10.11 El Capitan Failles de sécurité MAC OS

moderno31

moderno31

Membre expert
Club iGen
21 Avril 2011
1 359
106
Salzbourg
Il est connu depuis longtemps que UNIX, en général, connaît de très nombreuses failles de sécurité.
Quand on parle d'UNIX, ça signifie une floppée de systèmes, par exemple : AIX, HP/UX, Solaris, FreeBSD (et ses avatars), OpenBSD, NetBSD, Linux etc. Et bien évidemment OS X et iOS. Mèzaussi Android ;)
Pour faire (vraiment) simple, on pourrait séparer les failles en trois parties :
  • celles liées au coeur du système (le noyau et ses extensions), donc intrinsèquement liées à un système donné ;
  • celles liées aux commandes ou bibliothèques livrées avec le système et qui permettent de l'utiliser et l'administrer (les commandes en mode texte, les serveurs graphiques etc.) ; ces commandes sont souvent semblables d'un système à l'autre, avec des variantes ; par exemple une faille dans la bibliothèque OpenSSL est une faille pour tous les UNIX
  • celles liées à des applications qui fonctionnent au-dessus de tout ça ; par exemple Java ou Flash mais aussi un serveur Web (Lighttpd), un service de messagerie (Dovecot), un annuaire (OpenLDAP), une base de données (MySQL) et ainsi de suite.
Quand ont été découvertes des failles bien craignos dans bash ou ssh, ça a affecté toute la grande famille UNIX (et un peu Ouinedoze dans certains cas limites puisque Microsoft propose aussi des services UNIX sur ses serveurs ; relativement peu utilisés certes) donc OS X aussi bien.

Donc : OS X, comme tous les UNIX, est tout pourri de l'intérieur. Tremblez mortels.

Reste que, très généralement, ces failles sont découvertes puis corrigées avant que d'être véritablement utilisées (sauf par les officines telles que la NSA et (je subodore) leurs collègues et homologues russes, chinois, français, anglais...).
Par ailleurs, ce que l'on ne retrouve pas sur UNIX, sinon comme concept, c'est le virus, qui est la véritable plaie de Ouinedoze : ce sont des risques très différents et que l'on ne contre pas de la même manière.

Donc : on n'a donc pas exactement la même nature de risque que sur Ouinedoze (qui s'est quand même bien amélioré, avec le temps) et le nombre de failles n'est pas la seule donnée à considérer.

Ce que je trouve plus préoccupant, c'est plutôt la lenteur de réaction d'Apple et cette manie d'agir dans le secret, qui n'est pas ici forcément une bonne chose. Sur les UNIX Open Source, le temps de réaction est souvent cours, la diffusion des informations est meilleure, bref, on sait où l'on en est. Avec Apple, bien évidemment, il règne comme une opacité qui n'étonnera personne.
 
bompi a dit:
Quand on parle d'UNIX, ça signifie une floppée de systèmes, par exemple : AIX, HP/UX, Solaris, FreeBSD (et ses avatars), OpenBSD, NetBSD, Linux etc. Et bien évidemment OS X et iOS. Mèzaussi Android ;)
Cliquez pour agrandir...
Yes merci pour cette mini Liste. C'est plus clair du coup ce qu'on y inclut.

bompi a dit:
Avec Apple, bien évidemment, il règne comme une opacité qui n'étonnera personne.
Cliquez pour agrandir...
Tout à fait. Genre ils ont trop de clients pour s'occuper des vrais problèmes. Je ne reviens pas sur Ouinedoze comme tu dis si bien... Faut que ça aille ;)
 
Cette pseudo étude ne répertorie que des failles comblées. La belle affaire ! :rolleyes:

N'en doutez pas, il y a des trous dans le fromage, quelque soit la crèmerie.

bompi a dit:
Ce que je trouve plus préoccupant, c'est plutôt la lenteur de réaction d'Apple et cette manie d'agir dans le secret, qui n'est pas ici forcément une bonne chose. Sur les UNIX Open Source, le temps de réaction est souvent cours, la diffusion des informations est meilleure, bref, on sait où l'on en est. Avec Apple, bien évidemment, il règne comme une opacité qui n'étonnera personne.
Cliquez pour agrandir...

Il faut arrêter avec ce topos de la lenteur de réaction d'Apple et de son opacité.

Quand une faille est réellement sensible, Cupertino réagit dans les quinze jours. Une avalanche de correctifs ne fait pas une politique de sécurité, surtout s'il s'agit de corriger des problèmes induits par les correctifs eux-mêmes.

Question opacité aussi ça tourne au ridicule. Les failles sont documentées à chaque SecUpdate. Tu veux quoi ? Qu'on se retrouve avec une zéro-day publiée par Apple elle-même ?

https://support.apple.com/fr-fr/HT201222

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles.

N'en déplaise à la culture de l'opensource, le secret est aussi un des éléments d'une politiques de sécurité.

Je trouve ces critiques d'autant plus malvenue qu'Apple a fait ces dernières années de nombreux efforts sur la sécurité de ses systèmes.

On est loin du temps où on restait six mois le cul à l'air à cause d'une faille Java comblée par tous les OS sauf Mac OS X.


