macOS : Apple ne parle pas toujours de sécurité… mais elle change quand même des choses

Quand Apple présente une nouvelle version de macOS, les projecteurs se braquent souvent sur l’interface, les nouvelles applications ou les fonctions d’intelligence artificielle. Pourtant, une partie des changements les plus importants passe presque toujours sous le radar : la sécurité.

Ce post s’inspire d’un billet publié sur le blog spécialisé Intego Mac Security Blog consacré à la sécurité de macOS Tahoe. Le contenu original étant en anglais, l’objectif ici n’est pas de le traduire ni d’en présenté tous les détails, mais plutôt l’esprit général. Si vous souhaitez lire la version complète, Safari peut traduire automatiquement la page en français directement depuis la barre d’adresse.

Apple ne parle pas toujours de sécurité…

Et c’est précisément ce que rappelle cet article consacré à macOS Tahoe.

L’idée n’est pas qu’Apple ait ajouté une unique fonction spectaculaire nommée « Super Protection 3000 ». C’est presque l’inverse.

La sécurité sur Mac évolue aujourd’hui par petites couches invisibles.

Une accumulation de petits changements

Le principe défendu dans ce billet est assez intéressant : la protection d’un Mac moderne ne repose plus sur un antivirus ou sur une fonction unique.

Apple renforce progressivement plusieurs composants :

les permissions accordées aux applications ;
la vérification des logiciels téléchargés ;
les protections de Safari ;
les mécanismes système ;
certaines protections liées à la vie privée.

Pris individuellement, ces éléments semblent parfois mineurs. Ensemble, ils modifient cependant la manière dont le système réagit face à des comportements potentiellement dangereux.

Le Mac est plus sécurisé… mais pas magique

Un autre aspect intéressant du billet est son approche assez réaliste. Même avec les protections intégrées d’Apple, certains risques restent toujours présents :

faux téléchargements ;
extensions malveillantes ;
sites frauduleux ;
phishing ;
applications douteuses.

Autrement dit : macOS protège davantage, mais il ne remplace pas le bon sens.

Cela peut sembler évident, mais beaucoup d’utilisateurs pensent encore qu’un Mac est naturellement invulnérable. Apple a beaucoup amélioré la sécurité ces dernières années, mais aucune plateforme ne peut empêcher quelqu’un de cliquer sur un faux bouton « Mettre à jour Flash Player » en 2026.

Une philosophie qui change doucement

Ce qui ressort surtout de cette lecture, c’est une évolution de philosophie. Pendant longtemps, la sécurité consistait surtout à bloquer des logiciels malveillants connus.

Aujourd’hui, Apple semble davantage chercher à :

limiter ce qu’une application peut voir ;
réduire les autorisations permanentes ;
isoler davantage les composants ;
diminuer les possibilités d’attaques persistantes.

C’est plus discret. Mais probablement plus efficace sur le long terme.

Les nouveautés visibles attirent toujours l’œil : nouveau design, fonctions de productivité ou intégration entre appareils Apple.

Pourtant, les changements invisibles sont souvent ceux qui auront le plus d’impact dans plusieurs années.

Parce qu’une mise à jour majeure ne change pas seulement ce que vous voyez.

Elle change aussi ce que les autres ne pourront plus faire sur votre Mac.

Je vous conseille de lire ce Blog mais si en Anglais, il est spécialisé en sécurité et Intego est connu pour ses outils de sécurité (Antivirus notamment) https://www.intego.com/mac-security-blog/

macOS : Passkeys sur Mac : la fonction discrète du Trousseau qui pourrait faire oublier les mots de passe

Les mots de passe nous accompagnent depuis des décennies. Le problème est qu’ils imposent souvent les mêmes habitudes : choisir quelque chose de facile à retenir, réutiliser le même mot de passe sur plusieurs sites ou stocker des notes quelque part pour ne pas les oublier.

Vous avez probablement déjà vu apparaître un message sur votre Mac ou votre iPhone : « Voulez-vous enregistrer une clé d’accès (Passkey) ? ». Et comme beaucoup d’utilisateurs, vous vous êtes peut-être demandé : « Encore un nouveau mot de passe Apple ? »

En réalité, ce n’est pas un mot de passe. C’est justement une technologie conçue pour essayer de s’en débarrasser.

Apple l’intègre directement dans le Trousseau iCloud de macOS et, derrière son apparente simplicité, se cache un changement important dans notre manière de nous connecter aux sites web et aux applications.

Pourquoi les mots de passe deviennent un problème

Prenons un exemple très courant.

Vous créez un compte sur un site de commerce en ligne avec le mot de passe :

« MonChat2026! »

Quelques semaines plus tard, vous utilisez une variante proche pour un autre service :

« MonChat2026!! »

Si l’un de ces services subit une fuite de données, plusieurs comptes peuvent rapidement devenir vulnérables.

C’est exactement ce que les Passkeys cherchent à éviter.

Alors qu’est-ce qu’un Passkey ?

Une Passkey (clé d’accès) remplace le mot de passe traditionnel par un système utilisant deux éléments distincts :

Une clé privée conservée uniquement sur votre appareil.
Une clé publique envoyée au service web.
La clé privée ne quitte jamais votre Mac, votre iPhone ou votre iPad.

Même si un pirate informatique récupère les données du site, il ne peut pas reconstruire votre clé personnelle.

Concrètement, il n’y a plus réellement de mot de passe à voler.

Sur Mac, tout se passe dans le Trousseau

C’est là que l’on retrouve la magie Apple.

Vous n’avez généralement rien à configurer. Lorsque vous créez un compte compatible, Safari affiche automatiquement une proposition :

« Créer une clé d’accès ? »

Vous cliquez simplement sur Continuer puis vous confirmez avec : Touch IDou votre mot de passe de session Mac ou Face ID sur un appareil Apple associé

Le Trousseau iCloud enregistre ensuite cette clé et la synchronise automatiquement sur vos appareils Apple.

Votre Mac, votre iPhone et votre iPad partagent alors cette même information de manière sécurisée.

Un exemple concret au quotidien

Imaginons que vous créiez un compte sur un service comme Adobe, Amazon ou GitHub prenant en charge les Passkeys.

Au lieu de saisir :

Adresse mail : henri@example.com
Mot de passe : Xf98!zQ2AzP$
Puis d’attendre un SMS ou un code supplémentaire.

Safari peut simplement afficher : « Connectez-vous avec votre clé d’accès. »

Vous posez votre doigt sur Touch ID.

C’est terminé.

Pas de mot de passe à retenir.
Pas de code à recopier.
Pas de risque d’erreur de saisie.

Mais où retrouver ces Passkeys sur macOS ?

Apple les stocke directement dans le Trousseau.

Sur macOS, vous pouvez les consulter en allant dans :

Ouvre l’application « Mots de passe »

Vous verrez apparaître vos comptes habituels. Certains affichent désormais la mention Clé d’accès. À partir de cet endroit, vous pouvez également : modifier des informations, supprimer une clé, voir quels services utilisent déjà cette technologie

Une question revient souvent

« Si je change de Mac, vais-je tout perdre ? »

La réponse est non.

Les Passkeys sont synchronisées par iCloud lorsque le Trousseau iCloud est activé. Vous achetez un nouveau MacBook Air, vous vous connectez avec votre compte Apple et vos clés d’accès réapparaissent automatiquement. L’expérience ressemble davantage à un transfert invisible qu’à une migration compliquée.

Y a-t-il des limites aujourd’hui ?

La technologie progresse rapidement mais tous les sites ne la prennent pas encore en charge. Vous rencontrerez encore des services qui utilisent uniquement des mots de passe classiques ou une authentification par SMS. Pendant une période, les deux systèmes vont donc coexister.

La bonne nouvelle est que l’adoption progresse rapidement grâce à Apple, Google, Microsoft et à l’alliance FIDO qui standardise cette technologie.

Le mot de la fin

Pendant des années, nous avons essayé de créer des mots de passe toujours plus complexes :plus longs, plus compliqués, plus difficiles à retenir

Les Passkeys changent complètement cette logique.

Au lieu de demander à l’utilisateur de devenir un expert en sécurité, elles déplacent cette complexité vers la technologie elle-même.

Et c’est probablement ce qui les rend intéressantes : elles disparaissent presque complètement du quotidien.

On finit simplement par oublier qu’un mot de passe existait auparavant.

Bon mot de passe !

Vous avez une question, une idée ou une remarque ? Je serai ravi de vous lire ! henrido@hdrapin.com

Apple Deeptech : MIE : Quand Apple voit sa forteresse tomber en cinq jours !

Les chercheurs de Calif ont contourné le Memory Integrity Enforcement d’Apple en 5 jours avec l’IA Mythos. Ce que cela change pour la sécurité macOS Tahoe et l’utilisateur professionnel.

N’hésitez pas à écouter la version podcast. 😉

Le fait du 14 mai…

Le 14 mai 2026, des chercheurs de l’équipe Calif ont publié le premier exploit public du noyau macOS sur puce Apple M5. En cinq jours de travail, assistés du modèle d’intelligence artificielle Mythos d’Anthropic, ils ont contourné le Memory Integrity Enforcement, la protection mémoire du noyau qu’Apple avait passé cinq années à construire. La faille a été corrigée dans macOS Tahoe 26.5, sorti le 11 mai.

Ce qui ressemble à une actualité de sécurité parmi d’autres est en réalité un événement structurel pour l’écosystème Apple.

Ce que personne n’avait vu venir

Apple n’a jamais présenté le Memory Integrity Enforcement en Keynote. Aucune annonce grand public, aucun diaporama. Cette couche de protection matérielle du noyau macOS n’a été décrite que dans un article du blog Apple Security Research, accessible uniquement à ceux qui cherchaient.

C’est précisément ce silence qui rend la chute spectaculaire. L’exploit de Calif ne cible pas une fonctionnalité périphérique : il contourne la protection structurelle centrale qu’Apple considérait comme l’avenir de la sécurité sur toute sa gamme Apple Silicon.

Le vrai signal n’est pas la vulnérabilité elle-même. C’est l’outil qui a permis de la découvrir en cinq jours là où un chercheur humain seul aurait mis plusieurs semaines : Mythos Preview d’Anthropic, un modèle capable de scanner les classes de bugs connus à une vitesse qu’aucune équipe humaine n’atteint.

La mécanique de la forteresse brisée

Le Memory Integrity Enforcement repose sur une spécification d’architecture publiée par ARM en 2019 : la Memory Tagging Extension (MTE).

Le principe est d’une logique implacable. Chaque allocation de mémoire reçoit une étiquette numérique secrète, intégrée directement dans le pointeur qui y donne accès. Le processeur vérifie automatiquement, à chaque accès, que l’étiquette présentée correspond bien à celle attendue. Si elles ne correspondent pas, l’accès est refusé par le matériel avant même d’atteindre le système d’exploitation.

Conséquence théorique : les corruptions de mémoire classiques, qui sont à l’origine de l’immense majorité des exploits noyau depuis trente ans, cessent d’être exploitables. Le pointeur corrompu présente une mauvaise étiquette et la tentative d’attaque échoue au niveau du silicium.

Apple avait déjà déployé une technologie similaire en 2018 avec les PAC (Pointer Authentication Codes) sur la puce A12. Le Memory Integrity Enforcement représentait l’étape suivante : une couverture permanente, universelle, sur toute l’allocation mémoire du noyau.

L’exploit de Calif est une escalade de privilèges locaux en mode données uniquement. Partant d’un processus utilisateur ordinaire, sans aucun privilège particulier, en utilisant uniquement des appels système standards, les chercheurs ont obtenu un accès root complet. La chaîne d’exploitation ne casse pas l’architecture MTE elle-même : elle exploite des asymétries dans la façon dont macOS implémente la gestion des étiquettes sur certains chemins de code spécifiques du noyau XNU.

Mythos Preview d’Anthropic a été utilisé pour cartographier à haute vitesse les classes de bugs connus dans XNU, identifier les zones où l’implémentation de MIE présentait des failles potentielles, et proposer des vecteurs d’attaque. L’expertise humaine reste indispensable pour orienter la recherche, mais la cadence d’exploration a atteint un niveau que les équipes de sécurité défensive n’avaient pas anticipé.

Ce qui change pour l’utilisateur …

La première conséquence est immédiate : si vous utilisez un Mac avec puce M5 pour des usages sensibles, la mise à jour vers macOS Tahoe 26.5 est impérative. Les deux vulnérabilités exploitées dans la chaîne de Calif ont été corrigées dans cette version.

À six mois, les implications sont plus larges. Apple va renforcer l’implémentation de MIE dans les variantes Pro, Max et Ultra du M5, ainsi que dans la prochaine génération M6. La découverte d’un exploit public va mécaniquement accélérer la recherche offensive dans la communauté de sécurité mondiale.

Pour les organisations qui ont déployé des Mac M5 dans des environnements à données sensibles, le message est nuancé : le Memory Integrity Enforcement est une protection réelle et sérieuse, qui élève considérablement le coût d’une attaque locale, mais elle ne dispense pas d’une politique de mise à jour rigoureuse, et ne remplace pas les mesures organisationnelles de sécurité.

Le signal stratégique de fond est plus radical : Mythos et ses équivalents chez d’autres acteurs vont industrialiser la découverte de vulnérabilités dans les systèmes d’exploitation. Apple devra adapter son cycle de réponse sécurité. L’ère où une protection matérielle pouvait tenir plusieurs années sans être mise à l’épreuve publiquement est révolue.

Source : First public macOS kernel memory corruption exploit on Apple M5 — Calif Security Research, 14 mai 2026

Titre de la page	URL officielle	Date de publication
First public macOS kernel memory corruption exploit on Apple M5	blog.calif.io	14 mai 2026
Memory Integrity Enforcement: A complete vision for memory safety in Apple devices	security.apple.com	2026
About the security content of macOS Tahoe 26.5	support.apple.com	11 mai 2026
Anthropic Mythos helped Calif build a macOS exploit in five days	9to5mac.com	14 mai 2026
Aided by Mythos Preview, Researchers Announce MacOS Kernel Exploit	daringfireball.net	14 mai 2026

Vous avez une question, une idée ou une remarque ? Je serai ravi de vous lire ! ✉️ henrido@hdrapin.com

macOS : Cryptexes et Sécurité Découplée : Comment Apple Refonde son Armure Système

Apple migre sa sécurité vers des architectures découplées. Les cryptexes permettent des patchs zéro-jour sans redémarrage—mais l’adoption reste manuelle.

Apple a migré Safari, WebKit et les bibliothèques système vers des conteneurs cryptographiquement scellés nommés cryptexes, permettant des patchs de sécurité entre les mises à jour majeures sans redémarrage complet.

Personne ne parle de cette refonte architecturale, pourtant elle change la géographie fondamentale de macOS.

Pendant 25 ans, sécurité d’Apple = OS monolithique + redémarrage obligatoire. Aujourd’hui ? Sécurité découplée + updates asynchrones. C’est une mutation invisible, mais elle redéfinit comment Apple répond aux crises zéro-day. Et il y a un détail que tout le monde a manqué : ces mises à jour ne sont pas automatiques. L’utilisateur doit les autoriser manuellement.

L’Architecture Révélée

Les cryptexes sont des disques images optimisés, scellés cryptographiquement, stockés dans la partition de pré-amorçage à côté du firmware. Quand Apple libère une « Background Security Improvement » (BSI), le système ne touche pas au noyau ni au reste de l’OS. Seul le conteneur visé (Safari, WebKit, une lib système) subit un patch binaire et redémarre son contexte applicatif.

Techniquement, c’est ingénieux : au lieu d’orchestrer un redémarrage système complet pour corriger une faille WebKit, Safari se termine, se relance avec le nouveau contenu des cryptexes, et l’utilisateur reprend son travail. Le reste du système dort.

L’infrastructure derrière ? Apple envoie une requête au service de signature pour obtenir le manifest Cryptex1Image4, tandis que le ticket de boot AP ne change pas. Chiffrement asymétrique + validation sans interruption = la définition de la couture invisible.

Première BSI publique pour macOS Tahoe 26.3.1 : « 25D771280a ». Elle s’affiche comme version 26.3.1 (a) cette lettre entre parenthèses signale une BSI.

Apple parle de vérifications toutes les 6 heures via softwareupdated, mais ici encore, c’est opt-in dans Réglages > Confidentialité & Sécurité.
Puis rendez vous ensuite dans la section « Amélioration de la sécurité en arriere-plan ». (Apple reste d’une grande orginalitée dans les noms des sections 😉 )

Et optez pour une installation automatique (fortement conseillé)

Ce que Cela Change pour Vous… rien !

