De l’intérêt de certains réglages de safari pour eviter les sites frauduleux !

Compass

Avec Yosemite, Safari a subi quelques modifications. L’une des plus visibles est le nouvel affichage des liens internet dans la zone d’adresse internet (url). L’adresse complète n’apparait plus et seul le nom du domaine est présent, ainsi si vous accédez à http://www.apple.com/fr/store, seul sera affiché www.apple.com.

Cet affichage paraît de prime abord en retrait pas rapport à ce que nous connaissions sous les précédentes versions. Si cela vous ennuie de ne pas pouvoir visualiser toute l’adresse vous pouvez modifier safari et revenir dans un affichage plus classique.

Pour se faire ouvrez les préférences de safari, puis dans l’onglet Avancées, cochez ou décochez la case Afficher l’adresse complète du site Web dans la section Champ de recherche intelligent.

Image 01

(la préférence à modifier dans les préférences de Safafri)

Dans le domaine du piratage ou du hacking toutes les méthodes sont bonnes pour tromper l’utilisateur, une technique bien connue est celle des faux domaines où fausse url. Elles sont si longues que l’on perd le site sur lequel on est. On se retrouve très vite sur un faux site de type : http://www.client.paypal.eu.money.com alors qu’on devrait être sur le site http://www.paypal.com.

Grâce au nouvel affichage dans Safari vous contrôlez immédiatement le site sur lequel vous naviguez, et vous ne serez pas pris par la tentative de vous emmener sur un site frauduleux. Conserver ce réglage, il vous évitera de tomber dans des pièges.

Henri Dominique Rapin 


Applwe reasonably small Recevez toutes les semaines le résumé des publications : Abonnez-vous à la Newsletter !

Comment identifier les flux sécurisés entre materiels Apple avec Debokee ?

Quant il s’agit de vendre, toutes les promesses sont permises, on nous assure qu’un service est sécurisé ou que l’application échange des informations chiffrées sans possibilité de les récupérer. Bien mais comment nous assurer que ces promesses seront bien tenues ?

Évaluez ceci :

Icon

Quant il s’agit de vendre, toutes les promesses sont permises, on nous assure qu’un service est sécurisé ou que l’application échange des informations chiffrées sans possibilité de les récupérer. Bien mais comment nous assurer que ces promesses seront bien tenues ?

Le seul moyen aujourd’hui de sécuriser un échange entre deux ordinateurs est de chiffrer les données, grâce au chiffrement asymétrique et aux jeux des clés publiques/clés privées seul celui qui reçoit l’information est à même de les décrypter. En clair même si quelqu’un intercepte la communication, il ne peut en déduire le contenu.

Lorsque vous communiquez avec Apple ou votre banque sur internet le flux de données est sécurisé par un chiffrement par SSL. C’est le petit cadenas qui apparaît dans la fenêtre de Safari pour vous dire que l’échange est protégé.

S’il existe bien un indicateur visible dans les browsers, il n’existe rien dans les applications pour indiquer qu’elles communiquent de façon chiffrées. Qui vous dit que l’application bancaire qui est installée sur votre iPhone utilise bien un protocole de chiffrement pour envoyer vos informations vers les serveurs de la banque ? Vous vous en remettez à la promesse de l’éditeur du logiciel.

J’ai longtemps cherché un outil à même de m’aider dans l’analyse des flux sortants d’un appareil. Il existe de nombreux outils d’analyses de réseaux, mais ils ne sont pas conviviaux et permettent uniquement une analyse des trames qui passent par votre ordinateur. Jusqu’au jour où j’ai découvert Debookee. L’éditeur est la société iwaxx (http://www.iwaxx.com/debookee/), l’utilitaire est vendu au prix de 24,90$ version d’évaluation disponible sur le site.

Qu’est ce qui fait que Debookee (prononcez « debouki ») est si diffèrent ? Il emploie une technique peu commune, il se place entre le retour et l’appareil que vous souhaitez surveiller. Imaginons que vous voulez connaître tous les flux envoyés de votre iPhone, Debookee va se placer entre l’iPhone et le routeur (votre box) vous obtiendrez ainsi tous les flux sortants en Http, les requêtes DNS et autres protocoles.

