Sécurisation d'un poste public

PA5CAL a dit:
Or, pour les Macs, j'ai justement entendu parler d'un dongle USB que la police serait susceptible d'utiliser pour récupérer les mots de passe de la machine pour des besoins d'enquête. Il y aurait donc là aussi, tout comme les autres ordinateurs, une faille laissée sciemment ouverte.
Cliquez pour agrandir...

oui... euh une petite expérience personnelle. On est victime au bureau d'un collaborateur agile en osx serveur. On porte plainte contre lui pour hacking (je rappelle c'est pénal). Ben, la juge comprend mais n'a pas d'expert sous mac pour valider... le procureur pensait que Mac n'existait plus, et du coup renvoie l'affaire à Paris au parquet général... cela doit être là qu'est la clé usb dont tu parles:D :D :D :D
 
PA5CAL a dit:
les Macs ne sont en quelque sorte que des PC un peu particuliers.
Cliquez pour agrandir...

Malheureusement (pour Apple), bien peu de gens le savent

PA5CAL a dit:
Or, pour les Macs, j'ai justement entendu parler d'un dongle USB que la police serait susceptible d'utiliser pour récupérer les mots de passe de la machine pour des besoins d'enquête. Il y aurait donc là aussi, tout comme les autres ordinateurs, une faille laissée sciemment ouverte.
Cliquez pour agrandir...

Et là, heureusement pour moi, tu es une personne assez rare, et que je suppose en plus bien attentionnée.
 
PA5CAL a dit:
…
Or, pour les Macs, j'ai justement entendu parler d'un dongle USB que la police serait susceptible d'utiliser pour récupérer les mots de passe de la machine pour des besoins d'enquête.
…
Cliquez pour agrandir...
MacForensicsLab, c'est même capable de retrouver la moindre image couleur de peau sur une machine (Mac ou autres PCs) reformatée à la dure avec écriture de zéros.
Mais ce n'est pas du tout venant.
 
apenspel a dit:
MacForensicsLab, c'est même capable de retrouver la moindre image couleur de peau sur une machine (Mac ou autres PCs) reformatée à la dure avec écriture de zéros.
Mais ce n'est pas du tout venant.
Cliquez pour agrandir...
J'ai quand même des doutes la dessus…

Si tu écris des "00" en 35 passes tu n'auras plus aucune autre valeur sur les secteurs de ton DD ormis ceux du début ou l'on trouveras le catalogue pointant vers aucun fichier…

Je ne crois pas avoir d'éditeur de blocks sous OS X mais avec le 9 je le faisais souvent…

Faudrait que je réessaie en prenant une image et en en remplaçant toute une partie par des zéros pour l'ouvrir ensuite, je suis sur que celle-ci sera non conforme à l'original et le seul moyen de la retrouver serait de remettre les bonnes valeurs à la place des "00" et ça si tu les a pas notés tu ne les retrouvera nulle part…
 
Il y a beaucoup de mystification autour de la récupération de données effacées.

Je ne sais pas trop pour HFS+ car j'en ai moins l'habitude, mais je sais par exemple qu'il existe effectivement des options sur NTFS (pour Windows, donc) qui permettent de compriment certains contenus. Un fichier contenant plusieurs milliards de 0 n'occupera ainsi que très peu de place sur le disque, et son écriture n'effacera probablement aucun fichier sur le disque.

Mais comme l'indique Dos Jones, pour l'écriture effective des 0 sur le disque, aucun méthode logicielle directe (i.e. sans aller chercher ailleurs) ne permet de récupérer le contenu précédent.

Par contre, on peut analyser les signaux électriques sortant des têtes de lecture du disque avec du matériel électronique spécialisé. La récupération est alors envisageable.

Cette récupération est rendue possible grâce à une certaine rémanence du support magnétique (c'est un peu comme si on avait gommé un dessin au crayon: il restera toujours une très légère trace) et au calage imparfait des têtes de lecture sur la piste. Elle est aussi facilitée par le type de codage des données sur la surface, ainsi que par la présence de codes de correction d'erreur accompagnant systématiquement les données.


Donc une récupération de données après effacement est parfois possible, soit à partir de l'analyse de la surface, soit à partir de fichiers système qui ont enregistré les données au passage (swap, cache, etc.), soit à partir d'enregistrements extérieurs (communications Internet). Mais elle est bien loin d'être systématique.

Les laboratoires de récupération et les outils comme MacForensicsLab garantissent qu'ils ont les moyens de rechercher les données, mais pas qu'ils vont les retrouver.
 
PA5CAL a dit:
Par contre, on peut analyser les signaux électriques sortant des têtes de lecture du disque avec du matériel électronique spécialisé. La récupération est alors envisageable.