Cela impactera surtout les professionnels : Apple pourra patcher une faille critique en 48 heures sans perturber les opérations en cours. Mais l’adoption dépend de qui clique sur « Appliquer ». Les administrateurs IT devront apprendre à orchestrer ces BSI. Et pour les utilisateurs ? Une fausse promesse d’automatisation : théoriquement rapide, pratiquement manuel.

Sources

Vous avez une question, une idée ou une remarque ? Je serai ravi de vous lire ! ✉️ henrido@hdrapin.com

Apple DeepTech : La Notarization, le nouveau gatekeeping invisible d’Apple

Le nouveau système de « notarisation » d’Apple au Japon n’est pas une déréglementation , c’est un plan directeur pour un contrôle centralisé sous un voile de conformité. Comment cette stratégie va remodeler les relations avec les développeurs à l’échelle mondiale.

Profitez de la version Podcast 😉

La Notarization, le nouveau gatekeeping invisible d’Apple

Apple vient d’introduire en décembre 2025 un système appelé « Notarization » pour la conformité à la loi japonaise (MSCA). Ce que les observateurs ont manqué, c’est que ce n’est pas une « ouverture » de l’écosystème, mais le blueprint d’un nouveau modèle de contrôle centralisé, plus subtil et réplicable que l’App Store classique.

Présenté comme une simple conformité réglementaire, ce système redéfinit en réalité la relation entre Apple, les développeurs et les régulateurs. C’est un pivot stratégique majeur qui préfigure la réaction d’Apple aux pressions réglementaires mondiales.

Pourquoi c’est structurel, pas cosmétique

À première vue, la Notarization semble moins intrusive que l’App Review traditionnel. Elle ne vérifie que quatre critères : fonctionnalité basique, absence de malware connu, absences de vulnérabilités évidentes, et vérification de l’identité du développeur.

Mais regardez l’architecture : toutes les apps, même celles distribuées via des marketplaces alternatives, passent par le filtre Apple. Aucune exception. C’est moins visible qu’une rejection d’App Store, mais c’est un point de contrôle obligatoire et non négociable.

Apple n’a pas perdu le veto final, elle l’a simplement caché derrière un écran de « sécurité basique ».

La différence avec l’Europe est révélatrice. En Europe, les apps peuvent être distribuées directement via website sans vérification Apple (sauf les PWA). Au Japon, même ce chemin est fermé : tout passe par la Notarization.

Apple a collaboré avec le régulateur japonais (pas d’approche « adversariale » comme en Europe), ce qui lui permet de garder le contrôle tout en paraissant conforme.

Comment ça marche techniquement

La Notarization combine des vérifications automatisées et une revue humaine. Les critères publics sont minimalistes : malware, crashes, comportements malveillants détectables.

Mais voici l’intéressant : Apple signe et chiffre toutes les apps notarizées, puis effectue des vérifications lors de l’installation pour s’assurer qu’aucune falsification/attaque n’a eu lieu. C’est un nouveau point de contrôle en runtime, pas seulement à la distribution.

Cette architecture crée un précédent technique. Apple peut, à tout moment, ajouter des critères de vérification automatisée sans modifier le framework public. Les critères peuvent évoluer discrètement, sans grand bruit réglementaire.

Vers quelle mutation cela pointe-t-il ?

À 18 mois, cet approche sera probablement étendue à d’autres marchés sous pression (UK, potentiellement les US si des lois de type DMA arrivent). Apple bascule d’une stratégie « gatekeeping par monopole » à une stratégie « gatekeeping par certification ».

C’est plus malin : au lieu de dire « vous ne pouvez pas distribuer », Apple dit « vous pouvez distribuer si vous passez notre certification de sécurité ». La compliance paraît équitable. Mais le résultat final est identique : Apple reste arbitre ultime.

Pour les développeurs, cela signifie deux choses. Première, une App Review moins rigoureuse (car plus focalisée). Deuxième, une Notarization qui s’étendra à tous les OS Apple dans tous les marchés régulés.

Conséquence ?

À court terme, aucun changement visible. Les apps notarizées arriveront probablement plus vite en Japon, et les prix baisseront (5% de commission vs 30%).

À moyen terme, le modèle s’étendra. Tous les OS Apple (macOS, iOS, iPad OS) adopteront probablement une Notarization locale, adaptée aux régulations locales.

À long terme, c’est une réimagination de la relation entre Apple et ses développeurs. Moins de dictature visible, plus de « compliance par certification ». Moins d’App Store review publiquement controversée, plus de filtres techniques discrets mais tout aussi efficaces.

L’utilisateur pro n’est pas impacté directement. Mais son univers de développement, les tools qu’il peut installer, les frameworks qu’il peut utiliser, les designs qu’il peut implémenter, reste sous le contrôle apple, juste sous une nouvelle couche de légitimité réglementaire.

Tableau des sources

Élément	Source	Auteur	Date
Annonce officielle MSCA	Apple Newsroom	Apple Inc.	Dec 2025
Guide technique Notarization	Apple Developer Support	Apple Developer Relations	Dec 2025
Analyse comparative DMA/MSCA	Daring Fireball	John Gruber	Dec 2025
Implications réglementaires	TechCrunch	Josh Constine	Dec 2025

Vous avez une question, une idée ou une remarque ?
Je serai ravi de vous lire ! ✉️ henrido@hdrapin.com

Apple DeepTech : SLAP & FLOP : la fissure silencieuse du silicium Apple

La version Podcast pour vos oreilles 😉

L’architecture vulnérable se révèle par la spéculation !

En janvier 2025, des chercheurs de Georgia Tech et Ruhr University ont publié des preuves de concepts d’attaques côté canal ciblant un mécanisme de prédiction d’adresses mémoire dans les processeurs Apple Silicon.

Ces vulnérabilités nommées SLAP (Data Speculation via Load Address Prediction) et FLOP (False Load Output Predictions) exposent une faille structurelle ignorée des annonces officielles d’Apple, affectant les générations M2, M3, A15, A17 et potentiellement les puces suivantes.

Ce que personne n’a remarqué

La mutation est invisible car Apple a construit ces prédicteurs (LAP et LVP) pour maximiser les performances, sans annoncer les compromis de sécurité inhérents. Ces attaques ne demandent pas de patchs du système d’exploitation, elles contournent les mécanismes de sécurité au niveau du silicium lui-même. C’est un problème matériel qui ne peut être résolu que par un redesign ou des limitations de performance.

La prédiction d’adresses mémoire et de valeurs est une technique standard pour accélérer les processeurs, mais Apple n’a jamais documenté les risques de spéculation associés. Les chercheurs ont démontré qu’en forçant des mauvaises prédictions, ils récupéraient des données sensibles comme des contenus d’e-mails ou l’historique de navigation Safari.

Anatomie technique de l’exploit

Le Load Address Predictor (LAP) prédit quelle adresse mémoire le processeur va consulter selon les patterns d’accès antérieurs. Quand cette prédiction échoue, le processeur effectue du travail spéculatif sur des données arbitraires hors limites. Ces mispredictions laissent des traces dans l’état microarchitectural du CPU et dans le cache, traces que les attaquants peuvent observer et exploiter pour reconstituer les données.

FLOP fonctionne de manière analogue sur le Load Value Predictor (LVP) introduit avec les M3/A17, qui prédit la valeur des données plutôt que l’adresse. L’attaque peut être lancée depuis un site web malveillant, sans accès physique à l’appareil. Un utilisateur naviguant innocemment devient vecteur de compromission.

Conséquences logiques pour les six prochains mois

Apple ne peut patcher cela via des mises à jour logicielles standard. Les options sont limitées et toutes problématiques.

Soit réduire les performances en désactivant partiellement ces prédicteurs (impensable commercialement),
soit accepter le risque et documenter les limitations,
soit concevoir une nouvelle génération de silicium avec isolation supplémentaire.

L’absence de patchs officiels malgré cinq mois écoulés indique qu’Apple choisit probablement l’option trois : laisser cette génération vulnérable et intégrer des mitigations matérielles dans les M4 et futurs processeurs.

Cela signifie que les M2 et M3 resteront exposés. Pour les utilisateurs pro, c’est une faille de confiance majeure dans la sécurité du silicium fondateur.

Tableau de Référence

Élément	Détail
Titre	SLAP & FLOP : vulnérabilités de spéculation dans Apple Silicon
URL primaire	The Hacker News
Analyse technique	Eclectic Light Company
Auteur original	Georgia Tech & Ruhr University Bochum
Date découverte	Janvier 2025
Puces affectées	M2, M3, A15, A17 et probablement M4, A18

Vous avez une question, une idée ou une remarque ?
Je serai ravi de vous lire ! ✉️ henrido@hdrapin.com

Nmap : découvrir les services actifs avec le script banner

Le script banner est conçu pour récupérer les bannières des services actifs sur les ports ouverts d’un hôte. Une « bannière » est généralement une information affichée par un service lorsqu’une connexion est initiée. Ces bannières peuvent contenir des informations précieuses comme le type de service, la version de l’application ou encore des informations spécifiques sur le serveur.

Commandes

nmap -sV --script banner <IP>

-sV : Active la détection de version pour identifier les services en cours d’exécution sur les ports ouverts.
--script banner : Exécute uniquement le script banner pour récupérer les informations de bannières des services.

Quand utiliser ce script ?

Lorsque vous voulez identifier rapidement les services actifs sur une machine distante.
Pour recueillir des informations sur les versions des logiciels installés sur des ports ouverts.
Lors d’un audit de sécurité pour détecter les services mal configurés ou exposés inutilement.

Exemple d’utilisation

Imaginons que l’adresse IP d’un hôte soit 192.168.0.210. La commande suivante sera exécutée :

nmap -sV --script banner 192.168.0.210

Sortie typique

Voici un exemple de sortie que vous pourriez obtenir :

PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 7.4 (protocol 2.0)
80/tcp   open  http        Apache httpd 2.4.41 ((Ubuntu))
443/tcp  open  ssl/https   OpenSSL 1.1.1
|_banner: Apache/2.4.41 (Ubuntu)

Analyse de la sortie

Port 22 (SSH) :

Le service actif est OpenSSH, version 7.4.
Ce service utilise le protocole SSH version 2.0.
Cette information pourrait être utile pour vérifier si la version du service est à jour ou vulnérable.

Port 80 (HTTP) :

Le service est un serveur Apache HTTP, version 2.4.41.
Le système d’exploitation semble être Ubuntu, car la bannière inclut cette information.

Port 443 (HTTPS) :

Le service utilise OpenSSL, version 1.1.1.
La bannière montre que le serveur HTTPS est probablement lié à Apache.

Risques liés aux bannières

Les bannières exposent souvent des informations sensibles, comme :

Les versions exactes des logiciels installés.
Les noms d’hôtes ou les informations système.
Des indications sur la configuration ou les dépendances du service.

Ces informations peuvent être exploitées par un attaquant pour :

Identifier des versions vulnérables de services.
Préparer des attaques spécifiques (par exemple, des exploits pour des versions précises).

Conseils pour sécuriser les bannières

Désactiver les bannières détaillées :

Configurez vos services pour qu’ils n’affichent pas les informations sensibles. Par exemple, dans Apache, modifiez le fichier de configuration pour inclure :
ServerSignature Off ServerTokens Prod

Mettre à jour les services :

Assurez-vous que tous les services détectés sont à jour pour éviter les vulnérabilités connues.

Utiliser un pare-feu :

Filtrez les ports accessibles publiquement pour limiter l’exposition des services sensibles.

Avec ce script, vous pouvez obtenir rapidement une vue d’ensemble des services exposés sur un réseau.

Bonne découverte , et n’hésitez pas a me donner vos astuces sur Nmap !

HD Rapin

Nmap : Découvrez les Scripts pour analyser des réseaux

Nmap est un outil puissant qui permet de découvrir des informations sur des réseaux et des hôtes à travers des scripts personnalisés. Ces scripts, appelés Nmap Scripting Engine (NSE), permettent d’étendre ses fonctionnalités.

Voici quelques exemples de scripts NSE que j’utilise régulierement pour découvrir des informations sur des hôtes sur mon réseau et ainsi identifier des potentiels vulnérabilités.

1. Découvrir les services actifs

Utilisez le script banner pour récupérer des bannières de service sur des ports ouverts :

nmap -sV --script banner <IP>

Ce script extrait les bannières des services actifs pour obtenir des informations comme la version ou l’application en cours d’exécution.

Pour en savoir plus : http://hdrapin.com/?p=12985

2. Identifier le système d’exploitation

La commande -o détecte le système d’exploitation d’un hôte :

nmap -O <IP>

Ce n’est pas un script … mais presque 😉 l’option « -O" : active la détection du système d’exploitation (OS Detection) en analysant les empreintes TCP/IP.

3. Obtenir les informations DNS

Utilisez le script dns-brute pour effectuer un bruteforce DNS et découvrir les sous-domaines associés :

nmap --script dns-brute <domaine>

Ce script explore les sous-domaines d’un domaine donné en bruteforçant des noms courants (mail, www, admin, etc.).

4. Découvrir des vulnérabilités connues

Avec le script vulners, vous pouvez vérifier si un hôte est vulnérable à des CVE connues :

nmap --script vulners <IP>

Il recherche les vulnérabilités connues dans les bases de données CVE pour les services actifs.

5. Analyse des fichiers partagés via SMB

Pour détecter les partages SMB ouverts sur un hôte Windows ou Samba :

nmap --script smb-enum-shares -p 445 <IP>

Ce script répertorie les fichiers partagés et peut également fournir des informations sur les permissions.

6. Découvrir les utilisateurs via SMB

Pour énumérer les utilisateurs d’un serveur Windows ou Samba :

nmap --script smb-enum-users -p 445 <IP>

Ce script extrait des informations sur les utilisateurs connus d’un hôte SMB.

7. Tester les ports ouverts pour des injections SQL

Pour détecter les applications web vulnérables aux injections SQL :

nmap --script http-sql-injection <IP> -p 80,443

Ce script essaie des attaques SQL sur des points d’entrée connus.

8. Scanner les certificats SSL

Pour extraire les informations des certificats SSL/TLS :

nmap --script ssl-cert -p 443 <IP>

Ce script récupère les détails des certificats, comme les dates d’expiration, l’autorité émettrice, et les noms communs.

9. Découvrir les répertoires d’un site web

Utilisez le script http-enum pour détecter des répertoires courants :

nmap --script http-enum -p 80,443 <IP>

Ce script récupère les répertoires courants d’un site web et tente de les identifier.

10. Tester les vulnérabilités spécifiques à un service

Pour tester les vulnérabilités d’un service précis (par exemple, Heartbleed pour SSL) :

nmap --script ssl-heartbleed -p 443 <IP>

Vérifie si un hôte est vulnérable à Heartbleed.

https://heartbleed.com

Comment combiner plusieurs scripts ?

Vous pouvez exécuter plusieurs scripts en une seule commande. Par exemple :

nmap -sV --script banner,http-enum,ssl-cert <IP>

Combine la récupération des bannières, l’exploration des répertoires web et l’analyse des certificats SSL.

Et pour les fans ! le script total :

Voici un script Nmap combinant les 10 exemples mentionnés pour effectuer une analyse approfondie sur un hôte ou un réseau cible en une seule exécution :

nmap -sS -sV -O --script "banner,dns-brute,vulners,smb-enum-shares,smb-enum-users,http-sql-injection,ssl-cert,http-enum,ssl-heartbleed,os-info" -p 1-1000 <IP> --reason --open -oN nmap_combined_scan.txt

Bonne analyse !

HDR

Comment Installer Nmap avec Homebrew sur macOS

Nmap (Network Mapper) est un outil open-source puissant utilisé pour l’exploration réseau et les audits de sécurité. Il permet de découvrir des hôtes, des services, des ports ouverts, des systèmes d’exploitation, et même de détecter des vulnérabilités grâce à des scripts personnalisables (NSE – Nmap Scripting Engine).

Nmap est largement utilisé par les administrateurs réseau et les experts en cybersécurité pour cartographier les infrastructures réseau et détecter d’éventuelles failles.

Fonctionnalités principales de Nmap :

Scan des ports pour identifier ceux qui sont ouverts ou filtrés.
Détection des services actifs et de leurs versions.
Identification des systèmes d’exploitation (OS Fingerprinting).
Découverte des vulnérabilités connues grâce aux scripts NSE.
Audit des certificats SSL et des partages réseau.