Image 01

(Principe de Debookee : Man in the Middle)

Debookee ne vous permet pas de récupérer le contenu des paquets, par contre il vous indique si l’échange est chiffré ou pas. L’interface est simple, commencez par cliquer sur le bouton « Lan your scan », là Debookee commence par scanner votre réseau local pour tenter d’identifier les matériels connectés.

Image 02

(Le scan du réseau)

Notez la colonne « Role » et le « Me » face à votre ordinateur. Nous allons commencer par sélectionner l’appareil que nous voulons étudier, la cible. Sélectionnez une ligne (autre que votre machine) puis cliquez sur l’icône « Toogle Target ». Face à la ligne les lettres « Tgt » pour Cible (ou Target en Anglais).

Image 03

(La cible sélectionnée dans la liste)

Maintenant que vous avez sélectionné votre cible, cliquez sur le bouton à gauche « Start Dbk » (Start Debookee) qui active l’analyse. Ensuite lancez une activité sur le Mac ou l’iPhone qui est en cible. Une page internet ou une application connectée au Web. Les informations commencent à apparaître dans la section Targets, vous aurez probablement une section DNS, pour les requêtes DNS demandées par l’appareil puis en dessous la section : http, elle regroupe toutes les requêtes Web. Cliquez sur cette section pour consulter la liste.

Image 04

(Les résultats des requêtes DNS)

Image 05(Les résultats des requêtes http ou Web)

Si du trafic est détecté avec d’autres protocoles il sera listé dans la section « Other TCP ». Pour bien comprendre l’intérêt de cet outil, ouvrez une page Google et observez les résultats : Google tient ses promesses, les flux sont tous chiffrés. Mais c’est loin d’etre la cas pour d’autres y compris sur depuis votre iPhone !

Image 06 (Les résultats pour http://www.google.com)

Vous avez la possibilité de consulter les mêmes listes pour votre ordinateur (section : « own traffic ») ou plus globalement sur votre réseau. Debookee vous aidera à identifier les accès à internet non sécurisés, et vous permettra d’éviter les services pseudo sérieux qui n’ont rien de professionnel.

Et vous pourrez peut être faire quelques découvertes comme ce service qu’Apple utilise dès qu’on ouvre Spotlight ou Safari : api.smoot.apple.com, il s’agit d’un service de suggestion, lorsque vous saisissez du texte dans l’adresse Web, les propositions de sites ne proviennent pas de Google ou Bing mais d’Apple !

Henri Dominique Rapin 


Applwe reasonably small Recevez toutes les semaines le résumé des publications : Abonnez-vous à la Newsletter !

Spotlight utilise votre géolocalisation, et Alors !

Spotlight utilise votre géolocalisation !

Évaluez ceci :

Icon320x320

Spotlight, le moteur de recherche d’Apple utilise votre géolocalisation pour affiner les suggestions qui vous sont faites. Dès que vous saisissez un mot dans Spotlight, celui-ci envoie sur les serveurs d’Apple plusieurs informations, le texte saisi bien sur mais aussi l’emplacement de votre Mac.

Si cela peut sembler étrange, cette information est importante pour construire la liste des suggestions proposées, à quoi cela sert-il d’avoir les numéros des pizzerias de Nice si vous habitez Bordeaux. Spotlight obtient ses informations du service api.smot.apple.com… qui est sollicité à chaque lancement de spotlight.

Image 01

(le service de suggestion d’Apple est sollicité par Spotlight et Safari, source Debookee)

Avant de désactiver cette fonction, sachez qu’Apple continuera à affiner les suggestions, mais cette fois, l’opérations sera différente : la géolocalisation sera effectuée à partir de l’adresse IP et sera approximative, ensuite l’identifiant envoyé ne sera pas celui de votre machine mais un identifiant « jetable » d’une durée de vie de 15 minutes.