Et puis la seule vraie faille critique d'un OS reste l'utilisateur, celui qui ne fait pas les mises à jour de sécurité (parce que c'est un complot d'Apple pour rendre sa machine obsolète), qui reste sur un OS X faisandé (ah! le merveilleux Snow Leopard :vomit:) ou qui se précipite sur chaque bêta, qui installe n'importe quoi de n'importe où, et dont le premier réflexe est de désactiver les protections mises en place par Apple [Gatekeeper - SIP] (parce que c'est un complot de la NSA pour prendre le contrôle de sa machine).


Celui qui veut ses outils Unix à jour dans l'heure sait comment se les procurer.
 
  • J’aime
Réactions: devy
Je ne suis pas à la trace toutes les failles à combler mais, jusqu'il y a peu, Apple mettait un temps considérable à intégrer des correctifs dans les parties communes du source de Darwin. C'était sans doute lié à l'utilisation de versions antédiluviennes (pour diverses raisons) de certaines bibliothèques et utilitaires.
Dans le même temps, mes diverses distributions Linux se mettaient à jour régulièrement sans sourciller et j'aime autant ça.

Il ne s'agit pas de dire du mal d'Apple pour le plaisir ni de dédouaner l'utilisateur (que je suis aussi) des âneries qu'il peut faire mais simplement de constater que des failles ont été ignorées pendant des mois ou plus sans qu'Apple ne se manifeste.

Aujourd'hui c'est un peu mieux parce qu'ils se rendent bien compte que le Mac intéresse un peu plus les vilains (et iOS encore davantage).

Pour moi, le tournant a été l'année dernière (disons : en 2014) au moment des failles décelées dans bash et OpenSSL et où, pour la première fois, je les ai trouvés réactifs. C'est donc un tournant récent, sans doute lié à une petite prise de conscience tardive de l'intérêt de s'en préoccuper.

Par ailleurs, avec leur gestion de paquetage de seconde zone (franchement pathétique, et je suis modéré) et une vision à l'ancienne de correction par service pack (les versions mineures), la réactivité est évidemment moindre que pour des systèmes habitués aux mises à jour régulières et, disons, par petit paquet ciblé.

Après, on peut effectivement faire deux constats :
- si l'utilisateur fait n'importe quoi, c'est lui qui mettra en péril sa machine [dans ce cas, pourquoi activer SIP mais laisser cochée la case d'ouverture automatique des téléchargements, exemple de la mauvaise habitude du clic compulsif ?]
- chaque faille ne représente pas un danger immédiat non plus : pour nombre d'entre elles, il faut un accès physique à la machine, voire un compte ouvert, pour pouvoir l'exploiter ; ça en limite singulièrement la portée.

PS : on peut être amené à vouloir remplacer du code fautif (buggé ou véreux) dans le système : ce n'est quand même pas tout à fait à la portée de tous...
 
bompi a dit:
[dans ce cas, pourquoi activer SIP mais laisser cochée la case d'ouverture automatique des téléchargements, exemple de la mauvaise habitude du clic compulsif ?]
Cliquez pour agrandir...
En plus, c'est suant comme fonction. Ce n'est pas parce que je télécharge un zip, un dmg ou une vidéo que je veux l'ouvrir de suite. :mad:

Promis, le jour où je trouve une explication rationnelle à cette ânerie, je t'en informe de suite. :D

15 jours pour patcher bash correctement sur OS X ça n'était pas excessif, surtout que ceux qui s'y ont essayé eux-mêmes ont créé plus de désagréments qu'autre chose.

Mettre à jour par petits bouts, un élément par-ci, un élément par-là ? Ça va pour le monde GNU-Linux, mais sur OS X on a déjà assez de mal à faire faire une mise à jour automatique du système tous les deux mois à monsieur Michu.

Ça peut paraître paradoxal, mais l'unixien sur OS X est une minorité ethnique.

Prends les posts de @yateich comme référence du macuser de base et ça te donnera tout de suite une idée plus nette du public concerné.
 
Moonwalker a dit:
Et puis la seule vraie faille critique d'un OS reste l'utilisateur, celui qui ne fait pas les mises à jour de sécurité (parce que c'est un complot d'Apple pour rendre sa machine obsolète)
Cliquez pour agrandir...
En 2016, je crois qu'Apple a bien pris le train de la compétition en marche. Plus pour les iPhones que pour les Mac. On va pas m'ôter de l'esprit que les mises à jour, certes importantes, sont à l'évidence destinées à faire changer le matériel. Effectivement, la première faille du système est l'utilisateur. Mais pour garder son matériel le plus longtemps possible, car il fonctionne nickel, perso j'évite de me jeter sur la dernière mise à jour. Enfin, s'il y avait moins de bugs lors de la sortie des correctifs, ça permettrait à tout le monde d'avoir confiance. Je renvoie à toutes ces histoires sur IOS8.... !
J'aime Apple, je défends Apple. Je suis comblé par la performance des systèmes et produits... Mais j'ai appris à garder une certaine méfiance.
 
moderno31 a dit:
En 2016, je crois qu'Apple a bien pris le train de la compétition en marche. Plus pour les iPhones que pour les Mac. On va pas m'ôter de l'esprit que les mises à jour, certes importantes, sont à l'évidence destinées à faire changer le matériel. Effectivement, la première faille du système est l'utilisateur. Mais pour garder son matériel le plus longtemps possible, car il fonctionne nickel, perso j'évite de me jeter sur la dernière mise à jour. Enfin, s'il y avait moins de bugs lors de la sortie des correctifs, ça permettrait à tout le monde d'avoir confiance. Je renvoie à toutes ces histoires sur IOS8.... !
J'aime Apple, je défends Apple. Je suis comblé par la performance des systèmes et produits... Mais j'ai appris à garder une certaine méfiance.
Cliquez pour agrandir...