Installation de Nmap sur macOS avec Homebrew

Avant d’installer Nmap, assurez-vous que Homebrew est installé sur votre système. Si ce n’est pas le cas, vous pouvez l’installer en vous rendant sur cette page :

Étapes pour installer Nmap

Mettre à jour Homebrew pour garantir que vous disposez des derniers paquets disponibles : brew update
Installer Nmap en utilisant Homebrew :brew install nmap
Vérifier l’installation : Une fois l’installation terminée, vérifiez que Nmap est correctement installé en exécutant :nmap --version

Comment mettre à jour ou désinstaller Nmap

Mise à jour : brew upgrade nmap
Désinstallation :brew uninstall nmap

Avec Nmap installé, vous êtes prêt à explorer les réseaux et utiliser des scripts avancés pour découvrir des informations sur vos hôtes. Je vous explique tout ca dans cette page :

Un conseil : testez vous appareils connectés sur votre réseau, vous aurez probablement quelques surprises. Par exemple si votre réseau local est 192.168.0.xxx :

nmap 192.168.0.0/24

Bonne analyse !

HDR

Boostez la Sécurité de Votre Mac avec ces Outils

Le taux d’adoption des ordinateurs Mac en milieu professionnel a connu une croissance constante au cours de la dernière décennie, grâce à l’introduction de politiques favorisant le choix de son propre appareil (CYOD) et le principe de « apporte ton propre matériel » (BYOD).

Grâce à son architecture basée sur Unix, macOS est généralement perçu comme une alternative plus sécurisée à Windows. Mais cette popularité croissante en fait une cible privilégiée pour les pirates. Nous vous proposons ici quelques principes et outils pour renforcer significativement la sécurité de votre ordinateur.

1. Protéger macOS

La première étape pour sécuriser votre système consiste à vous assurer que vous utilisez toujours la dernière version du système d’exploitation. Chaque mise à jour corrige des bugs et des failles de sécurité, réduisant ainsi les risques d’intrusions malveillantes.

Activez les mises à jour automatiques

Assurez-vous que la fonction de téléchargement automatique des mises à jour est activée. Voici comment procéder sur Sonoma :

Allez dans les Paramètres système.
Naviguez jusqu’à Général → Mise à jour logicielle.
Activez l’option Télécharger et installer automatiquement les mises à jour.

SilentKnight : Maintenez la sécurité à jour

SilentKnight est un outil gratuit qui vérifie et met à jour les composants de sécurité de macOS. Même si son interface est en anglais, il est simple à utiliser.

Installation et utilisation :
Lancez l’application régulièrement.
Les mises à jour nécessaires apparaissent avec une croix rouge. Cliquez sur « Install all updates » pour tout mettre à jour.

Résumé : Les bonnes pratiques

Installez systématiquement les dernières versions de macOS.
Vérifiez les éléments de sécurité avec SilentKnight.

2. Pare-feu : Protéger les entrées et sorties de votre Mac

Le pare-feu de macOS est une fonctionnalité essentielle pour protéger votre Mac contre les attaques malveillantes. Il contrôle le trafic entrant et sortant, ajoutant une couche supplémentaire de protection.

Activez le pare-feu macOS

Apple ne l’active pas par défaut. Voici comment le configurer :

Accédez à Réseau → Coupe-feu dans les préférences système.
Activez-le et cochez les options suivantes :

Autoriser automatiquement les logiciels intégrés à recevoir des connexions entrantes.
Autoriser les connexions pour les services systèmes.

LuLu : Un pare-feu pour les connexions sortantes

Le pare-feu natif de macOS bloque les connexions entrantes, mais pas les sorties. LuLu, un outil gratuit et open source, comble cette lacune.

Avantages de LuLu :
Notifications des nouvelles connexions sortantes.
Contrôle précis des applications qui accèdent à Internet.
Surveillance des activités suspectes.
Installation et configuration :

Téléchargez LuLu depuis Objective-See.
Bloquez ou autorisez les connexions selon vos besoins.

Une alternative payante : Little Snitch

Little Snitch est une autre solution avancée (69 € pour la version complète). Si son prix est un frein, considérez Little Snitch Mini, une version simplifiée pour 14,99 €/an.

3. Internet Access Policy Viewer : Vérifiez la légitimité des développeurs

Cet utilitaire gratuit permet de consulter les Politiques d’Accès Internet (IAP) des applications. Ces fichiers décrivent les connexions Internet autorisées par une application.

Pourquoi l’utiliser ?
Identifiez les serveurs vers lesquels vos logiciels envoient des données.
Renforcez votre confiance envers les applications légitimes.
Installation :
Téléchargez-le sur le Mac App Store.

Résumé des recommandations

Activez le pare-feu de macOS.
Installez un pare-feu pour les connexions sortantes comme LuLu ou Little Snitch.
Vérifiez les IAP de vos applications pour évaluer leur sécurité.

Antivirus : est-ce vraiment nécessaire ?

Si vous téléchargez rarement des fichiers ou utilisez uniquement des sources fiables, un antivirus est souvent superflu. Cependant, pour les utilisateurs actifs en ligne ou accédant à des sources douteuses, un antivirus complète efficacement votre arsenal de protections.

En suivant ces conseils, vous améliorerez considérablement la sécurité de votre Mac tout en préservant votre vie privée. Soyez proactif et restez vigilant face aux menaces numériques !

Bonne protection

HDR

Comment créer un compte utilisateur sur macOS ?

Avoir plusieurs comptes sur votre Mac peut être très pratique, que ce soit pour partager l’ordinateur avec d’autres membres de la famille, pour permettre à chaque personne d’avoir son propre espace personnalisé, ou même pour séparer votre espace de travail de votre usage personnel.

Avec plusieurs comptes, chaque utilisateur peut avoir ses propres fichiers, paramètres et préférences, ce qui évite bien des conflits et permet de maintenir un environnement bien organisé. Voici comment créer un compte utilisateur supplémentaire sur macOS Sequoia en quelques étapes simples.

Étape 1 : Accédez aux préférences système

Cliquez sur le logo Apple situé en haut à gauche de votre écran, puis sélectionnez Réglages Système. C’est l’endroit où vous pouvez ajuster la majorité des paramètres de votre Mac, comme les options de sécurité, la configuration des utilisateurs, et bien d’autres éléments encore. Assurez-vous de bien suivre chaque étape pour éviter des erreurs.

Étape 2 : Rendez-vous dans « Utilisateurs et Groupes »

Dans la barre latérale des réglages système, trouvez et cliquez sur Utilisateurs et Groupes. Cette section vous permettra de gérer tous les comptes disponibles sur votre Mac.

Vous pouvez créer, supprimer ou modifier des utilisateurs existants. Cela vous donne un contrôle total sur qui peut accéder à votre Mac et avec quel type de droits.

Étape 3 : Déverrouillez les paramètres

Pour pouvoir apporter des modifications, vous devrez d’abord déverrouiller les paramètres de sécurité. Cliquez sur l’icône du cadenas située en bas à gauche de la fenêtre, puis entrez votre mot de passe administrateur (ou utilisez Touch ID si votre Mac en est équipé). Cette étape est cruciale pour empêcher tout utilisateur non autorisé de modifier la configuration de votre Mac, garantissant ainsi la sécurité de votre appareil.

Étape 4 : Ajoutez un nouvel utilisateur

Cliquez sur le bouton + juste en dessous de la liste des utilisateurs. Vous devrez ensuite choisir le type de compte à créer : Administrateur, Standard, ou Partage seulement.

Pour un usage quotidien, il est généralement recommandé de créer un compte Standard, car cela permet de limiter les actions susceptibles d’affecter l’ensemble du système. Un compte Administrateur est plus puissant, mais il est préférable de l’utiliser avec précaution.

Administrateur : Ce type de compte a un contrôle total sur l’ordinateur. Les utilisateurs ayant un compte administrateur peuvent installer des applications, apporter des modifications système, et ajouter ou supprimer d’autres utilisateurs.

Ce type de compte est très puissant et doit être utilisé avec précaution pour éviter des modifications non souhaitées qui pourraient affecter la sécurité ou la stabilité du système.
Standard : Les comptes standard sont destinés aux utilisateurs qui ont besoin d’accéder aux applications, aux fichiers, et à la majorité des fonctionnalités de l’ordinateur, mais sans la possibilité de modifier les paramètres du système.

Ces utilisateurs ne peuvent pas installer certaines applications qui nécessitent des droits administrateur ni apporter des modifications profondes au système. Ce type de compte est idéal pour un usage quotidien et permet de garantir une certaine sécurité, en limitant les actions susceptibles d’impacter négativement l’ordinateur.
Partage seulement : Ce type de compte est utilisé pour permettre à des utilisateurs d’accéder aux fichiers partagés sur l’ordinateur sans avoir de session complète.

Ces utilisateurs n’ont pas de bureau ni d’accès direct aux applications installées sur le Mac, mais peuvent se connecter à distance pour accéder aux dossiers partagés. Ce compte est utile si vous souhaitez partager des fichiers avec d’autres personnes tout en gardant le contrôle sur l’utilisation de l’ordinateur.

Pour un usage quotidien, il est généralement recommandé de créer un compte Standard, cela permet de limiter les actions susceptibles d’affecter l’ensemble du système. Un compte Administrateur est plus puissant, mais il est préférable de l’utiliser avec précaution.

Étape 5 : Remplissez les informations

Entrez les informations nécessaires, comme le nom complet, le nom de compte (qui sera aussi utilisé comme nom de dossier de l’utilisateur), et un mot de passe sécurisé.

Choisissez un mot de passe suffisamment fort, en combinant des lettres majuscules, des lettres minuscules, des chiffres, et des caractères spéciaux pour maximiser la sécurité. Vous pouvez aussi ajouter un indice de mot de passe pour éviter de l’oublier, ce qui est particulièrement utile si l’utilisateur est un membre de la famille qui n’est pas très à l’aise avec la technologie.

Étape 6 : Finalisez la création du compte

Cliquez sur Créer l’utilisateur. Une fois créé, le nouvel utilisateur apparaîtra dans la liste des utilisateurs disponibles. Vous pouvez maintenant vous déconnecter de votre compte actuel et vous reconnecter avec ce nouveau compte pour vérifier que tout fonctionne correctement.

Pour vous déconnecter, cliquez sur le logo Apple en haut à gauche de l’écran, puis sélectionnez Se déconnecter. Cela vous ramènera à l’écran de connexion, où vous pourrez choisir le nouvel utilisateur. Le nouvel utilisateur aura accès à un bureau vierge, et il pourra configurer ses propres préférences, installer des applications, et personnaliser l’interface à sa guise.

Et voilà, vous avez ajouté un nouvel utilisateur à votre Mac en un rien de temps ! Cette procédure est rapide et vous permet de mieux gérer les accès à votre appareil, tout en offrant une expérience personnalisée à chaque utilisateur.

Si vous avez d’autres astuces ou questions sur macOS Sequoia, n’hésitez pas à les partager en commentaire.

HDR

macOS : Ou trouver les informations sur les fichiers de sécurité de macOS ?

Apple déploie des mises à jour de sécurité sur ces systèmes et ses applications. Dénicher une information sur ces mises à jour, n’est pas simple. Je vous propose quelques sources, j’ai pris par habitude de les consulter régulièrement. Ces sites contiennent des informations les correctifs de sécurité ou les dernières versions d’un composant ou d’un fichier. Le premier étant Apple, les deux autres sont plus techniques et sont destinés aux utilisateurs avancés..

Apple :

Commençons par Apple, le site du constructeur livre une liste de mises à jour de tous ses systèmes d’exploitation (iOS, iPad OS, macOS, tvOS et Watch OS) ainsi que celles qui sont destinées aux applications éditées par Apple.

Cette liste Globale se trouve derrière cette URL : https://support.apple.com/fr-fr/HT201222 . Dans cette page sont listées les mises à jour, les systèmes ou applications et la date de publications.

Pour des informations plus spécifiques sur Monterey : https://support.apple.com/en-us/HT213054

(Exemple d’informations sur le site d’Apple)

En cliquant sur l’un des éléments, vous serez conduit vers la description qui dans la plupart des cas contient d’une référence à un CVE-AAAA-XXXX.

Il s’agit d’une référence sur une faille de sécurité. La liste des CVE est disponible sur ce site : https://cve.mitre.org/.

Le nombre de CVE est gigantesque, c’est vous dire que le nombre de failles identifiées sur nos appareils informatiques ou domotiques. On imagine facilement le nombre encore plus important de toutes celles qui sont inconnues (ou révélées). Depuis quelques années la portion de CVE attribuées aux objets connectés a dépassée celles des systèmes d’exploitations ou des applications.

The Eclectic Light Company :

Ce site maintenu par un expert de macOS. J’adore l’explorer une ou deux fois par semaines, en dehors des informations sur les aspects de sécurité vous y trouverez des données techniques sur macOS ou les matériels Apple .Aucun autre site a ma connaissnace ne saurait vous fournir. Il propose notament des utilitaires intéressants. Mais aussi une liste des mises à jour et des fichiers fournis par les ingénieurs d’Apple.

Big Sur : https://eclecticlight.co/2020/12/14/silently-updated-security-data-files-in-big-sur/

En effectuant une recherche avec le mot « Security » sur ce site, vous obtiendrez les dernières articles sur les mises a jour d’Apple. Je reviendrais sur quelques utilitaires proposés par ce génial développeur.

Mac Version Database :

C’est la principale source d’informations sur toute la galaxie des mises à jour fournies par Apple. Vous avez là la source la plus fiable, elle est largement utilisée par les administrateurs de parc informatique.

Au passage pour remercier MR MACINTOSH, un bouton « Donate with Paypal» est présent sur la page.

https://mrmacintosh.com/macos-system-status-version-info-for-macadmins/

On y trouve les versions des « Build » de macOS ainsi que toutes les versions classées par sujet comme XPorter, MRT, Gatekeeper etc. Ces informations sont de premier ordre et cruciales si vous portez un intérêt à la sécurité de macOS.

Si vous en connaissez d’autres n’hésitez pas à me l’indiquer : sos@hdrapin.com

macOS : Apple verrouille les volumes systèmes pour votre bien !

Pourquoi verrouiller le volumes système ?

Apple s’évertue à protéger macOS contre les malwares, pour se faire il empêche les modifications du volume System. . Une application ou un utilisateur ne peut pas changer un bit il est immuable (rien ne peut être changé après une installation ou une mise à jour), cela est strictement interdit. Et c’est pour notre confort, la sécurité de macOS est accrue et notre tranquillité d’esprit aussi.

Avant Catalina, Apple s’appuyait sur la protection de l’intégrité du système (SIP) pour verrouiller les modifications des fichiers système. Avec Catalina, Apple est allé plus loin: tous les fichiers système sont placés sur le volume « système », y compris toutes les applications Apple intégrées à macOS. Ce volume système est défini pour être en lecture seule.

Le système d’exploitation interdit les modifications. Vos données utilisateur se trouvent sur le volume de données, qui peut être lu et écrit.

Big Sur va encore plus loin pour s’assurer que le système ne peut pas être manipulé. Lors d’une installation ou d’une mise à jour de Big Sur, sur les Mac Intel et Mac m1, le programme d’installation crée un volume système signé en produisant un verrou cryptographique lorsque l’installation est terminée.

Si le verrou ne peut pas être validé au démarrage, votre Mac ne démarrera pas sous macOS et vous demandera de réinstaller le système d’exploitation.

Quelles applications sont verrouillées?

Le volume système étant immuable, Apple ne peut placer que certaines de ses applications sur ce volume: celles qui ne nécessitent pas de mises à jour régulières.

Ces applications peuvent être actualisées dans le cadre d’une mise à jour du système, car une mise à jour du système Catalina ou Big Sur a le droit d’apporter des modifications au volume du système, y compris ces applications. La liste des applications verrouillées par le système est raisonnablement longue.

Vous pouvez cependant les trouver dans : « /Systems/Applications «

Le dossier : System/Applications :

(Notez l’abscence de Safari qui reçoit de nombreuses mises à jour)

Les applications du volume système apparaissent dans le dossier Applications mélangées aux applications de volume de données. Cela fait partie de l’intégration transparente des volumes dans un groupe de volumes utilisé pour macOS.

(Voir le billet sur la structure des volumes APFS)

Vous pouvez vérifier l’emplacement de n’importe quelle application en la sélectionnant et en choisissant Fichier > Obtenir des informations.

Applications dans Système > Applications :

Application dans Applications :

Le chemin indique le nom du lecteur> Système> Applications comme début du chemin pour les applications du volume système et le nom du lecteur> Applications pour celles qui sont installées sur le volume de données.

Un verrou qui n’est pas sans poser des problèmes

Tous les Mac Intel exécutant Catalina ou version ultérieure (ou tout Mac avec Big Sur) installée ont un volume système immuable, il n’est donc pas nécessaire d’en avoir une copie, car vous ne pouvez pas en changer son contenu quelqu’il soit !.

Il est également complètement distinct du volume de données, ce qui signifie que vous n’aurez pas de préférence ou d’autres fichiers de paramètres que vous pourriez perdre.