Apple vous laisse le choix : employer une géolocalisation précise (basée sur l’adresse IP) mais associée à l’identifiant de votre Mac ou une opération anonyme et moins précise. Dans tous les cas la communication est chiffrée donc incompréhensible pour ceux qui tenteraient d’intercepter la communication entre votre Mac et les serveurs d’Apple. La désactivation se fait dans le panneau de préférences Sécurité et Confidentialité. Déverrouillez le cadenas en bas à gauche sinon vous ne pourrez pas modifier les paramètres du panneau de préférences.

Image 02

(le panneau de préférences Sécurité et Confidentialité)

Commencez par cliquer sur Service de localisation dans la colonne de Gauche. Dans la lise des éléments utilisant la Géolocalisation, descendez tout en bas de la liste pour cliquer sur le bouton Détails face à Service Système.

Image 03

(fenêtre de modification des paramètres de Géolocalisation et de Spotloght)

Dans la fenêtre qui apparaît, décochez Suggestion Spotlight. Par contre je vous conseille de cocher la seconde ligne, l’icône de géolocalisation apparaitra dès que le service est sollicité. Si vous avez des doutes, ouvrez le panneau de préférences de Spotlight et cliquez sur le bouton À propos suggestion Spotlight et de la confidentialité, Apple explique tout !

Image 04

(la fenêtre d’explication dans le panneau de préférences Spotlight)

Henri Dominique Rapin

Comment désactiver GateKeeper avec le Terminal ?

GateKeeper est cet outil de sécurité qui vous permet d’exécuter ou pas des applications acquises hors du Mac App Store.
Pour le désactiver, il suffit d’ouvrir le panneau de préférences Sécurité et confidentialité. De cliquer sur le cadenas et de fournir le mot de passe de session, ensuite de choisir quel niveau de protection on souhaite utiliser. Un conseil, restez sur mac App Store et des développeurs identifiés pour votre sécurité.

Évaluez ceci :

HT5290 Icon 001 mul

GateKeeper est cet outil de sécurité qui vous permet d’exécuter ou pas des applications acquises hors du Mac App Store.

Pour le désactiver, il suffit d’ouvrir le panneau de préférences Sécurité et confidentialité. De cliquer sur le cadenas et de fournir le mot de passe de session, ensuite de choisir quel niveau de protection on souhaite utiliser. Un conseil, restez sur mac App Store et des développeurs identifiés pour votre sécurité.

Image 01

(les préférences de Sécurité et Confidetialité)

En téléchargeant parfois une application un peu ancienne, vous aurez besoin de modifier le niveau afin d’autoriser l’exécution de toutes les applications : Il existe une commande dans le terminal pour cela, qui peut être placée dans un flux Automator, si vous l’utilisez régulièrement :

$ sudo defaults write /Library/Preferences/com.apple.security GKAutoRearm -bool NO

Sudo est nécessaire pour obtenir les autorisations, remplacez NO par YES pour activer à nouveau GateKeeper.

Pour en savoir plus sur Gatekeeper : https://support.apple.com/fr-fr/ht5290.

Henri Dominique Rapin

Comment obtenir la liste des ports TCP/IP ouverts ?

AUTOMATORAPPLET 128X128

 

Vous souhaitez identifier les ports TCP/IP ouverts ainsi que les connexions actives ? Les ports ouverts indiquent les applications qui sont en écoutent, elles attendent une connexion depuis l’extérieur. Ce qui peut révéler un partage actif alors que vous ne l’avez pas lancé.

Les connexions, elles, désignent les applications qui réalisent des échanges avec l’extérieur. Il faut faire attention à cette liste car les logiciels malveillants ont pour habitude d’envoyer des informations récupérées sur votre machine vers des serveurs sur Internet. Si le nom d’une application semble étrange, il convient de l’interrompre.

