ACTUALITES

C'est finalement une vulnérabilité exploitable via le navigateur Safari qui aura permis à un pirate de remporter le prix de 10 000 dollars offert dans le cadre de la conférence CanSecWest, au Canada. Les organisateurs avaient en effet installé deux Macintosh accessibles depuis une borne Wi-Fi. Leur configuration était celle par défaut et aucun programme supplémentaire n'était exécuté. L'objectif était d'en prendre le contrôle à distance : le premier devait être compromis en obtenant un accès "utilisateur" en ligne de commande (un "shell"), et le second un accès "administrateur" ("root"). Pour cette épreuve là, les Mac se sont révélés inviolables (l'histoire ne dit pas si le pare-feu personnel de MacOSX était activé ou non. Il ne l'est en tout cas pas par défaut).

Peut-être afin de pousser un peu plus les hackers dans leurs derniers retranchements (et au passage, de simuler un vecteur d'attaque très courant !), les organisateurs ont alors décidé que les participants avaient la possibilité d'envoyer par e-mail des liens internet qui seraient transmis aux Mac. En clair, il était possible de "faire cliquer" sur un lien puis de "faire visiter" une page web de leur choix aux machines. L'attaque pouvait donc être menée au niveau du lien (malformé, par exemple) ou de la page web à l'arrivée (piégée).

C'est cette seconde option - au demeurant la plus inquiétante pour les utilisateurs - qui a été choisie par le pirate vainqueur du concours. Aucun détail n'a filtré sur la nature exacte de la vulnérabilité. Selon la rumeur - à prendre avec précaution - elle serait liée à la fonctionnalité "d'Input Managers" de Mac OS X (des librairies qu'il suffit de déposer sur le système et qui permettent d'intercepter toutes les entrées du programme auquel ils se rattachent afin de les modifier avant de les lui renvoyer). Toujours est-il qu'il s'agit donc d'une vulnérabilité de type 0-Day (non corrigée, donc) pour MacOS X, accessible à la simple visite d'une page web piégée. L'attaque n'aurait pas fait "crasher" le navigateur Safari et serait donc en outre silencieuse.

La vulnérabilité ne sera pas révélée au public. C'est la société 3Com, via sa division Tipping Point (rachetée à la fin 2004) qui s'occupera de contacter Apple. C'est 3Com qui avait offert le prix de 10 000 dollars. Pour l'heure, il n'y a pas de correctif à cette vulnérabilité. Lorsqu'elle a été annoncée, le 20 avril dernier, Apple venait tout juste de publier un méga-correctif de sécurité de plus d'une vingtaine de rustines. L'une de ces vulnérabilités concernait déjà le navigateur Safari et l'exécution de code, mais cette fois-ci via la librairie libinfo. Peut-être les utilisateurs de Safari devraient-ils se tourner momentanément vers Firefox, dans un grand élan de solidarité avec leurs cousins utilisateurs d'Internet Explorer ?

Plus d'informations : L'annonce du piratage, sur le site de la convention de sécurité (en anglais).