Cloner le Volume Système : C’est compliqué voir impossible

Comme vous pouvez le voir, l’organisation de Big Sur ajoute à la complexité de la réalisation d’une sauvegarde amorçable complète (ou bootable) Ainsi un clonage du disque principale de votre Mac devient difficile.

Cloner (pour sauvegarder) le volume de Données : c’est possible

Vous pouvez copier n’importe quel fichier ou application placé au sein du volume de données, y compris le volume entier mais pas le volume qui contient le système.

Particularité des Mac M1

Ajoutons que les Mac de la série M ont également une exigence supplémentaire pour une version amorçable (Bootables) du volume de démarrage qui est basée sur le matériel.

Donc si un clone était possible il ne pourrait etre utilisé qu’avec le même modele de Mac m1 que celui qui a servit a réaliser le clone.

Ajoutons qu’un Mac M1 rend un clone bootable encore moins nécessaire, car s’il ne peut pas démarrer à partir de son disque dur (SSD) interne, vous ne pouvez pas non plus le démarrer en externe.

Le clonage de disque est devenu compliqué (sur intel et M1) voir inintéressant pour le Mac m1.

Réaliser un clone du volume « données » reste la bonne approche mais une sauvegarde complémentaire avec Time machine ou une autre App est devenu indispensable aux vues de la complexité de la création des volumes bootables.

HD Rapin

macOS : Contourner le problème du WiFi et du Portail Captif sur Catalina

Guillaume Gète propose sur son blog une solution à une problème récurrent sur Catalina. Lorsque l’on accède à des réseau Wi-fi en entreprise ou dans des restaurants/cafés, macOS devrait ouvrir une page de connexion ou parfois sont demandés un compte et un mot de passe. Mais voila avec macOS Catalina, cela fonctionne mal. La page du portail « captif » n’apparait pas.

En attendant une mise à jour en provenance d’Apple, voici une moyen de contourner ce problème. Rendez vous sur cette page pour télécharger le correctif : https://blog.gete.net/2019/11/15/corriger-le-probleme-de-connexion-aux-reseaux-wi-fi-avec-portail-captif-sous-de-macos-catalina-10-15/

J’avais une autre solution, plus aléatoire qui consistait à récupérer le portail captif en utilisant une adresse IP dans le browser : http://192.168.1.1 (ou https://192.168.1.1) souvent celle du portail… Cela fonctionnant chez Starbuck ;-).

A lire le papier d’exploration de « Chris » sur sa découverte : https://poweruser.blog/macos-catalina-wifi-issue-captive-portal-broken-45610cc016b5

Vu la longueur du fil sur Reddit sur ce Bug, on n’imagine pas les ingénieurs d’Apple nous laisser sans solution …

HD Rapin

iOS | #ios12 : Le guide de la sécurité d’iOS 12 de 2018

Apple a publié en Anglais au format PDF un ouvrage sur la sécurité d’iOS 12. C’est un document très bien fait qui explique les différentes techniques mises en places pour sécuriser son OS mobile.

Ce lien donne accès au document : https://www.apple.com/business/site/docs/iOS_Security_Guide.pdf

Vous y trouverez de nombreuses informations et l’ensemble des standards utilisés par les ingénieurs de Cupertino. Ce document reste généraliste sans entrer dans les détails des implémentations des solutions mais il permet de mieux comprendre certaines contraintes imposées par Apple pour protéger ce système des attaques.

securité-ios-12.png

On aimerait que cet exemple de documentation soit suivi par les autres fabricants.

Bonne lecture !

HDR

macOS : Où trouver les fichiers et outils de sécurité ?

macOS est composé de très nombreux fichiers, ils sont tous nécessaires au bon fonctionnement du système. Parmi ces milliers de fichiers quelque uns sont liés à la sécurité du système et protège votre Mac des malwares et autres tentatives d’attaques de votre ordinateur.

MRT :

Le Malware Removing Tool (MRT) est l’outil proposé par Apple pour supprimer les malwares détectés par macOS.

Il est disponible dans le dossier System : /System/Library/CoreServices/MRT.app(ou Système > Bibliothèque > CoreServices > MRT.app)

(Dernière version : 1.35, mise à jour le 28/08/2018)

Xprotect :

La protection anti-malward intégrée de Mac OS X porte le nom de « XProtect », une fonctionnalité intégrée à la gestion sous « Quarantaine » des fichiers. Cette fonctionnalité a été ajoutée en 2009 à Mac OS X 10.6 Snow Leopard.

Lorsque vous ouvrez une application téléchargée depuis Internet à l’aide d’une application comme Safari, Chrome, Mail ou Messages, une fenêtre d’avertissement vous informe que l’application a été téléchargée sur le Web avec le site Web spécifique.

C’est le rôle d’XProtect de vous alerter mais aussi d’empêcher certaines applications de se lancer.

Deux fichiers sont disponibles :

/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
et
/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist.

Le plus simple pour en voir le contenu est d’utiliser la commande open dans le Terminal:

La liste de Plugins interdits (PluginBlacklist) est accessible , on y trouve des versions de Flash (Adobe) et java.

Par exemple, la version de silverlightplugin minimum sera la 5.1.41212.0, en dessous de cette version, elle ne sera pas opérationnelle.

blacklist-Xprotect

Le second avec la liste des malwares :

Ces fichiers contiennent les listes des éléments interdits sur Mac !

Gatekeeper Configuration Data
GateKeeper, vérifie la signature des applications et maintient une liste des applications corrompues ou celles qui ont une signature non valide.

C’est une petite base de données qui contient la liste des applications autorisées ou rejetées :
/private/var/db/gkopaque.bundle/Contents/Resources/gkopaque.db

[code]
$ open /private/var/db/gkopaque.bundle/Contents/Resources/
[/code]
Cette ligne de commande, vous mènera jusqu’à la base de données.

N’oubliez pas de télécharger les mises à jour de sécurité et si besoin, vous les trouverez sur cette page : https://support.apple.com/fr_FR/downloads.

HDR

macOS : Utiliser une clé de sécurité U2F pour protéger un compte Google ou Dropbox

Utiliser une clé de sécurité U2F pour protéger un compte Google ou Dropbox :

Vous connaissez probablement la protection des comptes par la double authentification ou la validation à deux étapes. Elle consiste à fournir une nouvelle couche de protection à vos mots de passe en demandant un chiffre délivré par un smartphone. Cette solution est largement employée par les sites et les services sur Internet : Microsoft, Google, Dropbox et bien d’autres.

Cette solution est devenue indispensable, tant les attaques sur les sites sont nombreuses. Apple a choisi d’étendre les appareils à même de fournir la suite de chiffres. Google et Dropbox proposent une alternative : la clé USB U2F.

Au lieu de recevoir sur un appareil une clé de sécurité, il sera nécessaire de l’insérer dans le port USB du Mac pour avoir accès à Dropbox ou à votre compte Google.

Ce sont des clés USB spécialement conçues pour la protection des accès aux sites et services. Les Clés U2F vont de 20,00 à 99,00 euros.

La plus répandue est fabriquée par Yubico et est disponible sur le site d’Amazon.fr. Elle coute 20 euros et convient largement pour cette solution.

Vous devez commencer par initier la validation à deux étapes sur l’un ou les deux services. En exemple les copies sur Google :

Rendez-vous dans la page de votre compte puis dans la section sécurité et cliquez sur Validation à deux étapes.

Il sera nécessaire de l’activer si ce n’est déjà fait.

(la page d’accueil de la validation à deux étapes chez Google).

Un numéro de SMS est nécessaire pour recevoir la clé de sécurité. Elle est envoyée sur le smartphone une fois que vous aurez cliqué : Essayer.

(Le message de confirmation de la clé reçue par SMS)

Saisissez-la dans le champ, la page suivante confirme le bon fonctionnement de l’envoi de la clé. Cliquez sur le bouton Activer.

(La fenêtre de confirmation de l’activation de la validation à deux étapes)

Lorsque la double validation est activée, plusieurs options sont disponibles.

(La page des options du compte une fois l’activation effectuée)

Cliquez sur : Clé de sécurité (l’icône représente une clé USB). Suivez scrupuleusement la procédure, n’insérez pas la clé avant qu’elle ne soit pas demandée.

(L’enregistrement de la clé de sécurité)

Si vous avez opté pour la clé YUBICO, un petit bouton au centre l’active Une fois l’enregistrement de la clé terminé. Déconnectez-vous de votre compte Google et à nouveau ouvrez une session.

Cette fois la clé sera nécessaire, placez-la dans le port USB du Mac et appuyez sur le bouton au centre et c’est terminé.

(la nouvelle fenêtre de connexion à votre compte Gmail, elle nécessite la clé USB).

Si vous ne l’avez pas avec vous, un sms peut être envoyé sur le numéro de confiance pour donner l’accès par ce biais. Et voilà votre compte protégé par une clé USB. Cette fonctionnalité est aussi disponible pour Dropbox.

Elle permet surtout de bloquer l’accès à des services lorsque l’on utilise un ordinateur partagé comme un Mac accessible par toute la famille. C’est un bon moyen de contrôler l’accès à un service par un objet comme la clé USB.

(photo de la clé USB)

Convaincu ? la clé usb sur Amazon.fr : http://amzn.to/2mbv7b2

Henri Dominique Rapin

macOS : Où trouver les informations sur la sécurité de Mac ?

Vous êtes inquiets ? Vous craignez pour la mise à jour de votre Mac, Apple propose une page qui présente tous les correctifs livrés pour Mac OS X :

https://support.apple.com/fr-fr/HT1222

Capture d_écran 2017-03-11 à 10.55.52

(la page Internet d’Apple sur les mises à jours de sécurité)

On trouvera sur cette pages les dernières mises à jour et les dates et des liens pour les dernières versions des Système pour :

En dehors d’être unique, la documentation d’Apple est complete et traduite en Français, prenez le temps de la parcourir…

Vous pouvez aussi vous abonner aux flux RSS d’Apple : http://rss.lists.apple.com/security-announce.rss,

Vous serez informés directement dans Safari de l’actualité en terme de sécurité chez Apple.

Henri Dominique Rapin

Les mots de passe dans Mac OS X et leur stockage dans iCloud.

Le trousseau d’accès est l’endroit où sont centralisés les mots de passe des comptes et ceci quelque soit l’application. Il regroupe les mots de passe des sites Web, des applications, de votre messagerie, de vos connexions Wi-Fi et bien d’autres.

Ce coffre fort est placé dans le dossier Applications. Cliquez dessus pour l’ouvrir. Avez vous remarqué, aucun mot de passe n’est demandé ? Le trousseau est déverrouillé lors de l’ouverture de session.

(l’interface du Trousseau d’accès)

Le trousseau contient en réalité plusieurs trousseaux : un pour le système, un second pour la session de l’utilisateur courant et un troisième pour iCloud. Le premier centralise des données sécurisées employées par Mac OS X. Le second les mots de passe qui vous sont propres ou limités à votre ordinateur et la dernière iCloud, ce sont les informations synchronisées entre tous vos appareils.

Comment enregistrer une information sensible ?
Pour enregistrer des informations autres que des mots de passe : carte de crédit, code de porte ou celle du coffre, créez une note sécurisée (sélectionnez Note sur le côté gauche, puis le symbole plus en bas).

Complétez les informations comme bon vous semble. Ces données seront protégées par le trousseau et uniquement accessible par vos appareils si la synchronisation iCloud est activée.

(La création dans le Trousseau d’accès d’une note sécurisée)

Comment ajouter un mot de passe au Trousseau ?
Quand le trousseau est ouvert, sélectionnez dans la colonne : Mot de passe, puis comme pour la note cliquez sur le symbole +. Dans la première section placez l’URL d’accès au compte, par exemple : http://www.fnac.com. Le second champ servira pour décrire le service. Et le dernier champ contiendra le mot de passe.

Il est fortement déconseillé d’opter pour un mot de passe déjà employé sur un site. La raison en est simple, si le site est piraté, les pirates tenteront d’accéder à d’autres sites avec votre adresse email et le même mot de passe.

Faut il synchroniser le Trousseau avec iCloud ?
Lorsqu’un mot de passe est enregistré dans le trousseau, il peut être synchronisé, c’est à dire dupliqué sur tous les appareils sur lesquels le compte iCloud est configuré.
A l’usage c’est très pratique, vous n’avez pas à vous souvenir du mot de passe d’un site ou d’un réseau Wi-Fi, voir d’un numéro de carte de crédit. En effet, Safari sur iPhone et /ou iPad ou le système lui même récupèrera les informations en utilisant les données synchronisées par iCloud.

Où Apple enregistre t’il les cartes de crédit ?
Lorsque Safari vous propose d’enregistrer le numéro de votre carte de crédit, il place l’information dans le Trousseau. Cette information est accessible, tapez le mot : carte dans le champ de recherche. Vos cartes sont listées, cochez la case : Afficher le mot de passe et indiquez votre mot de passe de session et le numéro de la carte apparaît.

(Le détail d’une carte bancaire enregistrée dans le Trousseau d’accès)

Les numéros de cartes de crédit sont proposés par Safari uniquement si le champs « carte de crédit » est détecté. Les sites marchants utilisent des systèmes pour protéger cette information, ils rendent caduque la détection par Safari qui ne propose pas toujours les numéros de carte.

Comment activer la synchronisation iCloud ?
Ouvrez les préférences système et cliquez sur iCloud. Dans la liste des services disponibles, cochez la case face à Trousseau.

(Les préférences des éléments synchronisés dans iCloud)Si c’est la première fois que vous utilisez la synchronisation, vous devez créer un code de sécurité iCloud sur 4 ou 6 chiffres. Bien souvent ce code est défini sur iPhone ou iPad bien qu’il ne soit pas obligatoire. Un numéro de téléphone sera nécessaire pour recevoir un SMS en cas de perte du code de sécurité.

(la saisie de la clé de protection du trousseau sur iCloud)

Si le code existe, vous devrez dans un premier temps, fournir votre mot de passe iCloud.

(La fenêtre de saisie du mot de passe iCloud)

Ensuite vous aurez deux options : soit utiliser le code qui protège la synchronisation iCloud, soit demander l’autorisation sur d’autres appareils

(L’option d’autorisation : mot de passe iCloud ou sur un autre appareil)

Une demande d’autorisation sera envoyée sur tous vos appareils, vous devrez répondre au message en fournissant le mot de passe du compte iCloud. Les téméraires qui ont mis en place l’authentification en deux étapes devront en complément saisir un code envoyé sur le téléphone par SMS. C’est fini !

Au final, comme vous le constatez, vos mots de passe sont bien protégés et si besoin vous pouvez interrompre la synchronisation en décochant la case dans les préférences iCloud.

H D Rapin

macOS : Comment empêcher un MacBook de se connecter automatiquement à un réseau Wi-Fi !

L’utilisation des « hot spot » est très pratique lorsque l’on est en déplacement, il faut tout de même mettre en place des mesures afin de sécuriser son Mac en activant impérativement le pare-feu de Mac OS X.

Panneau de préférence > Sécurité et Confidentialité, puis en cliquant sur l’onglet : Coupe-feu et le bouton : Activer le coupe-Feu (après avoir déverrouillé le cadenas en bas à gauche de la fenêtre).

(Le panneau préférence système de sécurité et confidentialité)

Par défaut lorsque vous vous êtes connectés à un réseau Wi-Fi, Mac OS X l’enregistre dans sa liste de réseaux connus, il ajoute aussi le mot de passe.

Ce qui s’avère très pratique, si un compte iCloud est défini sur votre Mac, l’information sera synchronisée sur votre iPhone ou iPad. Vous n’aurez rien à saisir, votre appareil mobile se connectera automatiquement.

Pour obtenir la liste des réseaux Wi-Fi connus, une solution consiste à utiliser la ligne de commande suivante :

[code] $ defaults read /Library/Preferences/SystemConfiguration/com.apple.airport.preferences |grep SSIDString [/code]

Mais voilà, il n’est pas toujours bon de se connecter automatiquement à un réseau Wi-Fi, même s’il est connu, surtout avec des hot spot publics.

Pour empêcher cette connexion automatique, commencez par ne plus enregistrer les réseaux Wi-Fi que vous utilisez. Vous devez décocher la case « Mémoriser les réseaux auxquels cet ordinateur s’est connecté ».

Cette option apparaît en cliquant sur le bouton « Avancé » du panneau de préférences « réseau », lorsqu’une connexion Wi-Fi est selectionnée.

(les paramètres avancés de Wi-Fi)

Ensuite, supprimez le réseau de la liste des réseaux préférés. Cela aura pour effet de le sortir de la liste des réseaux connus et votre Mac ne se connectera plus automatiquement à ce réseau Wi-Fi.

Henri Dominique Rapin

Recevez toutes les semaines le résumé des publications : Abonnez-vous à la Newsletter !