Cette récupération est rendue possible grâce à une certaine rémanence du support magnétique (c'est un peu comme si on avait gommé un dessin au crayon: il restera toujours une très légère trace) et au calage imparfait des têtes de lecture sur la piste…
Cliquez pour agrandir...
Quand t'écris 35 fois de suite des "00" à un emplacement la rémanence du support devrait pas remonter bien loin… :D
 
Je pense qu'écrire 35 fois des valeurs aléatoires différentes serait efficace. Mais en écrivant la même valeur, même 35 fois, un doute subsiste. Il ne faut pas perdre de vue tous les mécanismes qui entrent en jeu dans le stockage des informations sur le média.
 
PA5CAL a dit:
Je pense qu'écrire 35 fois des valeurs aléatoires différentes serait efficace. Mais en écrivant la même valeur, même 35 fois, un doute subsiste. Il ne faut pas perdre de vue tous les mécanismes qui entrent en jeu dans le stockage des informations sur le média.
Cliquez pour agrandir...
Ben c'est là ou j'ai des doutes, car grosso modo cette écriture se fait sur tous les blocs du DD en premier et c'est seulement ensuite que sont écrits les données pour gérer le support…

Maintenant si les DDs ont une mémoire RAM stockant tout ce qui s'y passe pourquoi pas…mais bonjour la taille de cette RAM pour un DD de 250 Go…

Et sur une clé USB ça doit pas être inclus…

Faut vraiment que je trouve un bon éditeur de blocs physiques sous OSX*, y'en avait un dans les NORTON UTILITIES mais quand on sait la bouse que c'est sous OS X…

Je pourrais ressortir l'Imac DV sous 9 et mettre le G5 en mode target mais bons 4 ordis sur le plan de travail ça va pas y faire… :D

*Si quelqu'un a des liens vers un bon ce sera récompensé…
 
Bon, alors, pour les disques durs, oui, on peut récupérer les données même après un zéroing en 35 passes, mais dans un laboratoire spécialisé, pas avec une clé USB. La police scientifique utilise les espaces interpistes pour récupérer les données, après avoir sorti les disques de leur boîtiers, et les avoir monté dans un appareil spécialement conçu pour ça.

Cela dit, et pour revenir au sujet, la solution au problème posé dans ce topic, ça n'est ni un Mac, ni un PC, mais un mini-ordinateur avec des terminaux passifs, ainsi, pas de disque dur, pas de droit d'accès, et impossibilité de sortir du seul et unique logiciel autorisé !
 
Pascal 77 a dit:
la solution au problème posé dans ce topic, ça n'est ni un Mac, ni un PC, mais un mini-ordinateur avec des terminaux passifs, ainsi, pas de disque dur, pas de droit d'accès, et impossibilité de sortir du seul et unique logiciel autorisé !
Cliquez pour agrandir...
Compte tenu des standards du marché, ça revient en fait dans 99% des cas à utiliser un petit PC dans une config a minima.
 
Pascal 77 a dit:
Cela dit, et pour revenir au sujet, la solution au problème posé dans ce topic, ça n'est ni un Mac, ni un PC, mais un mini-ordinateur avec des terminaux passifs, ainsi, pas de disque dur, pas de droit d'accès, et impossibilité de sortir du seul et unique logiciel autorisé !
Cliquez pour agrandir...

La société PMB Services propose ce genre d'ordi : la PMBox , mais qui coûte 1500 euros avec la garantie trois ans sur site. L'iMac 17", avec AppleCare " ans, est à 1200 euros : ça vaut le coup d'ajouter un petit logiciel de sécurité, et conserve plus de possibilités pour l'avenir. D'ou ma question, justement
 
archeos a dit:
La société PMB Services propose ce genre d'ordi : la PMBox , mais qui coûte 1500 euros avec la garantie trois ans sur site. L'iMac 17", avec AppleCare " ans, est à 1200 euros : ça vaut le coup d'ajouter un petit logiciel de sécurité, et conserve plus de possibilités pour l'avenir. D'ou ma question, justement
Cliquez pour agrandir...

Là, tu as un choix à faire entre sécurité et possibilités. Sécuriser totalement un Mac, c'est difficile. Toutefois, tu peux toujours en virer le disque dur et l'unité optique, et opter pour un "net boot" via un server sous OS X Server, tu seras à l'abri des bricoleurs de bases, mais un vrai hacker Mac devrait malgré ça pouvoir en venir à bout*. Toutefois, quelles sont les chances de tomber sur un tel personnage là ou tu vas mettre ces postes en service ?

Il est aussi possible de protéger les postes via un mot de passe "Open Firmware", qui interdirait le redémarrage des machines par une personne non autorisée, mais à part boucher les prises à l'Araldite©, je ne vois pas comment empêcher quelqu'un de brancher une mémoire de masse USB ou Firewire ? Et là, même sans redémarrer, il serait possible à un utilisateur malveillant de faire des dégâts sur le serveur.

(*)Par exemple en branchant un disque externe Firewire contenant sa trousse à outils, et en redémarrant dessus
 
Dans ce cas de figure le hackeur se fait later par le personnel présent, car ça se fait pas en 3 secondes ça.
 
supermoquette a dit:
Dans ce cas de figure le hackeur se fait later par le personnel présent, car ça se fait pas en 3 secondes ça.
Cliquez pour agrandir...