Le plus simple est de passer par le terminal et d’utiliser cette ligne de commande :

$ lsof -i

Je l’ai adapté pour un affichage un peu plus « lisible « :

$ lsof -i | awk '{printf("%-14s%-20s%s\n", $10, $1, $9)}' | sort

Vous obtiendrez un affichage de ce type :

Image 01(écran du terminal affichant la liste des ports TCP/IP ouverts)

J’utilise Automator pour m’envoyer cette liste par Email depuis des Mac distants, voici comment :

Lancez Automator, sélectionnez « Alarme Calendrier » si votre objectif est de programmer cet envoi de façon régulière. Sinon optez pour la création d’une application que vous lancerez pour récupérer ces informations par Mail.

Commencez par placez l’action « Exécuter un script Shell », copiez la commande Unix. Ensuite ajoutez l’action « Créer un fichier Texte » et compléter les paramètres. Terminez par l’action de Mail : « Nouveau Message Mail».

Image 02(le flux au complet).

Une fois exécuté, le flux crée un message avec comme pièce jointe le fichier contenant l’ensemble des ports ouverts.

Image 03(le mail avec le fichier en pièce jointe)

Si vous ne voulez pas laisser de trace du fichier créé, ajoutez deux actions.

« Obtenir les éléments du Finder indiqué », indiquez le chemin jusqu’au fichier à supprimer. Puis placez l’action « Placer les éléments du Finder à la corbeille ».

Image 04(Les deux actions à ajouter pour supprimer le fichier créé.)

Henri Dominique Rapin

macOS : Comment chiffrer une clé USB sur Mac ?

FINDERICON 128X128

Chiffrer une clé USB revient exactement au même principe que de chiffrer un disque dur. Il est important de se rappeler que la clé USB doit etre formatée en utilisant le format de fichier d’Apple qui est le HFS+. Votre clé ne sera donc pas lisible sur un ordinateur Windows ou Linux.

Pour cela vous utiliserez le programme « Utilitaire de disque »,  il se trouve dans le dossier « Utilitaires », lui même dans le répertoire « Applications ».

Image 01(la fenêtre principale de l’Utilitaire disque)

Dans la colonne de gauche, apparaissent tous les disques durs, vous y trouverez aussi votre clé USB (Formatez la en HF+ si besoin), sélectionnez la puis effectuez ces opérations :

  1. Dans la section droite de la fenêtre cliquez sur l’onglet « effacer ».
  2. Dans le menu déroulant intitulé format sélectionné « Mac OS étendu (sensible à la case, journalisé, chiffré).

Image 02

(le menu « format » de l’utilitaire disque).

Cette opération effacera complètement le contenu de votre clé USB et à la fin de l’opération le mot de passe qui protégera votre clé vous sera demandé.

Image 03(fenêtre de saisie du mot de passe de la clé USB)

Vous aurez ainsi une clé sécurisée protégée par mot de passe mais qui ne fonctionnera que sur Mac OS X.

Attention, Apple n’offre pas de solution en cas de perte du mot de passe.

Remarque : Le menu contextuel qui apparaît avec un clic droit sur l’icône de la clé USB est trompeur, il semble permettre de chiffre la clé (formatée sous PC).

Image 04(le menu contextuel sur l’icône de la clé USB au format PC)

Mais l’opération s’interrompt et affiche le message d’alerte suivant.

Image 05(Message d’alerte de Mac OS X sur le chiffrement impossible de la clé sous Fat ou Fat32)

Il est indispensable de formater le clé avec l’utilitaire disque.

Henri Dominique Rapin


Applwe reasonably small Recevez toutes les semaines le résumé des publications : Abonnez-vous à la Newsletter !

Sécurité :: Comment fonctionne le Sandboxing sur Mac OS X ?

Finder

Le SandBoxing sur Mac OS X.

Le terme «SandBox» est particulièrement utilisé dans le monde Linux. Il se traduit par «bac à sable» et décrit un type de protection lors de l’exécution d’un logiciel.