Comprendre et gérer les empreintes numériques

Beaucoup d’éditeurs de logiciels utilisent les signatures numériques pour garantir l’intégrité de leurs fichiers, par exemple Apple met à disposition sur ces pages de téléchargement une suite de caractères appelé « digest » ou « fingerprint » qui est une signature numérique du fichier proposé en téléchargement.

Une fois le fichier sur votre Mac, vous pouvez vérifier qu’il est bien celui créé par Apple et non un « faux » avec peut être un virus ou un logiciel espion dedans, le fonctionnement est simple : générez sur votre Mac la clé numérique en utilisant le fichier téléchargé comme source, si la clé correspond à celle affichée par Apple le fichier est bien celui créé par Apple.

A chaque fichier correspond une clé, deux fichiers différents ne peuvent pas créer la même clé, en théorie ! car les mathématiciens se font un plaisir à démontrer les faiblesses de ces fonctions.

Les empreintes numériques (« fingerprint ») sont obtenues en « passant » un fichier au travers d’une fonction mathématique, ce processus est appelé « hachage cryptographique », on part d’un fichier puis après une somme de calculs on en déduit une clé.

La plus connue de ces fonctions de « hachage » est md5, elle fut créée en 1992, malheureusement en 1996 une faille est « théoriquement » découverte, fin 2004 md5 était définitivement « cracké », cet algorithme n’est plus considéré sûr, mais Il est toujours utilisé pour des raisons de compatibilité.

Md5 est très répandu, une commande est même intégrée dans Mac OS X, saisissez la commande dans le terminal :

$ md5

puis glissez un fichier derrière et pressez « entrer » et vous obtiendrez la clé de 128 bits, pour obtenir de l’aide sur cette commande:

$ man md5

EN 1995 la NSA (« National Security Agenccy » aux USA service très secret.. fort connu pour ses écoutes !!! ) proposa un nouvel algorithme devant rendre plus « sur « la fonction sha-0 dont l’origine date de 1993 et était considérée comme non fiable. Cette nouvelle fonction porte le nom de sha-1, elle a supplanté progressivement md5 mais elle semble, elle aussi incertaine quant à sa fiabilité, deux français ont découvert en 2004 que cette fonction de hachage contenait des failles, des algorithmes sont apparus tel que sha-256 qui doivent garantir un plus haut niveau de fiabilité.

Contrairement à md5 il n’y a pas de commande, et pour obtenir une clé basée sur la fonction sha-1 vous devez utiliser la commande « openssl » , qui est un ensemble open source cryptographique livré avec Mac OS X.

Pour obtenir une clé sha-1 avec le terminal :

$ openssl sha1 puis le fichier $ openssl sha1 /Users/hdrapin/Desktop/Sanstitre.app SHA1(/Users/hdrapin/Desktop/Sanstitre.app)= e36d3a03369e5c4fe1bfc64c91c4660da654ebc0

Votre clé correspond à la dernière ligne soit :

« e36d3a03369e5c4fe1bfc64c91c4660da654ebc0 »

Travailler avec le terminal n’est pas des plus pratiques, l’utilisation d’Applescript va soulager notre peine… le script suivant vous simplifiera la vie :

Saisissez ces lignes sous l’éditeur de script puis enregistrez en choisissant le format « Application ».

---------- SCRIPT ------- on run display dialog "Oups, vous devez déposer un fichier sur mon icône pour obtenir la clé sha1" end run on open lefichier do shell script "/usr/bin/openssl sha1 " & quoted form of the POSIX path of the lefichier set leDigest to result set leDigest to (the clipboard as string) display dialog leDigest end open __________ FIN SCRIPT -----

Déposez simplement sur l’icône de votre script un fichier et vous obtiendrez son empreinte numérique.

Ce script s’appuie sur le module « openssl », Remplacez directement dans le script « sha1 » par une autre fonction comme « md5 », voici la liste de quelques fonctions disponibles :

• md2 • md5 • mdc2 • rmd160 • sha • sha1

Lorsque vous effectuez des envois de fichiers rien ne vous empêchent d’utiliser les signatures numériques pour garantir à votre correspondant que les fichiers envoyés sont les authentiques.

Par précaution quand une clé numérique est disponible; prenez le temps d’effectuer la vérification, notre système préféré est de plus en plus la cible d’attaque et le meilleur moyen pour propager sur Mac un programme espion reste de modifier une archive (fichiers .zip ou .sit) téléchargée sur Internet.

Henri Dominique Rapin

Sécurité :: Comment fonctionne le Sandboxing sur Mac OS X ?

Finder

Le SandBoxing sur Mac OS X.

Le terme «SandBox» est particulièrement utilisé dans le monde Linux. Il se traduit par «bac à sable» et décrit un type de protection lors de l’exécution d’un logiciel.

Voir la page WIKI : http://fr.wikipedia.org/wiki/Sandbox_(sécurité_informatique)

Imaginons un logiciel qui fonctionne sur un Mac, par défaut ce logiciel a les droits en écriture et lecture qui sont ceux de l’utilisateur qui a lancé le programme. Toujours par défaut, un utilisateur sur Mac peut écrire à volonté dans son dossier personnel (la petit maison blanche) mais dès qu’il veut modifier le contenu d’un répertoire hors de ce dossier il lui faut montrer pâte blanche et indiquer un mot de passe.

Cette approche par «compartiments» fait la force des systèmes Unix et participe à leur réputation. Dans le monde Windows les choses sont beaucoup moins claires.

Revenons sur notre exemple, notre application fonctionne sur votre Mac et un personnage mal intentionné a réussi à utiliser une faille de ce programme et le contrôle maintenant de l’extérieur. Il peut à cet instant détruire les fichiers auxquelles votre application et plus directement votre compte ont accès.

Ce genre d’attaque existe bien, certes elle ne s’applique pas en particulier aux applications lancées sur un ordinateur mais plutôt à des fonctions de» serveur» comme le serveur Internet Apache qui est livré avec Mac OS.

Une première réponse à ce type d’attaque est bien sur l’utilisation d’un «firewall», qui empêcherait l’accès de l’extérieur à ce programme. Mais quand vous mettez en place un serveur, c’est en général pour qu’il soit accessible de l’extérieur. Donc cette réponse n’est pas la plus appropriée.

Une autre solution consiste à «isoler» l’application, c’est à dire qu’elle s’exécute, mais n’a pas accès à certaines ressources de la machine. Prenons de nouveau notre exemple, cette fois imaginons que nous avons un moyen technique qui nous permet d’interdire à l’application toute écriture dans le dossier personnel de l’utilisateur ou dans une autre zone du système. Dans ce cas de figure, peut importe celui qui lance l’application, celle-ci ne peut plus écrire n’importe ou.

Ainsi donc un assaillant ayant pris possession du programme ne peut écrire et donc être nuisible. Cette technique est celle du «bac à sable» parce que l’application ou le serveur ne peut pas accéder au dehors de la zone de sécurité et ceci peu importe celui qui lance le service ou l’application.

Si les SandBox sont très communs sur Linux ou BSD, ils étaient très complexes à mettre en place sur Mac… Sauf depuis Leopard, Apple propose un solution qu’elle appelle ironiquement «SeatBelt» ou «ceinture de sécurité» (ils sont toujours très poétiques à cupertino).

Le problème de cette solution est qu’elle n’est pas documentée et Apple a raison sur ce sujet. Moins ils en diront et moins de personne tenteront de la contourner.

La solution d’Apple n’est pas inconnue des Unixiens, il s’agit de l’utilisation du framework de TrustedBSD et SELinux pour les distributions linux. A une époque Apple a essayé une version dite «SEDarwin» compatible SELinux mais a renoncé à ce projet pour se consacrer à «Seatbelt».

En pratique comment ça marche sur Mac OS X :

les applications qu’Apple a placé dans un Bac à sable sont listées dans le dossier suivant :

/usr/share/sandbox. pour en explorer le contenu dans le terminal lancez cette commande :

$ cd /usr/share/sandbox

puis

$ ls

Une partie de la liste devrait être la suivante :

bsd.sb ntpd.sb
cvmsCompAgent.sb portmap.sb
cvmsServer.sb quicklookd-job-creation.sb
fontmover.sb quicklookd.sb
kadmind.sb sshd.sb
krb5kdc.sb syslogd.sb
mDNSResponder.sb xgridagentd.sb
mds.sb xgridagentd_task_nobody.sb
mdworker.sb xgridagentd_task_somebody.sb
named.sb xgridcontrollerd.sb

Tous les fichiers portent l’extension «.sb». SURTOUT ne modifiez ni ne supprimez ces fichiers. Pour en voir le contenu tapez la commande suivante :

$ cat fontmover.sb

Ce qui affichera le contenu du fichier «fontmover.sb». Ce fichier est divisé en sections :

Capture d écran 2012 05 07 à 18 03 59

Dont une section du nom de « (allo file-read* «, celle-ci détermine l’espace ou le chemin dans lequel l’application peut lire de fichiers. Une autre section du nom de « (allow file-write*» précise les dossiers où peuvent être écrits des informations par l’application «fontmover.» et ainsi de suite, le bac à sable est ainsi défini.

Vous pouvez vous interroger sur l’intérêt de cette technologie pour un utilisateur, prenons un programme qui voudrait communiquer avec l’extérieur (comme «Adobe»), il n’est pas possible de leur interdire l’accès au réseau. ( Pour être honnête, il existe une solution avec le firewall IPFW embarqué dans Mac OS, mais là n’est pas le sujet).

Il est possible grâce à ce mécanisme «SeatBelt» et de« SandBoxing » de lui interdire par exemple le réseau . Pour cela l’opération est simple, j’ai pris comme exemple d’interdire à l’Utilitaire Réseau » d’accéder au réseau :

Premièrement nous allons créer un profil, c’est un simple fichier texte. Dans un éditeur de texte «texedit» ou «Bean» tapez ces trois lignes :

(version 1)

(debug deny)
(deny network*)
(allow default)

La ligne (deny Network*) indique qu’aucun accès au réseau n’est permis à l’application. Vous pouvez ajouter une ligne (deny file-write*) qui interdit l’écriture de fichiers. Vous l’aurez compris l’astérixe signifie «tout».

Bean

Enregistrez le tout sous le nom «noreseau.sb» dans votre dossier personnel.

Lancez cette commande :

$ sudo

Puis après avoir saisi votre mot de passe :

$ sandbox-exec -f ~/noreseau.sb /Applications/Utilities/Network\ Utility.app/Contents/MacOS/Network\ Utility

Il faut, si vous souhaiter placer dans un sandbox une application, récupérer son exécutable qui se trouve dans le paquet de l’application. Dans le cas de l’utilitaire réseau le chemin ets : « /Applications/Utilities/Network\ Utility.app/Contents/MacOS/Network\ Utility » .

Utilitaire1

L’application sera ouverte automatique et ne pourra accéder au réseau. Vous avez là un moyen simple d’empêcher une application d’écrire dans des fichiers ou d’accéder au réseau comme par exemple «Adobe»…

Utilitaire2

Le fait d’être dans un bac à sable ne dure que le temps ou l’application est ouverte, après sa fermeture elle redémarre hors du « sandbox ».

Le principe du Sandbox n’est pas courant, mais il semble que Google Chrome l’utilise, ceci afin de prévenir des composants qui pourraient être néfastes pour les utilisateurs de ce Butineur.

Henri Dominique Rapin

Lingon 3 :: Comment automatiser des taches avec Lingon 3

LINApplicationIcon

Automatiser des tâches avec Lingon 3 :

L’architecture d’Apple est simple et bien faite mais les fichiers qu’elle contient sont parfois complexes à utiliser sans l’aide d’un utilitaire.

C’est le cas de la configuration de « launchd » qui est le processus principal qui tourne en tâche de fond sur votre Mac.

C’est lui qui lance tous ce qui fait votre Mac OS X, cela va du système au « finder » en passant par tous les services indispensables (réseau, vidéos, partages etc..).

Jouer avec « launchd » est dangereux dans le domaine « système », par contre tout fait abordable et sans risques dans le domaine « Utilisateur » .

La nouvelle version de Lingon limite l’usage de ce logiciel à ce niveau ce qui est plutôt rassurant. Lingon 3 est disponible sur le Mac App Store pour 2,39 €. http://itunes.apple.com/fr/app/lingon-3/id450201424?mt=12)

« Launchd » permet de lancer des tâches en fonction d’un évènement, par exemple lorsqu’un fichier est ajouté à un dossier ou de lancer une application à une date précise du mois voir relancer une application qui est fermée, ce sont là quelques des exemples.

Certains réglages sont déjà utilisés par Apple, c’est le cas des actions de dossiers, qui sont « surveillées » par « launchd » et lorsqu’un fichier est ajouté cela exécute un script AppleScript.

Avec lingon3 et « Launchd » vous avez 5 possibilités d’automatisation, la première lors de l’ouverture de session (At login), la seconde en continue (Keep runing), lorsqu’un volume (disque dur, cd, ou carte mémoire) est monté (Volume Mounted), suivant une fréquence (Every xxx seconds, minutes etc) et à un heure et date précise (At a specific time).

Voici un exemple d’utilisation de « launchd » qui relancera automatiquement une application lorsqu’elle est fermée, dans notre exemple « Safari ».

Cliquez sur le bouton « + », dans le champ « Name » donnez un nom à votre tâche en suivant la notation java inversée du type « com.dom.safaritoujoursouvert), commencez par un « com » puis votre nom ou initiales et le titre de votre automatisme. Si cela vous semble trop compliqué, faites simple. la forme du nom n’a pas beaucoup d’importance.

Dans la section « What » sélectionnez l’application « Safari ».

Cliquez sur les cases à cocher : « At login and at load » qui signifie « lancer Safari à l’ouverture de session » et la case à cocher « Keep running » qui veut dire, lorsque l’application est fermée relancez là.

Cliquez sur « Save & load ».

Suit l’affichage d’un message d’alerte indiquant que le « job » va être créé.

Cliquez sur « Continuer »

Normalement le « Job » sera chargé dès que vous l’enregistrez, mais si vous souhaitez, fermez votre session et ré-ouvrez-la, safari sera lancé, maintenant essayez de fermer Safari, il sera automatiquement relancé.

Henri Dominique Rapin

Mac :: Comment afficher des messages lors de connexion (Shell, FTP, SSH)

Comment afficher des messages lors de connexion (Shell, FTP, SSH) ?

Ajouter du texte affiché à la connexion au Shell, SSH et FTP c’est souvent un bon point de départ en ce qui concerne la sécurité. Cela fait parti des bonnes pratiques, informez vos utilisateurs des conditions d’utilisations, cela évite souvent les abus.

Pour le Shell

Le fichier de configuration à éditer pour le Shell est : /etc/motd

« Motd » signifie « message of the day », et il contient généralement des messages destinés aux utilisateurs concernant l’administration du système. Ce fichier est affiché avant l’ouverture du Shell par le process login.

Pour ajouter simplement du texte à ce fichier :

$ sudo echo "Votre texte" >> /etc/motd

Pour lire le contenu du fichier :

$ sudo cat /etc/motd

Pour le serveur FTP :

Le fichier de configuration à éditer pour ftp est : /etc/ftpwelcome

Le fichier « ftpwelcome » verra son contenu affiché lors d’une connexion avant que soit affiché le login.

Pour ajouter simplement du texte à ce fichier :

$ sudo echo "Votre texte" >> /etc/ftpwelcome

Pour lire le contenu du fichier :

$ sudo cat /etc/ftpwelcome

Pour SSH :

Le fichier de configuration à éditer pour le SHELL est : /etc/sshd_config

SSH affiche le contenu du fichier Banner : « /etc/banner »

Pour obtenir le chemin vers le fichier

$ sudo cat /etc/sshd_config | grep Banner

Pour ajouter simplement du texte à ce fichier :

$ sudo echo "Votre texte" >> /etc/banner

Pour lire le contenu du fichier :

$ sudo cat /etc/banner

Henri Dominique Rapin

Automator :: Comment obtenir la liste des ports ouverts ?

Automator Vous souhaitez identifier les ports TCP/IP ouverts ainsi que les connexions actives ? Les ports ouverts indiquent les applications qui sont en écoutent, elles attendent une connexion depuis l’extérieur. Ce qui peut révéler un partage actif alors que vous ne l’avez pas lancé.

Les connexions, elles, désignent les applications qui réalisent des échanges avec l’extérieur. Il faut faire attention à cette liste car les logiciels malveillants ont pour habitude d’envoyer des informations récupérées sur votre machine vers des serveurs sur Internet. Si le nom d’une application semble étrange, il convient de l’interrompre.