Viens faire un tour sur les postes en libre service à la médiathèque de Meaux, tu verra que tu peux bosser tout l'aprem sur un poste sans que personne ne s'occupe de ce que tu fais. Ce sont des PC sous Windows, en théorie bloqués sur Internet Explorer, lui même bloqué en principe sur l'intranet de la médiathèque, toujours en théorie, et j'y ai déjà vu des gamins s'y livrer au téléchargement en pear to pear sur internet, sans que le personnel (pas formé) ne s'aperçoive de quoi que ce soit ! Tout ne se passe pas nécessairement comme dans un établissement universitaire ou la majorité du public est composée de gens venant y bosser sérieusement.

Bon, depuis que j'ai signalé la chose au conservateur, ils ont pris des mesures et on ne peux plus, mais il est toujours aussi facile de brancher une clé USB sur les machines !
 
supermoquette a dit:
Dans ce cas de figure le hackeur se fait later par le personnel présent, car ça se fait pas en 3 secondes ça.
Cliquez pour agrandir...

je confirme pour avoir posé la question à l'un des 5 spécialistes apple osx serveur... m'a dit qu'il sait faire mais qu'il emmène la procédure avec lui pour ne pas se louper, et que cela est très long
;)
 
vleroy a dit:
je confirme pour avoir posé la question à l'un des 5 spécialistes apple osx serveur... m'a dit qu'il sait faire mais qu'il emmène la procédure avec lui pour ne pas se louper, et que cela est très long
;)
Cliquez pour agrandir...

tu cases bompi a coté, et ton macpro est muet comme un tombe :eek:
 
Bonjour,

je voudrais lancer un autre cas, certainement plus simple :) et sous forme de question.

Les enfants grandissant, je me vois contraint de leur céder de temps à autre mon mac :hein: Des comptes leurs ont donc été crées tandis qu'en toute logique je reste le grand administrateur de la bête:D
Alors qu'à présent la session s'ouvre sur la liste des utilisateurs, n'est-il néanmoins pas possible de faire en sorte, qu'après une mise en veille du mac, ce soit uniquement la mot de passe de l'administrateur qui se présente ?

Merci pour les suggestions voire la solution ;)
 
coco914 a dit:
Bonjour,

je voudrais lancer un autre cas, certainement plus simple :) et sous forme de question.

Les enfants grandissant, je me vois contraint de leur céder de temps à autre mon mac :hein: Des comptes leurs ont donc été crées tandis qu'en toute logique je reste le grand administrateur de la bête:D
Alors qu'à présent la session s'ouvre sur la liste des utilisateurs, n'est-il néanmoins pas possible de faire en sorte, qu'après une mise en veille du mac, ce soit uniquement la mot de passe de l'administrateur qui se présente ?

Merci pour les suggestions voire la solution ;)
Cliquez pour agrandir...

oui en sortant de veille, on peut exiger le mot de passe mais celui de la session (ce qui parait bien logique puisque le principe est d'ouvrir une session et de la fermer). Donc si t'es sur le compte enfant, le mot de passe exigé ne pourra être que celui d'enfant.
En revanche, si c'est ton compte, et qu'ils n'ont pas le mot de passe, ils ne vont pas aller bien loin.
NDLR: sauf si tes gamins ont activé root (nan, je déconne)

En revanche, pour ton problème spécifique, il existe des logiciels (pas gratuits hélas) qui peuvent gérer plus finement les comptes des enfants et notamment les plages horaires attribuées aux enfants (j'ai trouvé cela pas mal et l'interface simple mais je n'ai vu que la démo)
Fais une recherche sur ce sujet dans le forum, cela a été multitraité:up: et tout dernièrement d'ailleurs (moins de trois semaines)

Dernier conseil si le mac est un outil de travail indispensable pour toi, on ne prête pas sa machine. Moi ils ont le droit de polluer celui de Madame, et le mac mini (qui leur est dédié), mais si ils approchent à moins d'un mètre de mes serveurs ou de ma bébette, je sors la boite à baffe et je discute après.:D :D :D :D
 

Sujets similaires

la_pendule
MacBook Pro Passer au macbook pro ?
Réponses
78
Affichages
10K
Switch et conseils d’achat Mac
la_pendule
la_pendule
C
10.13 High Sierra Démarrage impossible depuis "diskutil apfs resizecontainer"
Réponses
2
Affichages
1K
macOS
Malla17
M
S
10.13 High Sierra Restauration via CCC avec changement de système
Réponses
2
Affichages
778
macOS
Samourai2
S
Z
Accès à distance de ma TC depuis iDevice ou interface web
Réponses
2
Affichages
884
FAI et réseau Mac
zeyon
Z
Roberto Vendez
Dix ans après, bon chien de nom d'un sang !
Réponses
142
Affichages
55K
La terrasse
TimeCapsule
TimeCapsule
Haut Bas
Back