C'est l'été, on s'habille léger, mais est-ce une raison pour sortir les fesses à l'air ? o_O

https://support.apple.com/fr-fr/HT206903

Je n'ai pas d'iPhone ni d'iPad donc je ne m'occupe pas d'iOS et de sa problématique particulière qui fait que le changement de version constitue en elle-même une mise à jour de sécurité.


Non, une mise à jour d'OS X n'est pas destinée à faire changer de matériel, et sûrement pas une mise à jour de sécurité.

Sur OS X, il faut faire les mises à jour de sécurité, même si elles cassent momentanément des fonctions. On a déjà eu le cas, notamment avec le WiFi et Apple fournissait le correctif assez rapidement. Rester sur un système avec des failles documentées est de l'ordre du suicide par les temps qui courent.

Actuellement, trois versions du système sont maintenues par Apple : Mavericks, Yosemite et El Capitan. Ces trois OS X ont la particularité de pouvoir fonctionner sur les mêmes Mac, dont les plus anciens datent de 2007.

Mon passage à El Capitan ne m'a pas obligé à acheter une nouvelle machine. Par contre, je vais devoir acheter un nouveau scanner photo parce que Canon n'a pas daigner poursuivre un support minimum de ses matériels. Et pourtant, ma HP de 2005 fonctionne toujours, en impression et en numérisation, preuve qu'il s'agit d'une volonté politique de Canon. Je n'ai donc pas le sentiment qu'Apple me force à quoique ce soit. Je changerai de machine quand mon iMac principal (2010) sera en bout de course. Ce qui est loin d'être le cas.
 
Moonwalker a dit:
C'est l'été, on s'habille léger, mais est-ce une raison pour sortir les fesses à l'air ? o_O

https://support.apple.com/fr-fr/HT206903

Je n'ai pas d'iPhone ni d'iPad donc je ne m'occupe pas d'iOS et de sa problématique particulière qui fait que le changement de version constitue en elle-même une mise à jour de sécurité.


Non, une mise à jour d'OS X n'est pas destinée à faire changer de matériel, et sûrement pas une mise à jour de sécurité.

Sur OS X, il faut faire les mises à jour de sécurité, même si elles cassent momentanément des fonctions. On a déjà eu le cas, notamment avec le WiFi et Apple fournissait le correctif assez rapidement. Rester sur un système avec des failles documentées est de l'ordre du suicide par les temps qui courent.

Actuellement, trois versions du système sont maintenues par Apple : Mavericks, Yosemite et El Capitan. Ces trois OS X ont la particularité de pouvoir fonctionner sur les mêmes Mac, dont les plus anciens datent de 2007.

Mon passage à El Capitan ne m'a pas obligé à acheter une nouvelle machine. Par contre, je vais devoir acheter un nouveau scanner photo parce que Canon n'a pas daigner poursuivre un support minimum de ses matériels. Et pourtant, ma HP de 2005 fonctionne toujours, en impression et en numérisation, preuve qu'il s'agit d'une volonté politique de Canon. Je n'ai donc pas le sentiment qu'Apple me force à quoique ce soit. Je changerai de machine quand mon iMac principal (2010) sera en bout de course. Ce qui est loin d'être le cas.
Cliquez pour agrandir...
Ok, Je comprends ta position et tu n'as pas tors.
Je précise que je pense aux mises à jour de version et non de sécurité. En effet, toutes les mises à jour de sécurité sont à faire et je les fait chaque fois que ça m'est demandé.
D'après ta réponse, j'apprends que Mavericks, auquel je suis très attaché, est encore maintenu. J'avais compris l'inverse... Merci bcp Moonwalker,
 

Sujets similaires

titie3325
10.15 Catalina bug mac os catalina 10.15.5
Réponses
14
Affichages
3K
macOS
Sly54
Sly54
J
MacBook Pro Mac bug malgré re-initialisation
Réponses
5
Affichages
1K
Mac
Sly54
Sly54
Wootacon
Installation de Mac OS X 10.11.6 sur hack Skylake [en cours]
Réponses
11
Affichages
4K
Hackintosh
Wootacon
Wootacon
M
  • Fermé
Mac plus fragile que Vista ?
Réponses
6
Affichages
1K
macOS
bompi
bompi
droyze
Les batteries Apple peuvent-elles exploser ?
Réponses
1
Affichages
1K
Mac
Larme
Larme
Haut Bas
Back