Le plus simple est de passer par le terminal et d’utiliser cette ligne de commande :

 $ lsof -i

Le voici avec un affichage un peu plus « lisible « :

 $ lsof -i | awk '{printf("%-14s%-20s%s\n", $10, $1, $9)}' | sort

Vous obtiendrez un affichage de ce type :

(écran du terminal affichant la liste des ports TCP/IP ouverts)

J’utilise Automator pour m’envoyer cette liste par Email depuis des Mac distants, voici comment :

Lancez Automator, sélectionnez « Alarme Calendrier » si votre objectif est de programmer cet envoi de façon régulière. Sinon optez pour la création d’une application que vous lancerez pour récupérer ces informations par Mail.

Commencez par placez l’action « Exécuter un script Shell », copiez la commande Unix. Ensuite ajoutez l’action « Créer un fichier Texte » et compléter les paramètres. Terminez par l’action de Mail : « Nouveau Message Mail».

Image-02.png (le flux au complet).

Une fois exécuté, le flux crée un message avec comme pièce jointe le fichier contenant l’ensemble des ports ouverts.

(le mail avec le fichier en pièce jointe)

Si vous ne voulez pas laisser de trace du fichier créé, ajoutez deux actions.

« Obtenir les éléments du Finder indiqué », indiquez le chemin jusqu’au fichier à supprimer. Puis placez l’action « Placer les éléments du Finder à la corbeille ».

(Les deux actions à ajouter pour supprimer le fichier créé.)

Et voila rien de très compliqué…

AppleScript :: Comment modifier les paramètres de sécurité par scripts ?

SEScriptEditorX

AppleScript :: Comment modifier les paramètres de sécurité par scripts ?

Voici trois scripts qui vous permettront de scripter les préférences du panneau de sécurité. Ils servent à automatiser le paramétrage de sécurité lors du lancement de l’écran de veille, en fonction du paramètre sélectionné, un mot de passe sera ou non demandé.

(Le panneau de préférences et Confidentialité onglet « Général »)

Le premier active la demande du mot de passe lors de la sortie de la veille du Mac:

tell application "System Events" to set security preferences's require password to wake to true

(le script dans l’éditeur de script)

Le second fait simplement l’inverse, le mot de passe ne sera pas nécessaire après le lancement de l’écran de veille :

tell application "System Events" to set security preferences's require password to wake to false

(le script dans l’éditeur de script)

Passer d’un mode à un autre et inversement…

tell application "System Events" to set security preferences's require password to wake to not (security preferences's require password to wake)

(le script dans l’éditeur de script)

Henri Dominique Rapin

Mac :: Comment modifier facilement le fichier Host?

Comment modifier facilement le fichier Host?

(Gratuit, http://www.eosgarden.com/en/freeware/host-manager/overview/)

Le fichier « host » est peu connu pourtant il est présent dans tous les ordinateurs du monde. Son existence remonte à la création d’internet, c’est la que l’on place les résolutions de noms entre le nom du site ou de l’ordinateur et son adresse IP. C’était avant l’apparition des serveurs de noms dits « DNS ».

Le fichier host est toujours utilisé et prévaut sur la résolution DNS. Ainsi si vous ne voulez pas que votre enfant accède à un site, il s’suffit d’indiquer dans le fichier host le nom du site et l’adresse IP de votre machine ou 127.0.0.1 qui est l’adresse de boucle locale.

Le fichier host est difficile d’accès et nécessite les droits admin pour le modifier. Grâce à cet utilitaire, l’opération devient très simple.

Henri Dominique Rapin

Mountain Lion :: activer « Do Not Track » dans Safari 5.2

Compass

Si Dans Safari 5.1 il était possible d’activer Do Not Track, Mountain Lion et Safari 5.2 simplifient l’opération.

(Voir le billet :: Activer Do Not Track)

Dans les préférences de Safari, sélectionnez l’onglet « Confidentialité » puis cochez la case » Demander aux sites Web de ne plus me suivre » :

Capture d écran 2012 06 13 à 21 44 16

Mac :: Safari :: Activer ‘ Do not Track ‘

Compass

« Do not Track » ou DNT est une fonctionnalité dont l’objectif est de préserver la vie privée des utilisateurs.

Cette fonctionnalité a été imaginée par la « Federal Trade Commission » aux USA. La commission veut que les utilisateurs de Browser puissent indiquer aux sites internet leur volonté de ne pas être suivis dans leur activité sur les pages d’un site Internet. Les sites internet utilisent ces informations à des fins commerciales et la collecte des informations est bien souvent non règlementés. Difficile dans ce cas de savoir ce quelles deviennent…

L’initiative de la FTC va donc dans le bon sens. L’actualité récente nous a montré que Google avait contourné cette fonction. Une très grosse amende est en cours de négociation, mais l’attitude de Google envers la FTC va lui couter très cher.

Continuer la lecture de « Mac :: Safari :: Activer ‘ Do not Track ‘ »

Mac :: passGen, un générateur de mots de passe

PassGen

On ne le dit pas assez souvent mais un mot de passe complexe est indispensable pour protéger vos données et accès sur Internet. Sur ce coup, Apple n’est pas très sympa et ne propose le générateur de mot de passe que lorsqu’il s’agit de définir des mots de passe pour des applications ou utilitaires créés par Apple.

Mais lorsque l’on a besoin d’un mot de passe complexe, il faut se retourner vers un utilitaire. Il en existe plusieurs, passGen est gratuit. Il est disponible sur le Mac Apple Store.

Le mot de passe généré va de 8 à 32 caractères. Il est généré dans sa version standard ou en mode MD5 (parfois utilisé pour vérifier des fichiers).

Un seul regret pour cette application, l’incapacité de choisir la complexité des caractères utilisés, utilisation ou pas des caractères spéciaux, chiffres etc.

A télécharger, l’application est en Français fonctionne très bien.

passGen sur le MAS : http://itunes.apple.com/fr/app/passgen/id521993526?mt=12

Le développer indique que la prochaine version (déjà soumise à Apple) permettra :

– Inclure/exclure les chiffres
– Inclure/exclure des caractères spécifiques
– Elle ajoutera l’affichage en SHA-1
– Elle permettra de convertir un mot de passe (la zone du mot de passe sera saisissable) non généré par l’application en SHA-1 ou MD5. (demande d’utilisateur).

Henri Dominique Rapin

Mac :: FireWall :: Conclusion

Faut il utiliser un pare feu ?

Franchement, Non.

Il y a toujours eu une controverse sur l’utilisation du pare-feu sur Mac. Apple se cherche et ne semble pas avoir trouvé la solution idéale.

Un peu d’histoire :

– Sous 10.3 Le firewall n’était pas a même de bloquer les ports UDP et ICMP

– Sous Tiger, seul était disponible ipfw, avec un tableau de bord «trop simple» pour répondre aux besoins de sécurité des utilisateurs avancées et en même temps pas capable de répondre aux besoins des utilisateurs néophytes, du coup plusieurs utilitaires sont sorties afin de combler ce vide.

– Avec Leopard nous avons le minimum des deux mondes, ipfw pour les experts et le firewall applicatif pour l’utilisateur standard.

Apple a une autre solution «confidentielle» qui est apparue sans publicité que j’évoquerai dans un autre article.

La controverse :

Mais la question que nous avons tous en tête est : «faut-il un pare-feu ?». Beaucoup de membres de la communauté Mac à la sortie de Leopard se sont insurgés face au choix d’Apple qui fut de ne pas activer le firewall par défaut.

Soyons objectifs, un Pare-feu sert à protéger une machine des attaques extérieures, ors combien de Mac sont-ils directement exposés sur Internet ? Quasiment aucun, le temps des « modems » ADSL sous forme de clé usb est révolu.

De nos jours une infrastructure d’accès a Internet pour un particulier repos sur un Modem/Routeur (une des innombrables BOX) ou un modem ADSL et un routeur comme les bornes Airport. C’est sur ces éléments que repose la première ligne de front, si ceux-ci sont correctement confitures dès lors un assaillant ne pourra atteindre un Mac placé derrière.

L’intérêt du pare-feu n’est pas là, (du moins pas au niveau des protections des attaques extérieures).

Ma femme utilise un PC, et comme tout utilisateur de PC le premier logiciel que vous achetez est une suite antivirus, celle-ci est aujourd’hui complétée et propose entre autre de remplacer le pare-feu de windows.

L’intérêt de ces outils est de vous alerter lorsqu’un programme tente de se connecter sur un serveur a l’extérieur. C’est à mon avis l’élément manquant de Mac OS X. Il faut craindre une recrudescence des Rootkit et autres malware, dont l’un des objectifs est de récupérer des informations au sein de votre ordinateur et de les envoyer vers un serveur quelque part sur Internet.

Si donc nous avions une alerte sur les programmes ouvrant une communication vers l’extérieur nous serions plus à même de protéger les informations placées dans nos machines.

En conclusion, les pare-feu n’ont que peu d’intérêt pour un Mac placé derrière un routeur (bien configuré) par contre Apple ne répond pas a la problématique des fuites d’informations placées dans voter Mac.

Mais cela n’engage que moi….

Henri Dominique Rapin

Des solutions tiers existent :

– Little Snitch (http://www.obdev.at)

– Opendoor (http://www.opendoor.com)

– Doorstop X (http://www.opendoor.com/DoorStop/)

– Flying Buttress (http://personalpages.tds.net/~brian_hill/flyingbuttress.html)

– Intego Internet Security Barrier (http://www.intego.com)

– Norton Internet Security 4 for Mac (http://www.symantec.com/norton/macintosh/antivirus)

Les sites pour aller plus loin :

– http://www.securemac.com en Anglais

– http://blog.intego.com en Francais

Mac :: Astuces :: Spoofing d’adresse MAC

Pour réaliser ça sur une carte Aiport, il fallait auparavant lancer quelques « scripts » et des commandes avec le terminal, aujourd’hui vous pouvez utiliser un utilitaire gratuit publié par « smate.name », il vous permet de changer l’adresse MAC d’un carte Wifi « AirPort Extreme » d’Apple en toute simplicité (http://smat.name/en/spoofmac/).

Ou plus : http://slagheap.net/etherspoof/.

Pour mieux comprendre le principe du « spoofing « : il faut connaître quelques principes sur les réseaux :

En simplifiant, les réseaux communiquent entre eux d’adresse IP à adresse IP, au sein d’un réseau, la communication s’appuie sur les adresses MAC.

Si vous souhaitez envoyer un message à une adresse IP, votre ordinateur devra d’abord identifier quelle adresse MAC correspond à cette adresse IP.

Pour résoudre les adresses IP et MAC, votre ordinateur enverra à TOUT le réseau (Broadcast) une requête « arp (address resolution protocol)
» du type :

01:12:15.085530 arp who-as 192.168.1.12 tell 192.168.1.15

Le matériel qui possède l’adresse IP 192.168.1.12 répondra :

01:20:15.855361 arp reply 192.168.1.12 is-at 00:00:CA:85:85:50

L’inconvénient de ce protocole c’est que tout le réseau est informé de « qui » a « quoi », et qu’un logiciel d’écoute de réseau (un « sniffeur ») peut très simplement obtenir toutes les adresses MAC de votre réseau.

Les données récupérées sont inscrites dans un fichier dit « table arp » (Internet-to-Ethernet address translation tables).

Pour obtenir les adresses MAC enregistrées dans votre Mac :

$ arp -a

La table « arp » de votre Macintosh utilise toujours les dernières réponses obtenues.

Le plus simple pour un pirate c’est d’obtenir (en écoutant votre réseau) une adresse MAC puis avec l’aide de « smate.name » d’usurper cette adresse MAC et se voir donc accorder le droit de s’associer à votre borne.

Pour obtenir toutes les adresses IP/MAC de votre réseau :
Vous devez « pinger » l’adresse de broadcast, cette adresse est indiquée dans le résultat de la commande « ifconfig » juste après broadcast.

$ ping 192.168.1.255

Puis un « arp –a » doit vous donner toutes les adresses MAC de votre réseau

Le filtrage d’adresses MAC est un composant de votre sécurité, mais en aucun cas l’élément principal, comme les deux réglages précédents, il retardera seulement l’agresseur.

Mac :: Coupe-feu :: les firewall de Leopard (part 1)

Les coupes-feux de Leopard

Un pare-feu est un logiciel installé au sein de votre Mac et qui limite les accès réseau en analysant les paquets réseau qui transitent par votre ordinateur. Il autorise ces paquets a atteindre des services ou applications ou à contrario, permet ou refuse aux applications d’accéder à des serveurs placés sur Internet. Les autorisations ou refus de passage des paquets sont appelés des règles.

Si l’on compare avec Tiger (la version précédente de Mac OS X), Leopard offre une sécurité plus importante selon les dires d’Apple. Dans Mac OS X Tiger le rôle de pare-feu était tenu par «ipfw», ce composant « open source » est très connu de la communauté Unix, sa réputation de solidité n’est plus à faire. «ipfw» fait parti du noyaux (Kernel en Anglais) de Mac OS X, le retirer serait un hérésie.

Dans Leopard, Apple a choisi de privilégier son propre pare-feu tout en laissant disponible «ipfw».

Il faut toutefois considérer qu’ipwf prévaut sur le nouveau firewall Applicatif d’Apple. Ceci s’applique aussi sur les règles d’ipfw.

Remarques techniques :

Pour ceux qui aime les lignes de commandes, vous pouvez obtenir la liste de règles mises en place dans ipfw en utilisant cette ligne commande dans le terminal :

$ sudo ipfw list

La réponse dans une configuration standard sera :

65535 alow ip from any to any

Littéralement : autorises toutes les paquets IP depuis tout vers tout . Ainsi donc la configuration d’ipfw est de ne rien bloquer que cela soit en entrée ou en sortie. Il est la, mais il laisse tout passer.

Les logs d’ipfw sont placés dans le dossier :

/private/var/log/ipfw.log

La particularité du firewall d’Apple est d’être ce que l’on appelle un pare-feu applicatif, c’est-à-dire que ces règles sont définies à partir des applications et non des ports TCP/IP.

Arrêtons nous un instant pour expliquer cette nuance. Prenez un maison, elle peut avoir plusieurs portes et fenêtres. La porte principale donne accès au salon, la porte de derrière donne accès directement à la cuisine. Si je veux rentrer dans la maison pour accéder directement à la cuisine je vais donc utiliser la porte de derrière. Si je veux accéder qua salon je vais en priorité accéder par la porte principale.

Bien et maintenant si je souhaite interdire l’accès directe à la cuisine, je vais fermer à clés la porte de derrière. C’est ce que l’on appellerait le fonctionnement un pare-feu standard, vous ne voulez pas que quelqu’un accède à une piece de la maison et bien vous le fermer. Il existe 65535 ports (ou portes) au sein de votre ordinateur … et par défaut elles sont toutes ouvertes !

Un coupe-feu applicatif fonctionne différemment, il assure que le système donne ou refuse l’accès à l’application sans savoir derrière quelle porte elle se trouve. C’est un peu comme si vous autorisiez l’accès uniquement à la pièce ou se trouve l’aspirateur, celui-ci peut etre placé dans la cuisine ou du salon, cela n’a pas d’importance. Les portes ne sont plus fermées en fonctions des pièces mais en fonction de ce contient la pièce.

Lorsque vous créez une règle dans les « Préférences Systèmes » puis dans le tableau de bord « Sécurité », Mac OS vous propose de sélectionner une application puis de définir les autorisations appropriées qui sont au nombre de deux :

- Autoriser les connexions entrantes
- Bloquer les connexions entrantes

Aucune possibilité n’est offerte concernant les connexions sortantes… ce qui est une limitation du coupe-feu dessiné par Apple.

Le coupe-feu d’Apple est pour ainsi dire «confidentiel» tant il y a peu de documentations sur le sujet.

Nous savons que le firewall se compose d’un pilote : «com.apple.ne.applicationfirewall» et d’un exécutable qui est présent dans ce chemin :« /usr/libexec/ApplicationFirewall/socketfilterfw » .

Le fichier de configuration du pare-feu applicatif :

Le fichier «plist» de configuration se trouve dans le Même dossier et porte le nom du « com.apple.alf.plist ».

L’utilitaire «Pref Setter» ( http://www.nightproductions.net/) l’ouvrira sans soucis, comme présenté dans la copie d’écran suivante.

Deux autres composants sont présents :

– Firewall – appfwloggerd

Le logger du nom de «appfwloggerd» ne semble pas très bavard, les messages sont enregistrés dans «system.log» pour ce qui concerne l’initiation du firewall, comme ceci :

Jul 11 22:36:44 localhost kernel[0]: Loading security extension com.apple.nke.applicationfirewall

Puis dans «appfirewall.log » toujours dans « /private/var/log/ »

Voila pour ce qui est de l’aspect technique… la suite dans un prochain billet…

Henri Dominique Rapin

Mac :: Safari :: récupérer le texte dans la cache

Récupérez le texte des pages Web en cache de Safari :

Vous connaissez tous Spotlight, c’est le composant qui dans Mac OS X s’occupe de classer et indexer tous les contenus de tous les fichiers. Ainsi lorsque vous réalisez une recherche, Spotlight propose des réponses qui seront issues des contenus des documents, des messages électroniques mais aussi des pages internet.

