir/127098/un-macbook-air-hacke-en-d
eux-minutes>

Je cite :
***Lors du premier jour où les hackers n'avaient pas le droit d'accéder
physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis
hier, comme le prévoit le concours, ils pouvaient les approcher.
Toutefois, ils n'avaient le droit que d'utiliser les logiciels livrés en
standard avec le système.***

Dureste on parle d'une faille safari.
Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa
page piégée, je piges pas.

Reste que ça prouve une fois de plus qu'il faut faire les software
update et surtout des backup.
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas


Avatar
laurent.pertois
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:

Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa
page piégée, je piges pas.


En fait le gars n'accède pas directement à la machine mais a pu
demander, selon les règles, à l'opérateur de la machine, un membre du
jury, d'accéder à une page donnée et de cliquer sur les liens. Une fois
cette opération effectuée, la faille a ouvert un port de communication
sur la machine et il a pu faire un telnet sur ce port.

D'après l'article et les commentaires sur arstechnica, il ne lui a fallu
que 2 minutes vu qu'il avait préparé pendant 3 semaines avant, cherchant
une faille, la testant, préparant la page permettant d'utiliser cette
faille et ne dévoilant surtout pas la faille vu que le règlement
interdit justement d'utiliser une faille déjà dévoilée.

Celui qui a découvert la faille a donc intentionnellement cherché une
faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et
a juste sagement attendu le second jour avec l'assouplissement des
règles pour empocher les 10000$ et le MacBook Air.

La faille a depuis été indiquée à Apple uniquement comme le prévoit le
règlement du concours.

Le lien sur ArsTechnica :

<http://arstechnica.com/journals/apple.ars/2008/03/28/macbook-air-compro
mised-in-2-minutes-for-10000>

C'est surtout dans les commentaires qu'on apprend les détails.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

1 2 3