Hackez mon Mac !
|-|4><0R \/\/4|\|73D
Avant-hier, on apprenait qu’un mini-challenge avait été organisé par un possesseur d’un Mac Mini, le principe étant de s’ajuger les droits d’administration de la machine (mode “root”) et donc de pouvoir en modifier les fichiers.
La mise a l’épreuve n’a pas duré bien longtemps : quelques heures avant qu’un petit malin y parvienne, au bout d’environ 30 minutes de manipulations. Interviewé, le hacker nommé “gwerdna” a révélé avoir utilisé des failles pour l’instant non publiées du système Mac OS X, lesquelles seraient nombreuses selon lui.
Il convient néanmoins de tempérer l’événement. En effet, l’initiateur du concours était parti sur l’idée d’ouvrir un compte local pour tous les participants au concours. Chacun d’eux avait donc un accès direct à la machine, permettant de passer des commandes à distance (via l’internet) comme s’il était directement en face ou sur le même réseau local. Il s’agit donc de “indoor hacking” et non d’une réelle intrusion de l’extérieur : le hacker n’a eu qu’à faire ce que dans le jargon on appelle une escalade de droits afin d’accéder aux droits d’administration en partant de droits standards. On ne parle donc pas ici réellement de sécurité de la machine vis-à-vis de l’internet, mais plutôt de la sécurité à l’intérieur d’un groupe de travail, ce qui n’est pas du tout la même chose.
Afin d’illustrer la différence entre les deux notions, un autre internaute a lancé un concours rigoureusement équivalent, à ceci près que les participants ne disposaient pas de compte dès le départ. Le test a ainsi duré 38 heures, et aucune prise de contrôle n’a été ni constatée ni revendiquée, malgré le demi-million de requêtes via le web et les 4000 tentatives de connexion à distance via SSH (lignes de commande).
Voilà qui rétablit un peu l’équilibre. La presse en ligne spécialisée, elle, a fait largement écho au premier épisode de cette affaire, comme on pouvait s’y attendre. En effet, on a l’impression que depuis que le Mac est de retour sur le devant de la scène informatique grand public, jusqu’ici monopolisée par Microsoft, se croire à même de prétendre que le Mac est mal protégé devient branché… Une façon d’exorciser le mal chez les adeptes de Windows ?
Bien sûr, et comme le précisent également les organisateurs de ce second test, ceci ne prouve pas l’infaillibilité totale du système. D’ailleurs ce n’était pas son but, même si une machine grand public (un Mac Mini) en configuration standard a quand même bien tenu le coup face à une rafale d’attaques organisées. Ce qui est à retenir est qu’il faut toujours bien préciser les conditions dans lesquelles un test est mené, et ainsi quel type de sécurité est mise en jeu.