Pour effectuer une recherche, cliquez simplement sur l’icône en haut à droite de la barre de Menu et saisissez le sujet de votre recherche, ainsi :

Dans cet exemple ma recherche porte sur un « BPMN ». La liste des occurrences est classée par type. Elle commence par « Populaire » puis « Applications » et ainsi de suite jusqu’à « Pages Web ». Bien évidement si une catégorie ne contient pas d’éléments correspondants, elle n’est pas affichée.

Si toutes les rubriques sont évidentes, il y en a une qui peut porter à confusion c’est celle de « Page Web ». Nous pourrions imaginer que Spotlight aille chercher sur internet des pages contenant le texte recherché comme vous le feriez avec Google ou Yahoo, il n’en est rien.

Les pages listées dans cette section sont en réalité des pages internet sur lesquelles vous avez navigué.

Safari enregistre ces pages dans un dossier appelé « Caches » et placé dans le répertoire « Bibliothèque » , la page y est placée mais sans le contenu graphique, uniquement le texte HTML.

Voyons comment trouver le fichier cache d’une page web, c’est très simple :

Lancez une recherche dans Spotlight, sélectionnez (sans ouvrir) la « page Web » qui vous intéresse puis cliquez sur ces deux touches « cmd et R », cette combinaison de touche aura pour effet de révéler dans le « Finder » le document.

La fenêtre est celle du dossier qui contient tous les fichiers de « Cache » enregistré par Safari. Ces fichiers ont une extension « .webhistory » si vous cliquez sur l’un d’entre eux il sera ouvert dans Safari.

Mais si vous l’ouvrez dans « TextEdit » en glissant le fichier sur l’icône de l’application, vous récupérez uniquement le texte de la page épuré du code HTML. TextEdit semble être la seule application capable d’ouvrir ces fichiers « .webhistory ».

Vous pouvez affiner votre recherche en utilisant de nouveau la barre d’outils de la fenêtre et rechercher d’autres occurrences mais cette fois en limitant la recherche au seul dossier « Caches ». Ce dossier est un peu similaire à « TimeMachine » car il vous donne accès à l’historique de votre navigation. Attention donc si vous effacez l’historique dans Safari, ce dossier sera lui aussi vidé.

Mac :: Airport :: Xbox 360

Je viens d’installer ma nouvelle borne Airport TimeCapsule et j’ai fait une découverte surprenante.

Jusque là je n’avais pas eu de problème pour connecter ma XBOX 360 à ma borne Airport et même sur un réseau WDS (sommes toute assez particulier, mais c’est une autre histoire).

Et bien cela ne fonctionne plus avec le nouvelle version de TimeCapsule. La XBOX 360 ne trouve même pas le réseau Wifi (SSID). Après plusieurs tests, cela fonctionne si vous activez simplement le type de clé « WPA/WPA2 Personnel » dans la borne. (En sélectionnant uniquement clé « WPA2 Personnel » votre XBOX ne verra pas votre réseau Wifi Airport).

Ceci est d’autant plus étonnant que la XBOX supporte des clés de type WPA2. Il faut croire que l’implémentation d’Apple ne convienne plus à Microsoft.

Henri Dominique Rapin

Mac :: Sécurité :: Situation été 2009

La sécurité : Quelle protection pour son Mac ?

Depuis quelque temps certains échos sur Internet font craindre un avenir parsemé d’embuches et de risques liés à la sécurité de notre système favori. Qu’en est-il réellement ? Faut-il craindre des jours sombres ? Faut-il acheter des logiciels de protections ? Autant de questions auxquelles nous allons tenter de répondre au fil de quelques numéros.

Il est vrai que depuis la sortie en 2001 de la première version de Mac OS X nous avons été épargné par les fléaux que sont les virus et autres programmes malicieux. 10 ans bientôt que petit à petit notre système s’est forgé une réputation de robustesse face à son rival Windows, mais cette situation est elle illusoire ?

Dix années pendant lesquels nous nous sommes habitués à vivre sans logiciels de protection, pourtant l’aventure Mac OS X n’est pas un chemin aussi tranquille qu’il y parait. Le premier virus sur Mac est apparu en 2006, en dépit de cela nous n’achetons pas d’antivirus, alors faut-il reconsidérer notre position face aux virus ? Et quel est le risque ? En début d’année un Malware dissimulé dans une version piratée d’iWork 09 a défrayé la chronique or un malware n’est pas un virus et aucun logiciel antivirus n’aurait pu l’empêcher, quelle attitude faut il avoir vis-à-vis de ce type d’attaque ? Beaucoup de questions qui nous sont posées et qui demandent des réponses.

Et Apple dans tout ça ?

Au sein des grandes entreprises il existe toujours un poste de responsable de la sécurité informatique. Savez-vous qu’est ce qui définit un bon responsable ? Deux caractéristiques principales : « du bon sens » et « la volonté de se tenir informé par l’actualité de la sécurité informatique ».

« Le bon sens » est le socle d’une bonne sécurité et cela que vous soyez responsable d’un parc de 1 000 ordinateurs ou de votre unique Mac, nous y reviendrons souvent car il s’agit de la première ligne de protection.

« Suivre l’actualité », il devient évident de nos jours qu’en restant isolé du monde la perception de risque devient caduque. A contrario plus vous êtes informés plus le monde vous semble insupportable. Et bien cela s’applique en quelque sorte à la sécurité, si vous n’avez pas connaissance d’une faille de sécurité alors vous ne prendrez pas les mesures adéquates pour la parer et le monde vous parraitra illusoirement plus sûr. Mais quel ordinateur peut aujourd’hui vivre isolé du monde et de son canal de communication qu’est Internet ?

Le problème essentiel de cette actualité très riche autour de la sécurité informatique est son obsolescence et oui lorsqu’une faille ou un nouveau virus est divulgué son exploitation a pu durer depuis plusieurs mois. Dès lors qu’il est découvert et annoncé, le monde peut se protéger car l’élément fallacieux est identifié. Et en règle générale les éditeurs s’empresseront de combler le problème. Mais tant qu’il n’a pas été mis à la connaissance de la sphère informatique… Le risque est présent mais seul l’individu mal intentionné qui en a connaissance peut l’utiliser.

Il faut donc suivre cette actualité, tout en sachant que l’information capitale n’est divulguée qu’une fois découverte et vous avez peut-être fait l’objet d’une attaque ou d’une infection sans qu’aucun indicateur ne vous ait alerté. Nous allons voir que cela n’est pas sans contrarier Apple.

Revenons quelques mois en arrière pour se rendre compte du problème. Nous sommes à la fin Mai, un mois qui pour beaucoup d’entre vous fut relativement calme, nous étions tous dans l’expectative des annonces de la wwdc de juin. Pourtant plusieurs évènements en terme de sécurité sont intervenus.

Le premier fut la mise à disposition par Apple d’une mise à jour importante la version 10.5.7. De Mac OS X. Celle-ci apporta 67 patches, qui pour la plupart étaient des correctifs de sécurité (Safari, ichat etc.) mais aucun signe d’un correctif pour Java, or depuis 6 mois, une faille de sécurité avait été publiée. La communauté Mac et en particulier les experts en sécurité suggérèrent de désactiver Java sur Mac.

Java est un composant développé par la société SUN, la version livrée par Apple est sous sa responsabilité, alors pourquoi cette absence de correctif ? Apple a t’il les ressources pour maintenir cette technologie ? Quels sont les accords entre Apple et Sun sur les correctifs ? Pourquoi les correctifs Java sont ils si peu fréquents sur Mac ? Peut importe les raisons qui firent qu’Apple ne livra pas ce patch, nous sommes restés plus de 6 mois avec une faille « publique » au sein de nos Mac. Est-ce acceptable ? J’en doute.

Toujours lors de la même période Microsoft mis à disposition des utilisateurs de Windows un patch afin de corriger un « sérieux » trou de sécurité dans Office. Cette faille s’appliquait à toutes les versions d’Office. Pour étrange que cela puisse paraître aucun correctif ne fut livré pour Mac, pourtant nos versions d’Office étaient sujettes aux attaques utilisant cette faille. Que c’est-il passé ? Microsoft avait le choix entre attendre le patch pour Mac et annoncer le correctif pour toutes les versions d’Office ou livrer la plus rapidement possible les utilisateurs de Windows puis ceux du Mac quand le patch aurait tété produit.

La deuxième approche fut retenue, il ne faut pas jeter la pierre à Microsoft la portion d’utilisateur Mac est infime comparée aux nombres d’utilisateurs d’Office sous Windows et la décision fut la bonne. Il n’empêche que comme pour Apple et Java nous avons vécu quelque temps avec une faille publique au sein de nos Mac. Je n’évoquerai pas non plus le nombre d’incidents sur Flash ou sur Acrobate qui font aussi peser un risque pour les produits Adobe.

Ainsi que vous pouvez le constater les exemples pris portent sur des applications présentes sur Mac et sur PC. Sachant qu’il est rare de réécrire entièrement une version d’une application pour Mac, il est fort probable que les failles sur Windows apparaissent aussi sur Mac. Un faille publique est un risque important dans une application, exploitée celle-ci permettent de prendre possession d’ordinateurs ou de récupérer des informations confidentielles.

Les craintes de la sécurité informatique se sont ainsi déplacées du système vers les applications et il devient vital pour les éditeurs comme Apple de concentrer leurs ressources sur ce nouvel angle d’attaque.

Autre point noir pour Apple : Les malwares. La définition reste encore à établir, mais l’on peut considérer que ce sont des logiciels qui sont cachés dans des logiciels piratés comme celui de Janvier avec iWork et CS4, leurs objectifs sont variés mais une fois installé ils sont dans la place et agissent comme bon leur semble. Plus proche de nous deux nouveaux Malware viennent d’être découverts en ce début d’été.

Le premier découvert par «Patrologie» n’affecte que les surfeurs qui se rendent sur un site pornographique diffusant de la vidéo, dès lors qu’un Mac accède à ce site il est redirigé vers un page lui proposant de télécharger un codec sous la forme d’une image disque. Cette image disque contient comme de bien entendu une application malicieuse.

Sophos autre nom de la sécurité informatique a annoncé avoir découvert un cheval de troie, il s’agit d’un programme qui feind d’être une application officielle mais en réalité se trouve être un programme qui souvent a pour but de donner accès à un pirate à l’autre bout d’Internet à la totalité de la machine sur lequel il est installé. La découverte de Sophos serait un script Unix (Shell Script) sous forme d’un fichier Adobe flash et qui s’installerait dans le système pour donner accès au contenu du Mac au travers d’Internet.

Nous avons là les deux problèmes qui font qu’Apple s’inquiète, les failles applicatives et l’exécution des programmes non autorisés comme les Malwares ou Chevaux de troie.

Apple a semble-t-il compris l’importance du problème en annoncant mi-Mai l’embauche d’un expert en sécurité : Ivan Krstic (il y a un accent sur le « c »). Apple est plutôt discret lorsqu’il s’agit de recrutement au sein de la sécurité, mais dans ce cas il ne le fut pas. Ivan Krstnic est un brillant développeur Croate, il reçu en 2007 la recompense de « Young innovator » (Jeune créateur ou inventeur) du MIT.

Mais son nom est plus connu pour avoir été le responsable sécurité de l’OLPC, qu’est ce que cela ? Il s’agit du projet visant à produire un portable à moins de 100 $ pour les enfants des pays émergents. Ivan se fit remarquer en proposant une approche permettant d’assurer la sécurité au sein de ces portables sans pour autant avoir une armada d’ingénieurs en sécurité, denrée plutôt rare dans ces pays. Cette technologie est appelée «bitfrost».

M. Krstic est parti d’un constat que la guerre contre les virus et autres Malware était perdue d’avance surtout si nous continuons à appliquer des règles désuètes. Aujourd’hui la protection de nos systèmes porte essentiellement sur la « connaissance », je découvre un virus puis je produis un antidote et je le déploie sur les ordinateurs. Cette façon de faire est considérée comme archaïque car elle sous entend un traitement à posteriori de la découverte et anticiper l’apparition d’un virus ou malware reste du domaine de l’irréel (malgré ce que peuvent clamer certains éditeurs d’antivirus, car dans ce cas nous n’aurions plus d’attaque).

Si donc cette approche est dépassée que propose M. Krstic ? Pour lui la solution s’appelle « le certificat ». Puisqu’il existera toujours des individus pour créer des programmes malveillants, faisons en sorte de limiter les effets des applications, ainsi seules celles qui seront autorisées pourront fonctionner, et parmi celles-ci, seront aussi limitées leurs possibilités. Prenez une application comme iChat, il vous faudra un certificat d’une autorité, (certes celui-ci reste encore à définir, peut être Apple ? Pour qu’elle soit utilisable, puis il faudra une autorisation de l’éditeur du système (Apple) pour autoriser iChat à accéder à la caméra ou au système de fichier.

Cela peut paraître complexe, mais au final c’est très simple. Aujourd’hui n’importe quel programme peut être lancé sur votre ordinateur. Demain l’exécution sera sujet à un agrément sous forme de certificat d’une entité. Pourquoi ? Le problème est malheureusement situé entre (ce que l’on appelle ironiquement) le clavier et le fauteuil c’est-à-dire l’homme. Il devient de plus en plus difficile pour nous autres néophytes ou même professionnels de déterminer ce qui peut être exécuté au sein d’un ordinateur en toute confiance de ce qui ne l’est pas.

Si vous surfez régulièrement sur Internet vous avez déjà rencontré ces fausses annonces en forme de fenêtre Windows qui vous proposent de tester votre ordinateur contre les virus, un grand nombre d’utilisateurs de PC sous Windows se font prendre, furent un temps où du code malicieux était caché dans des codec (cheval de troie qui attaqua pour la première fois Mac OS X en 2007), dans des applications piratées (iWork ou photoshop CS4 en début d’année) et ainsi de suite. Il faut avoir un œil perçant pour distinguer ce qui est sain de ce qui ne l’est pas. Et il est certain aujourd’hui que les malfaiteurs du Net trouveront toujours des arnaques pour soutirer quelques deniers ou leur fortune à des utilisateurs crédules, et puis soyons honnêtes il n’appartient pas aux utilisateurs de devenir des spécialistes en sécurité. Il convient donc d’organiser ce qui est exécuté ou affiché au sein de votre ordinateur.

Il est difficile de connaitre les intentions d’Apple sur ce sujet mais en embauchant Krstic, une orientation dans cette direction est prise. Autres points importants, Apple demande de plus en plus à aux développeurs de générer des certificats pour les applications tout comme il existe une technologie de sandbox (bac à sable) pour les applications, elle est en version d’évaluation dans Leopard (nous en reparlerons dans un prochain dossier).

Apple n’est d’ailleurs pas le seul à travailler dans ce sens, les futurs utilisateurs de « Windows 7 » seront peut être surpris de savoir qu’un programme du nom de « AppLocker » est en charge d’autoriser ou de restreindre l’exécution d’un programme si un certificat n’est pas disponible. Certes cette fonction concerne pour le moment que les entreprises mais comme on le dit souvent il faut bien un début à toute bonne chose.

Certaines voix s’élèvent contre cette approche car c’est un nouveau niveau de contrôle qui va s’initier dans nos machines, et qui sait un gouvernement pourrait interdire telle ou telle application ou contrôler qui utilise quoi. Mais il semble inévitable que cette approche soit rapidement mise en place pour contrer toutes ces attaques.

Microsoft ne s’en cache pas Mac OS X et plus généralement les systèmes Unix et Linux sont mieux armés face aux attaques notamment par le cloisonement des espaces. Ainsi sur nos machines un malware installé par un utilisateur n’ira pas perturber un autre utilisateur. Windows ne place pas de limites entre les espaces « utilisateurs » et « Système » aussi clairement que Mac OS. Toujours dans Windows 7, Microsoft apporte le « WHS » (Windows Service Ardening), cette technologie permet de limiter à un processus d’accéder à des ressources (si l’on reprend notre exemple : ichat qui accèderait à la webcam).

En fait Apple y a déjà pensé et une version préliminaire » est implantée dans Leopard, difficile de dire où en est Apple sur le sujet tant il y a peu d’informations et même lorsque vous regardez les fichiers liés à cette technologie ils commencent tous par un avertissement indiquant qu’Apple ne garantit pas le suivi des options de la configuration actuelle. Le principe est fort bien connu du monde Linux il s’agit des « SandBox » ou « bac à sable » vous limitez à un périmètre bien précis les fonctions d’un processus. Par exemple vous lui interdisez d’accéder au système de fichiers ou à internet.