Voir la page WIKI : http://fr.wikipedia.org/wiki/Sandbox_(sécurité_informatique) 

Imaginons un logiciel qui fonctionne sur un Mac, par défaut ce logiciel a les droits en écriture et lecture qui sont ceux de l’utilisateur qui a lancé le programme. Toujours par défaut, un utilisateur sur Mac peut écrire à volonté dans son dossier personnel (la petit maison blanche) mais dès qu’il veut modifier le contenu d’un répertoire hors de ce dossier il lui faut montrer pâte blanche et indiquer un mot de passe.

Cette approche par «compartiments» fait la force des systèmes Unix et participe à leur réputation. Dans le monde Windows les choses sont beaucoup moins claires.

Revenons sur notre exemple, notre application fonctionne sur votre Mac et un personnage mal intentionné a réussi à utiliser une faille de ce programme et le contrôle maintenant de l’extérieur. Il peut à cet instant détruire les fichiers auxquelles votre application et plus directement votre compte ont accès.

Ce genre d’attaque existe bien, certes elle ne s’applique pas en particulier aux applications lancées sur un ordinateur mais plutôt à des fonctions de» serveur» comme le serveur Internet Apache qui est livré avec Mac OS.

Une première réponse à ce type d’attaque est bien sur l’utilisation d’un «firewall», qui empêcherait l’accès de l’extérieur à ce programme. Mais quand vous mettez en place un serveur, c’est en général pour qu’il soit accessible de l’extérieur. Donc cette réponse n’est pas la plus appropriée.

Une autre solution consiste à «isoler» l’application, c’est à dire qu’elle s’exécute, mais n’a pas accès à certaines ressources de la machine. Prenons de nouveau notre exemple, cette fois imaginons que nous avons un moyen technique qui nous permet d’interdire à l’application toute écriture dans le dossier personnel de l’utilisateur ou dans une autre zone du système. Dans ce cas de figure, peut importe celui qui lance l’application, celle-ci ne peut plus écrire n’importe ou.

Ainsi donc un assaillant ayant pris possession du programme ne peut écrire et donc être nuisible. Cette technique est celle du «bac à sable» parce que l’application ou le serveur ne peut pas accéder au dehors de la zone de sécurité et ceci peu importe celui qui lance le service ou l’application.

Si les SandBox sont très communs sur Linux ou BSD, ils étaient très complexes à mettre en place sur Mac… Sauf depuis Leopard, Apple propose un solution qu’elle appelle ironiquement «SeatBelt» ou «ceinture de sécurité» (ils sont toujours très poétiques à cupertino).

Le problème de cette solution est qu’elle n’est pas documentée et Apple a raison sur ce sujet. Moins ils en diront et moins de personne tenteront de la contourner.

La solution d’Apple n’est pas inconnue des Unixiens, il s’agit de l’utilisation du framework de TrustedBSD et SELinux pour les distributions linux. A une époque Apple a essayé une version dite «SEDarwin» compatible SELinux mais a renoncé à ce projet pour se consacrer à «Seatbelt».

En pratique comment ça marche sur Mac OS X  :

les applications qu’Apple a placé dans un Bac à sable sont listées dans le dossier suivant :

/usr/share/sandbox. pour en explorer le contenu dans le terminal lancez cette commande :

$ cd /usr/share/sandbox

puis

$ ls

Une partie de la liste devrait être la suivante :

bsd.sb ntpd.sb
cvmsCompAgent.sb portmap.sb
cvmsServer.sb quicklookd-job-creation.sb
fontmover.sb quicklookd.sb
kadmind.sb sshd.sb
krb5kdc.sb syslogd.sb
mDNSResponder.sb xgridagentd.sb
mds.sb xgridagentd_task_nobody.sb
mdworker.sb xgridagentd_task_somebody.sb
named.sb xgridcontrollerd.sb

Tous les fichiers portent l’extension «.sb». SURTOUT ne modifiez ni ne supprimez ces fichiers. Pour en voir le contenu tapez la commande suivante :

$ cat fontmover.sb

Ce qui affichera le contenu du fichier «fontmover.sb». Ce fichier est divisé en sections :

Capture d écran 2012 05 07 à 18 03 59

Dont une section du nom de « (allo file-read* «, celle-ci détermine l’espace ou le chemin dans lequel l’application peut lire de fichiers. Une autre section du nom de « (allow file-write*» précise les dossiers où peuvent être écrits des informations par l’application «fontmover.» et ainsi de suite, le bac à sable est ainsi défini.

