Se connecter avec
S'enregistrer | Connectez-vous

(In)sécurité : Mac OS 10.7.3 stocke des mots de passe en clair

Par - Source: David Emery | B 8 commentaires

La dernière mise à jour de Mac OS X, la 10.7.3, a créé une jolie faille de sécurité. Elle concerne les utilisateurs de FileVault, la fonction de chiffrement des données intégrée à Mac OS. Plus spécifiquement, la faille ne concerne que FileVault des anciennes versions de Mac OS X (avant 10.7). Explications.

Un journal indiscret

FileVault, avant Mac OS X 10.7 Lion, chiffrait uniquement le répertoire personnel d'un utilisateur, pas les répertoires systèmes. Lion inclut une nouvelle version de FileVault, FileVault 2, qui chiffre à la fois les données des utilisateurs et les données du système. Dans Mac OS 10.7.3, quelqu'un a, sans doute par inadvertance, activé l'enregistrement du mot de passe des sessions FileVault dans un fichier stocké en clair dans les répertoires systèmes. N'importe qui ayant un accès administrateur ou root peut lire ce fichier et donc connaître les clés de chiffrement des autres utilisateurs de la machine. Pire, sans accès administrateur à la machine, il suffit de démarrer le mac en mode disque cible ou sur la partition de restauration intégrée à Lion. Un changement de mot de passe ne modifie rien puisque le nouveau sera aussi enregistré.

Have you tried turning it off and on again ?

Le problème est donc grave, mais d'une portée limitée. Ne sont concernées que les personnes i) ayant mis à jour vers 10.7.3 et ii) utilisant FileVault 1, issu d'une précédente version de Mac OS. Il y a heureusement de bonnes chances qu'un utilisateur de FileVault depuis de longues années ait préféré migrer vers FileVault 2, plus sécurisé et plus stable.  Il y a également une bonne partie des utilisateurs qui sont demeurés à Mac OS X 10.4, .5 ou .6.

Si vous êtes concernés, que faire ? En attendant un correctif venant d'Apple (peut-être dans 10.7.4), il suffit de désactiver puis réactiver FileVault : le chiffrement passera alors automatiquement en FileVault 2. N'oubliez pas non plus de choisir un mot de passe différent, l'ancien étant toujours quelque part sur votre disque ou dans vos sauvegardes.

Commentaires
Afficher les 8 commentaires.
Cette page n'accepte plus de commentaires
  • deagle67 , 7 mai 2012 12:43
    "Il y a également une bonne partie des utilisateurs qui sont demeurés." ^^
  • -5 Masquer
    shooby , 8 mai 2012 11:22
    Mais, je croyais que c'était chez android où "on programmait avec les pieds" ?
  • Squonk , 9 mai 2012 20:48
    Non mais c'est pas vrai... Si on marquait iOS sur un rouleau de pq et Android sur un autre, vous vous disputeriez toujours pour savoir lequel serait le plus doux des deux?

    On s'en FOUT complètement de votre guerre des OS. Vous espérez convaincre quelqu'un avec ça?