Pour ceux qui ne connaissent pas Dino Dai Zovi, il a été le récent vainqueur d'un concours visant à mettre à l'épreuve la sécurité de la plate-forme Macintosh. Lors de la conférence CanSecWest, la société TippingPoint organisait en effet un concours où il était question de mettre à mal la sécurité d'un ordinateur portable Apple MacBook. Pour cela, deux ordinateurs MacBook bénéficiant des dernières mises à jour de sécurité étaient connectés en réseau et mis à la disposition des participants. Celui qui parvenait le premier à pénétrer le système repartait alors avec un MacBook, ainsi qu'un prix de 10 000 dollars.
C'est à cette occasion que Dino Dai Zovi démontrait l'existence d'une vulnérabilité de type Zero-Day dans Safari, le navigateur web développé par la société Apple et intégré au système d'exploitation Mac OS X. Il ne lui fallu ensuite que 9 heures pour l'exploiter et l'utiliser dans une arnaque de type phishing (ou hameçonnage).
Vista plus sécurisé que Mac OS X ?
Dans un entretien accordé à nos confrères anglais MacWorld, ce dernier revient sur cet exploit mais discute également de la qualité du code de Windows Vista.
Extraits choisis :
Avec le débat ' Mac OS X est sûr ' contre ' Ce n'est pas exact ', que recommanderiez-vous à un utilisateur Mac comme précautions de sécurité raisonnables ?
Je recommande que les utilisateurs Mac utilisent pour leur compte principal un compte non administrateur, qu'ils utilisent des mots de passe différents et qu'ils stockent leurs documents sensibles dans une image disque chiffrée (cryptée). Je pense que ces premiers pas peuvent permettre de mieux protéger leurs informations sensibles présentes sur leur ordinateur. (Note : ces conseils s'appliquent également aux utilisateurs de Windows !)
De votre recherche sur les deux plates-formes, y a-t-il un gagnant entre Mac OS X 10.4 et Vista d'un point de vue sécurité ?
J'ai trouvé la qualité de code, du moins en termes de sécurité, beaucoup mieux en général dans Vista que dans Mac OS X 10.4. C'est évident d'observer que les composants affectés dans les patchs de sécurité de Microsoft (SDL ou Security Development Lifecycle) ont résulté en moins de vulnérabilités dans le nouveau code écrit. J'espère que plus de vendeurs de logiciels suivent leur avancée dans le développement de méthodologies de développement de sécurité logicielles actives.
Consulter l'entretien complet (anglais)