Vous allez certainement lire (un peu partout, et plus d’une fois) des dérivés de l’article “Mac OS X hacked under 30 minutes” qui a été publié aujourd’hui. Ce que vous ne lirez peut-être pas, en revanche (selon que vous lisez ou non des sites de macfanatiques — et c’est le cas, puisque vous lisez ce post), c’est la (semi) réfutation que je vais donc me faire une joie de relayer.

L’histoire, telle qu’elle est rapportée : quelqu’un a lancé un défi sur internet à hacker le Mac mini qu’il a configuré comme un serveur web typique ; le défi a tellement bien marché (en général, ça marche bien) que la machine a été hackée en trente minutes. Ouh, OS X, c’est trop de la merde. On se demande bien comment trois à cinq pour-cent de la population online (et pas forcément les moins intéressants, en termes de données personnelles ou professionnelles à voler), et aussi quelques serveurs, peuvent utiliser quotidiennement OS X, avec toutes ces failles de sécurité qu’Apple n’a pas reconnues mais que tout hacker peut exploiter.

Ca, c’est si vous lisez la version ZDNet (et la myriade de copies-carbone qui seront certainement publiées dans les jours à venir) et que vous ne faites pas votre propre recherche. Parce que, si vous le faites, vous verrez que les conditions étaient bien différentes : il suffisait de remplir un formulaire pour créer un compte utilisateur sur la machine et s’y connecter en ssh. En d’autres termes, vous pouviez vous connecter à la machine à distance, comme un utilisateur reconnu. Dans la vie réelle, ça n’arrive pas : que vous utilisiez votre ordinateur personnel sur internet, ou que vous configuriez un serveur web, le reste d’internet n’a pas un login et mot de passe valides pour s’y connecter (sauf si votre mot de passe est facile à deviner, ce qui est le cas de la plupart des gens, mais là il ne faut pas venir se plaindre) — sans parler du fait que le daemon ssh (le serveur qui permet de se connecter à la machine à distance) ne tourne probablement même pas du tout (à moins que vous l’ayez activé pour une bonne raison, auquel cas c’est vraiment votre faute si vous avez mis des mots de passe trop faciles à deviner).

Je ne dis pas ça pour minimiser la faille qui a été exploitée : elle existe, et elle ne devrait pas. Enfin, sauf si c’est un hoax, mais c’est plutôt crédible : il n’y a pas si longtemps, si vous aviez un compte, vous pouviez profiter du fast user switching pour enregistrer tout ce qu’un autre utilisateur voyait ou tapait sur l’ordinateur, du moment que vous aviez une session ouverte en même temps. Mais le “privilege escalation” fait partie intégrante de l’informatique, c’est inévitable, ça arrive tout le temps, et même sur Unix c’est une course entre les hackers et les programmeurs (et c’est de là qu’OS X tire ses failles, d’ailleurs — à ce que j’ai compris, Apple a tendance à traîner un peu pour implémenter les correctifs de sécurité au fur et à mesure qu’ils sont développés pour son cousin BSD). Ca veut dire que vous ne devez pas laisser un étranger avoir un compte sur votre machine, peu importe le système d’exploitation sous lequel elle tourne.

Et dire qu’il y a quelques jours je critiquais la façon dont John Gruber reportait sur l’utilisateur la faute de double-cliquer sur un fichier sans le vérifier sous toutes les coutures. Mais il y a une différence, là : Windows est loin d’être mieux (historiquement, il me semble qu’il a été plutôt pire). Sauf qu’OS X souffre d’être basé sur un système open-source et bien documenté, dont les failles sont tout aussi bien documentées, et de ne pas être patché aussi vite qu’il le devrait parce que les ingénieurs d’Apple partagent un peu cette illusion d’invulnérabilité. Et ça, comme je l’ai dit plus tôt, c’est effectivement inquiétant.

[07/03] En réponse, le Mac OS X Security Challenge, plus réaliste, et invaincu jusqu’ici après 24 heures [via] :

Certains ont objecté que ce [nouveau] défi ne faisait rien d’autre que tester la sécurité d’apache ou ssh sur une architecture PowerPC. C’est exact. Et c’est comme ça qu’apparaît une machine sous OS X de l’extérieur. […]

L’article de ZDNet a été mis à jour pour inclure la phrase : “Les participants étaient invités à utiliser un accès client local à l’ordinateur pour tester leur chance.” [Mais sans explications supplémentaires sur la portée de cette précision.]