Sécurité : un MacBook Air craqué en deux minutes ?

Alexandre Laurent
Publié le 31 mars 2008 à 15h50
00FA000001033380-photo-pwn-2-own-comp-tition-hackers.jpg
La conférence CanSecWest, qui se tenait en fin de semaine dernière à Vancouver, propose à ses participants un concours sur le mode du « le premier qui hacke cette machine la remporte », le tout étant agrémenté de quelques récompenses en numéraire, histoire de motiver hackers et spécialistes en tout genre. Cette année, l'objectif de la compétition était de forcer la sécurité de trois machines portables : l'une fonctionnant sous Windows Vista Ultimate SP1, la deuxième équipée d'une distribution Ubuntu 7.10 et la troisième embarquant Mac OS, le système d'exploitation d'Apple, dans sa version 10.5.2. C'est finalement le MacBook Air utilisé qui a le premier rendu les armes sous les assauts des pirates dès lors que ces derniers ont eu l'autorisation de directement manipuler la machine.

Sponsorisée par un fournisseur de services en sécurité, cette compétition qui se déroule sur trois jours vise à découvrir de nouvelles failles, communiquées par la suite aux éditeurs concernés afin qu'ils puissent les corriger. Au passage, le fait de confronter Windows Vista, Mac OS et Linux permet d'exacerber les passions, et d'obtenir une large couverture médiatique.

Objectif : forcer les barrages de sécurité de la machine cible, et parvenir à afficher le contenu d'un document texte abrité dans un répertoire protégé. Le premier jour, seules les attaques à distance, par l'intermédiaire du réseau, sont autorisées. Les règles sont ensuite assouplies et au deuxième jour, les attaquants peuvent manipuler les machines, et les faire par exemple naviguer sur un site Web piégé par leurs soins. C'est là que les défenses du MacBook Air ont cédé, un hacker nommé Charlie Miller ayant réussi à exploiter, en quelques minutes seulement, une faille encore inconnue du navigateur Safari. L'exploit de cette dernière avait cependant été préparé de longue date, explique Miller au site SecurityFocus. Le nom de ce pirate n'est pas tout à fait inconnu des initiés puisqu'il figure au nombre des premiers à avoir cassé les protections logicielles de l'iPhone.

Enfin, au troisième jour, les attaquants disposent de la possibilité d'installer des composants logiciels tiers, comme le lecteur Flash d'Adobe grâce auquel Shane Macaulay, consultant en sécurité, a pu mettre à mal Windows Vista équipé de son Service Pack 1. Il aurait pour cela exploité une faille de type « 0 day », dont les modalités d'exploitation ne seront pas rendues publiques tant qu'Adobe ne l'aura pas comblée, et remporte, en plus de la machine piratée, la somme de 5.000 dollars. Après trois jours, le portable Sony équipé d'Ubuntu est pour sa part resté inviolé. Avant de crier à la supériorité d'un système sur un autre, on observera toutefois que dans un cas, l'intrusion est rendue possible par un mauvais comportement de l'utilisateur (visite d'un site infecté) et dans l'autre par l'installation d'un composant logiciel indépendant.
Alexandre Laurent
Par Alexandre Laurent

Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet. Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles