Une faille de sécurité importante a été découverte sous le système d’exploitation Mac OS X Lion d’Apple permettant de modifier le mot de passe d’une session sans identification préalable.
Le blog Defence in Depth qui se penche depuis des années sur la sécurité des mots de passe chez Apple vient de découvrir une nouvelle faille présente sous Mac OS X Lion.
Sous ce système, chaque mot de passe et informations liées au compte utilisateur sont stockés dans un fichier « shadow » (shadow file) situé dans un emplacement sécurisé sur le disque. Normalement, les données présentes dans ce fichier peuvent uniquement être accessibles et modifiées par l’utilisateur lui-même, ou l’administrateur. Or, la faille découverte permet à quiconque de modifier le mot de passe d’un utilisation sous Mac OS X Lion.
En 2009, Defence in Depth avait déjà trouvé une solution pour extraire un mot de passe utilisateur mais il fallait pour cela un compte administrateur.
Sous Mac OS X Lion, la situation est bien plus grave puisqu’il est possible d’accéder aux fichiers shadow de tous les utilisateurs sans avoir les droits administrateurs. Il suffit pour cela de saisir la commande dscl localhost -read /Search/Users/username, username étant à remplacer par le nom de l’utilisateur.
Mais ce n’est pas tout puisque n’importe quel utilisateur peut changer le mot de passe d’un autre, là encore très simplement en saisissant la commande suivante dans le Teminal : dscl localhost -passwd /Search/Users/USERNAME. Ici, seul le mot de passe de la session en cours peut être modifié.
Toutefois pour que ces manipulations fonctionnent, il est nécessaire d’avoir accès physiquement à l’ordinateur fonctionnant sous Mac OS X Lion et qu’une session utilisateur soit ouverte. Mais pour Defence in Depth, il suffit que l’administrateur surf sur un site web hébergeant un Applet Java malicieux pour qu’un individu mal intentionné prenne le contrôle et récupère et/ou modifie le mot de passe.
Pour l’instant, pas de patch mais Defence in Depth conseille de limiter l’accès à l’outil dscl avec la commande suivante : $ sudo chmod 100 /usr/bin/dscl.
Il est aussi conseillé de désactiver l’identification automatique au démarrage de l’ordinateur sous Mac OS X Lion et de fermer la session dès que l’on s’éloigne du poste, de désactiver le compte invité ou encore de mettre en place un mot de passe lorsque l’on quitte la veille.
[Source : Defence in Depth]
Une réponse à “Mac OS X Lion victime d’une faille de sécurité importante : mot de passe inutile ?”
Il manque une information cruciale qui limite terriblement la portée de cette astuce. Pour pouvoir modifier le mot de passe de l’admin ou d’un autre compte depuis un simple compte, il faut que le compte visé soit connecté en même temps que vous. A moins d’utiliser un système de session à distance je ne vois pas comment on peut faire ça sur une machine à la maison.