Vous pouvez vous interroger sur l’intérêt de cette technologie pour un utilisateur, prenons un programme qui voudrait communiquer avec l’extérieur (comme «Adobe»), il n’est pas possible de leur interdire l’accès au réseau. ( Pour être honnête, il existe une solution avec le firewall IPFW embarqué dans Mac OS, mais là n’est pas le sujet).

Il est possible grâce à ce mécanisme «SeatBelt» et de« SandBoxing » de lui interdire par exemple le réseau . Pour cela l’opération est simple, j’ai pris comme exemple d’interdire à l’Utilitaire Réseau » d’accéder au réseau :

Premièrement nous allons créer un profil, c’est un simple fichier texte. Dans un éditeur de texte «texedit» ou «Bean» tapez ces trois lignes :

(version 1)

(debug deny)
(deny network*)
(allow default)

La ligne (deny Network*) indique qu’aucun accès au réseau n’est permis à l’application. Vous pouvez ajouter une ligne (deny file-write*) qui interdit l’écriture de fichiers. Vous l’aurez compris l’astérixe signifie «tout».

Bean

Enregistrez le tout sous le nom «noreseau.sb» dans votre dossier personnel.

Lancez cette commande :

$ sudo

Puis après avoir saisi votre mot de passe :

$ sandbox-exec -f ~/noreseau.sb /Applications/Utilities/Network\ Utility.app/Contents/MacOS/Network\ Utility

Il faut, si vous souhaiter placer dans un sandbox une application, récupérer son exécutable qui se trouve dans le paquet de l’application. Dans le cas de l’utilitaire réseau le chemin ets : « /Applications/Utilities/Network\ Utility.app/Contents/MacOS/Network\ Utility » .

Utilitaire1

L’application sera ouverte automatique et ne pourra accéder au réseau. Vous avez là un moyen simple d’empêcher une application d’écrire dans des fichiers ou d’accéder au réseau comme par exemple «Adobe»…

Utilitaire2

Le fait d’être dans un bac à sable ne dure que le temps ou l’application est ouverte, après sa fermeture elle redémarre hors du « sandbox ».

Le principe du Sandbox n’est pas courant, mais il semble que Google Chrome l’utilise, ceci afin de prévenir des composants qui pourraient être néfastes pour les utilisateurs de ce Butineur.

Henri Dominique Rapin

Mac :: passGen, un générateur de mots de passe

 

PassGen

On ne le dit pas assez souvent mais un mot de passe complexe est indispensable pour protéger vos données et accès sur Internet. Sur ce coup, Apple n’est pas très sympa et ne propose le générateur de mot de passe que lorsqu’il s’agit de définir des mots de passe pour des applications ou utilitaires créés par Apple.

Mais lorsque l’on a besoin d’un mot de passe complexe, il faut se retourner vers un utilitaire. Il en existe plusieurs, passGen est gratuit. Il est disponible sur le Mac Apple Store.

Le mot de passe généré va de 8 à 32 caractères. Il est généré dans sa version standard ou en mode MD5 (parfois utilisé pour vérifier des fichiers).

Image 02

Un seul regret pour cette application, l’incapacité de choisir la complexité des caractères utilisés, utilisation ou pas des caractères spéciaux, chiffres etc.

A télécharger, l’application est en Français fonctionne très bien.

passGen sur le MAS : http://itunes.apple.com/fr/app/passgen/id521993526?mt=12

Le développer indique que la prochaine version (déjà soumise à Apple)  permettra :

– Inclure/exclure les chiffres
– Inclure/exclure des caractères spécifiques
– Elle ajoutera l’affichage en SHA-1
– Elle permettra de convertir un mot de passe (la zone du mot de passe sera saisissable) non généré par l’application en SHA-1 ou MD5. (demande d’utilisateur).

Henri Dominique Rapin