Ah c’est trop bon ! Excusez-moi mais j’en ris encore… mouarf, j’l’attends de pied ferme le prochain comique qui me nargueras avec son bô nappeul super design et surtout top sécurité !
En effet, n’importe quel utilisateur normal peut obtenir un dump du fichier mot de passe et attaquer des fichiers cryptés. Le plus beau c’est que ça inclut également le mot de passe administrateur (sinon c’est pas fun).
Et pour la réactivité, ils font mieux que Gros$oft : le problème a été signalé il y a maintenant un an mais Apple continue de l’ignorer. Pire, Apple persiste même avec la dernière version de MacOS X. Ils auraient peut-être pu régler le problème cette fois, non ? Visiblement, y’a des trucs plus graves dans l’OS pour qu’ils négligent ça…
ndCaf : Baphomet, merci de citer tes sources please.
Euh oui ce serait sympa de donner tes sources, surtout quand t’es pas super clair comme ça… Car accéder à un « dump du fichier mot de passe » et « attaquer des fichiers cryptés » ça veut pas dire grand chose.
Si tu ne précises pas plus, on croirait qu’il s’agit tout bêtement d’accéder au fichier contenant les mots de passes cryptés et pouvoir les cracker. Ce qui est le cas depuis les débuts d’Unix… Sauf que maintenant il y a un truc qui s’appelle « shadow password » qui permet de planquer le fichier /etc/passwd à l’utilisateur lambda, et qui ne serait pas utilisé dans Mac OS X. Si ce n’est que ça, eh ben c’est pas bien grave et ça ne mérite pas tes sarcasmes. Si c’est autre chose, pitié éclaire nos lanternes :o
(sérieux si c’est autre chose, j’aimerais vraiment savoir)
Ouais euh finalement en même temps que j’écrivais je googlais un peu et devinez quoi : c’est presque exactement ce que je dis:o. Donc l’utilisateur lambda peut accéder aux versions cryptées des mots de passes utilisateurs. Super. A ma connaissance c’est exactement comme dans Windows (oui XP aussi)…
En résumé,certes ça les fait revenir en arrière par rapport aux dernières techniques unix/linux (certainement pas par rapport à windows), mais c’est pas ce qu’on peut appeler une « faille de sécurité » !
Ouais euh ton trait d’humour sentait un peu le rance si tu me permets
Bref, moi aussi j’ai dit une connerie (stunpeumonku aussi donc…) : c’est pas exactement comme sous windows, mea culpa. Pour repondre a GloP, les passwords cryptes sont bien ranges dans un fichier (%systemroot%/system32/config/SAM, a verifier pour XP), mais ce fichier n’est pas accessible car utilise par le systeme. (j’imagine que si vous avez un dual boot ou si vous montez votre disque dur sur un autre systeme, il sera facile d’aller recuperer ce fameux fichier, genre si vous avez un rack avec la partoche systeme dessus, faut avoir confiance en ses amis chez qui on monte le rack :o. Bref. En gros il faut etre admin pour avoir les mots de passes cryptes. Maintenant, parfois dans certaines configurations windows peut prendre des raccourcis qui font qu’on peut choper ces passwords mais bon si on devait detailler toutes les failles on y passerait la nuit. Et encore.
Au passage, mea culpa aussi pour le lien ecrit comme un goret, desole…