Vous le constatez la sécurité d’un ordinateur n’est pas uniquement lié au système d’exploitation. De toute évidence les origines unixienne (BSD) de Mac OS X font que notre système est mieux protégé que nos cousins sous Windows, mais nous ne sommes pas à l’abri d’attaques dues à des failles présentes dans des applications.

Microsoft ne s’en cache pas, ils avaient du retard sur Mac OS X au niveau de la sécurité. Par nature notre système est plus robuste.

La seule et bonne mesure vis-à-vis de ces attaques est de s’assurer que vos logiciels sont à jour, tout comme votre système. Et puis au prix où Apple nous fait ces logiciels même en cette période de crise cela ne vaut pas le coût de récupérer des versions piratées.

Henri Dominique Rapin

Mac :: Sécurité :: Le mot « virus » au sein du site d’Apple !

Voici la page du site d’Apple qui défraya la chronique sur la mention d’antivirus :

http://www.apple.com/fr/getamac/faq/?aosid=p204&siteid=978437&program_id=2701&cid=OAS-EMEA-AFF&tduid=b962551be7f44bedfafb8298972d8bd7

Rien de bien méchant et Apple ne suggère pas d’installer un antivirus…

Mac :: Sécurité :: Mémoire

Mac :: VMware Fusion 2 :: Le guide gratuit

J’ai écrit à la demande de VMware un guide sur le logiciel « Fusion 2 ». Pour rappel Fusion est un programme de virtualisation qui permet entre autre d’exécuter Microsoft Windows sur Mac.

Ce guide est terminé et sera mis à disposition gratuitement par VMware dans les semaines à venir.

Ceux qui le souhaitent peuvent en avoir une pré-version en cliquant sur le lien ce dessous :

http://files.me.com/hdrapin/h4tusq

Les six premiers chapitres sur la découverte de VMware Fusion 2 ont été réalisé par François Tonic le rédacteur en chef et fondateur du magazine « Programmez », vous y découvrirez les bases de Fusion. J’ai réalisé les sections dites « avancées » à partir du chapitre 7. Vous y trouverez des astuces ainsi que des explications sur différents aspects de Fusion. pour les connaisseurs, certaines astuces sont aussi valables pour les autres produits de VMware.

En espérant qu’il vous aidera dans l’utilisation de VMware Fusion 2… et bien sur si vous avez des remarques… sur des sujets non abordés ou des incompréhensions, je suis preneur.

Bon Mac et Bonne lecture

Mac :: FSLoger :: Analyse les accès aux fichiers

Dans la panoplie du testeur de logiciels, il y a quelques utilitaires qui sont indispensables : « fsloger » en fait parti.

Lorsque que vous souhaitez analyser le fonctionnement de votre Mac, il devient parfois difficile de savoir ce qui se passe surtout du côté des fichiers et répertoires, comme vous le savez certainement une partie des fichiers et dossiers nous sont cachés par le « Finder ».

Le cœur de Mac OS X est appelé : « kernel », c’est lui qui gère les activités principales de votre Mac, écriture, lecture, gestion et échanges entre périphériques etc… il offre aussi des services ; parmi eux celui d’informer des modification ou suppression des fichiers, l’un des principaux utilisateurs de ce service est « Spoltlight », qui est ainsi informé lorsqu’un fichier a été ajouté ou modifié, il peut donc adapter dynamiquement son indexation.

Vous l’aurez compris « fsloger » récupère ces informations et va les afficher dans le terminal.

« fsloger » est un petit programme qui doit être utilisé que dans le terminal, ce programme nécessite les droits de super utilisateur « root », pour les obtenir commencer par taper « sudo », après le plus simple est de faire un « glisser / déposer » du programme sur la fenêtre de terminal, et enfin « enter ».

$ sudo /volumes/FSLoger-1.1/fslogger
(Votre mot de passe sera nécessaire.)

Créez un fichier sur le bureau : vous verrez un nouveau texte s’afficher, les informations peuvent vous sembler confuses en voici la description :

•	Type : le type d’événement : création avec « FSE_CREATE_FILE », suppression avec « FSE_DELETE_FILE »  ou modification avec « FSE_CONTENT_MODIFIED ».
•	Le PID (Process ID) : il s’agit du numéro du programme qui a créé ou modifié le fichier, vous pouvez obtenir le nom du programme en utilisant : Moniteur d’activité (Utilitaires -> Moniteur d’activité).


•	FSE_ARG_NODE : le chemin du fichier.
•	FSE_ARG_DEV : le numéro du volume ou disque
•	FSE_ARG_MODE : le “mode” utilisé (VREG = fichier standard et VDIR pour dossier). 
•	FSE_ARG_UID : l’ID de l’utilisateur associé à ce fichier/dossier
•	FSE_ARG_GUI : l’ID du groupe associé à ce fichier/dossier

Avec ces informations, vous en apprendrez beaucoup sur l’exécution d’un programme, les fichiers qu’il a créé, modifié ou supprimé, l’endroit ou se trouvent ces fichiers, et les droits qui leurs sont rattachés.

Il n’y a pas d’option et le seul moyen de récupérer ces informations est de faire un copier/coller. Cet exécutable est gratuit et à utiliser sans ménagement. Il est livré en universal binary c’est – à – dire compatble G5 et Intel.

http://www.osxbook.com/software/fslogger/

Une étude explique la limitation de la propagation des Virus sur Mobile

Un article très intéressant sur la propagation des virus dans le monde de la téléphonie mobile. Il est malheureusement en Anglais mais vous pourrez le traduire avec http://translate.google.fr/.

http://arstechnica.com/science/news/2009/04/cellphone-os-diversity-protecting-against-viruses.ars

Le constat réalisé par une équipe de chercheurs (les travaux seront publiés sur le site "Science Express") démontrent que la propagation des virus sur téléphone semble limitée par la variété des systèmes d’exploitation.

Ainsi même un virus utilisant la technologie BlueTooth comme vecteur de propagation voit ici son rayon d’infection limité par le nombre de téléphones équipé du même OS autour de lui. Une modélisation mathématique tend à démontrer le phénomène.

Ainsi donc si le marché du portable reste tel qu’il est et continu à porter plusieurs OS (Apple et l’iPhone, Goole et son Androïd , Microsoft et Windows Mobile, les OS Java embarqués et Symbian de Nokia), alors la propagation des virus sera limitée sur nos téléphones mobiles.

Henri Dominique Rapin

OS diversity protects cell phones from virus outbreaks - Ars Technica.jpg

Mac :: Guide sécurité réalisé par Apple

Apple a mis en ligne une nouvelle version de son guide de sécurisation de Leopard… 250 pages à lire en Anglais of course !.

http://images.apple.com/support/security/guides/docs/Leopard_Security_Config_2nd_Ed.pdf

Mac :: Borne Airport :: Filtrage d acces par adresses MAC

Le filtrage d’adresse Mac est un principe plus crédible en termes de sécurisation.

Son principe est simple : toutes les cartes réseau ont une adresse MAC (Media Access Contro) d’une longueur sur 48 bits (6 X 8 bits) codée en hexadécimale, du type

00:00:00:00:00:00

Ces adresses MAC sont uniques, elles sont attribuées à chaque carte Ethernet par son fabricant, qui lui même à obtenu des « entêtes » d’adresses MAC qui lui sont propres : Continuer la lecture de « Mac :: Borne Airport :: Filtrage d acces par adresses MAC »

Mac :: Borne Airport :: Faut-il désactiver le DHCP ?

Votre borne AirPort intègre un serveur DHCP, il fournit à la demande des adresses IP à tout client authentifié qui le demande, mais aussi d’autres informations concernant votre configuration IP tel que, la plage d’adresses utilisées, l’adresse du « routeur », les serveurs DNS.

Pourquoi fournir autant d’informations sur votre réseau ? si un assaillant réussit à s’authentifier sur votre borne d’accès, en laissant le DHCP activé vous lui livrez l’accès complet à votre réseau et qui plus est, à Internet. Si vous ne pouvez pas faire autrement que d’activer la DHCP, réduisez au strict minimum la plage d’adresse.

Apple propose trois plages d’adresses IP (Plages dites « Privée »), deux sont régulièrement utilisées, 192.168.1.1 et 10.0.1.1, (cette dernière étant proposée par défaut) il en existe une troisième 172.16.1.1, beaucoup moins fréquente. En choisissant cette plage d’adresses IP, un assaillant aura plus de difficulté à déduire les paramètres de votre adressage IP.

Il y a 4 plages d’adresses IP réservé pour des réseaux Privés :

De 10.0.0.1 à 10.255.255.255
De 172.16.0.0 à 172.31.255.255
De 192.168.0.0 à 192.168.255.255
Et de 169.254.0.0 à 169.254.255.255 (APIPA)

Elles sont réservées uniquement à un usage privé au sein de votre réseau,( elles sont aussi dites non « routables » c’est-à-dire qu’elles ne doivent pas être accédé à Internet) par opposition aux adresses Publiques qui elles sont attribuées aux entreprises ou organisations.

Encore un fois un « sniffeur » tel que KisMac pourra récupérer sans grande difficulté la plage d’adresses IP utilisée, il s’agit d’une brique complémentaire à votre protection, mais non de l’ultime protection.

HD Rapin

Mac :: Borne Airport :: Faut-il cacher son SSID ?

La première étape à toute connexion à un réseau Wifi commence TOUJOURS par la phase d’association : votre Mac doit « s’associer » avec votre borne AirPort et pas avec une autre, pour cela le Macintosh et la borne doivent partager un « lieu commun »; en ce qui nous concerne c’est le nom de du réseau (le SSID).

Par défaut la diffusion du SSID est activée et son nom est envoyé sur TOUT le réseau local (diffusion en Broadcast), cela simplifie la configuration de votre ordinateur, le nom du réseau apparaissant automatiquement dans les menus.

Par contre en choisissant l’option « réseau fermé » ; ce nom de réseau ne sera plus diffusé.

>> Icône « Airport » puis onglet « Sans fil » et enfin cliquez sur le bouton « Options d’accès sans fil »…

Il devient dans ce cas plus difficile à un pirate de s’associer à votre borne, en échange vous devrez saisir manuellement le nom du réseau lors de la configuration d’un nouveau Macintosh.

Cacher le SSID peut aussi avoir un impact négatif, notamment si vous souhaitez étendre votre réseau Wifi en utilisant l’option WDS, c’est-à-dire en ajoutant une autre borne, l’assistant d’Apple ne fonctionne pas si le SSID est caché, la configuration doit être manuelle.

Protéger son SSID n’a que peu d’impact, certes le nom n’est plus diffusé, mais il est relativement simple de le récupérer : Dès qu’un Macintosh s’associera à la borne, le nom sera de nouveau diffusé sur le réseau, et les outils tel que iStumbler, MacStumbler mais encore KisMac récupèreront facilement ce nom.

Cacher son SSID ne vous protège pas, il rend plus ardue la tache du hacker.

Les outils indispensables :

iStumbler : http://www.istumbler.net/

Macstumbler : http://www.macstumbler.com/

KisMAC : http://trac.kismac-ng.org/

Mac :: Sécurité :: SANS

La sécurité sur Mac n’a jamais été un sujet très étudié, certes avec ces 4% de marché Apple n’intéressait pas les hackers ou Pirates. Mais avec les 6 % à 8 % qui pointent leur nez et surtout grâce à l’iPhone (qui tourne sur un Mac OS X allégé) Notre système d’exploitation made in Cumpertino (le siège d’Apple en Californie, USA) commence à intéresser pas mal de monde.

SANS (organisme dédié à la sécurité informatique), propose une document relativement bien fait sur ce qu’il faut mettre en place pour « protéger » un Mac sous Léopard (Mac OS X 10.5), le document est en Anglais mais abordable. Par contre s’il liste bien les opérations à effectuer il n’en expose pas les moyens pour le faire…

Vous trouverez le document « Word » ici http://www.sans.org/score/checklists/Mac_OSX_Checklist1_1.doc (étanant pour une société de sécurité d’avoir choisi ce format de fichier).

La page de SANS : http://www.sans.org/press/osxchecklist.php

Si vous êtes expert en sécurité ou DSI et que vous voulez analyser l’impact de l’arrivé de Mac dans votre entreprise faites appelle à un expert certifié sécurité sur Mac, vous les trouverez ici : http://www.apple.com/training/certification/certpros/ Il y en a 11 en France…

Mac :: Astuces :: Comment déterminer le fabriquant d’une carte réseau avec une adresse MAC ?

Il est possible de déterminer le fabricant d’une carte réseau, pour se faire, vous devez utiliser les 6 premiers caractères hexa de l’adresse MAC sous la forme 00-00-00, et intéroger la base OUI :

La base peut être interrogeable sur le site : http://standards.ieee.org/regauth/oui/index.shtml

Essayez « Apple » par exemple, et vous constaterez que plusieurs plages d’adresses MAC lui sont affectées.

L’information renvoyée peut être parfois déroutante, souvent sont référencées les filiales des grands constructeurs, ces informations sont utilisées par des hackers pour déterminer quel système d’exploitation tourne sur un ordinateur.

macOS : Comment découvrir et analyser les ports TCP/IP ouverts sur Mac ?

Les « Ports » sont des véritables « portes ouvertes » sur les ordinateurs qui les hébergent, la plupart des tentatives d’intrusion ou les attaques de « denis de service » passent par des failles sur des services, il est donc nécessaire de connaître la liste des « ports ouverts » sur votre ordinateur.

Voici quelques explications… Continuer la lecture de « macOS : Comment découvrir et analyser les ports TCP/IP ouverts sur Mac ? »

Sharepoint :: Intégration Kerberos

Un très bon article en anglais sur l’intégration de Sharepoint et Kerberso :

http://www.windowsecurity.com/articles/Kerberos-Sharepoint-Environment.html

Sécurité :: Faille DNS…

Cet artcile relate l’attaque qu’a subi le révelateur de la faille DNS.

Macworld | DNS attack writer a victim of his own creation

Apple ne parle pas toujours de sécurité…

Une accumulation de petits changements

Le Mac est plus sécurisé… mais pas magique

Une philosophie qui change doucement

Partager :

J’aime ça :

Pourquoi les mots de passe deviennent un problème

Alors qu’est-ce qu’un Passkey ?

Sur Mac, tout se passe dans le Trousseau

Un exemple concret au quotidien

Mais où retrouver ces Passkeys sur macOS ?

Une question revient souvent

Y a-t-il des limites aujourd’hui ?

Le mot de la fin

Partager :

J’aime ça :

Le fait du 14 mai…

Ce que personne n’avait vu venir

La mécanique de la forteresse brisée

Ce qui change pour l’utilisateur …

Partager :

J’aime ça :

L’Architecture Révélée

Ce que Cela Change pour Vous… rien !

Sources

Partager :

J’aime ça :

La Notarization, le nouveau gatekeeping invisible d’Apple

Pourquoi c’est structurel, pas cosmétique

Comment ça marche techniquement

Vers quelle mutation cela pointe-t-il ?

Conséquence ?

Tableau des sources

Partager :

J’aime ça :

L’architecture vulnérable se révèle par la spéculation !

Ce que personne n’a remarqué

Anatomie technique de l’exploit

Conséquences logiques pour les six prochains mois

Tableau de Référence

Partager :

J’aime ça :

Commandes

Quand utiliser ce script ?

Exemple d’utilisation

Sortie typique

Analyse de la sortie

Risques liés aux bannières

Conseils pour sécuriser les bannières

Partager :

J’aime ça :

1. Découvrir les services actifs

2. Identifier le système d’exploitation

3. Obtenir les informations DNS

4. Découvrir des vulnérabilités connues

5. Analyse des fichiers partagés via SMB

6. Découvrir les utilisateurs via SMB

7. Tester les ports ouverts pour des injections SQL

8. Scanner les certificats SSL

9. Découvrir les répertoires d’un site web

10. Tester les vulnérabilités spécifiques à un service

Comment combiner plusieurs scripts ?

Et pour les fans ! le script total :

Partager :

J’aime ça :

Fonctionnalités principales de Nmap :

Installation de Nmap sur macOS avec Homebrew

Étapes pour installer Nmap

Comment mettre à jour ou désinstaller Nmap

Partager :

J’aime ça :

1. Protéger macOS

Activez les mises à jour automatiques

SilentKnight : Maintenez la sécurité à jour

Résumé : Les bonnes pratiques

2. Pare-feu : Protéger les entrées et sorties de votre Mac

Activez le pare-feu macOS

LuLu : Un pare-feu pour les connexions sortantes

Une alternative payante : Little Snitch

3. Internet Access Policy Viewer : Vérifiez la légitimité des développeurs