Sécurité : un MacBook Air craqué en deux minutes ?

La conférence CanSecWest, qui se tenait en fin de semaine dernière à Vancouver, propose à ses participants un concours sur le mode du « le premier qui hacke cette machine la remporte », le tout étant agrémenté de quelques récompenses en numéraire, histoire de motiver hackers et spécialistes en tout genre. Cette année, l'objectif de la compétition était de forcer la sécurité de trois machines portables : l'une fonctionnant sous Windows Vista Ultimate SP1, la deuxième équipée d'une distribution Ubuntu 7.10 et la troisième embarquant Mac OS, le système d'exploitation d'Apple, dans sa version 10.5.2. C'est finalement le MacBook Air utilisé qui a le premier rendu les armes sous les assauts des pirates dès lors que ces derniers ont eu l'autorisation de directement manipuler la machine.

Sponsorisée par un fournisseur de services en sécurité, cette compétition qui se déroule sur trois jours vise à découvrir de nouvelles failles, communiquées par la suite aux éditeurs concernés afin qu'ils puissent les corriger. Au passage, le fait de confronter Windows Vista, Mac OS et Linux permet d'exacerber les passions, et d'obtenir une large couverture médiatique.

Objectif : forcer les barrages de sécurité de la machine cible, et parvenir à afficher le contenu d'un document texte abrité dans un répertoire protégé. Le premier jour, seules les attaques à distance, par l'intermédiaire du réseau, sont autorisées. Les règles sont ensuite assouplies et au deuxième jour, les attaquants peuvent manipuler les machines, et les faire par exemple naviguer sur un site Web piégé par leurs soins. C'est là que les défenses du MacBook Air ont cédé, un hacker nommé Charlie Miller ayant réussi à exploiter, en quelques minutes seulement, une faille encore inconnue du navigateur Safari. L'exploit de cette dernière avait cependant été préparé de longue date, explique Miller au site SecurityFocus. Le nom de ce pirate n'est pas tout à fait inconnu des initiés puisqu'il figure au nombre des premiers à avoir cassé les protections logicielles de l'iPhone.

Enfin, au troisième jour, les attaquants disposent de la possibilité d'installer des composants logiciels tiers, comme le lecteur Flash d'Adobe grâce auquel Shane Macaulay, consultant en sécurité, a pu mettre à mal Windows Vista équipé de son Service Pack 1. Il aurait pour cela exploité une faille de type « 0 day », dont les modalités d'exploitation ne seront pas rendues publiques tant qu'Adobe ne l'aura pas comblée, et remporte, en plus de la machine piratée, la somme de 5.000 dollars. Après trois jours, le portable Sony équipé d'Ubuntu est pour sa part resté inviolé. Avant de crier à la supériorité d'un système sur un autre, on observera toutefois que dans un cas, l'intrusion est rendue possible par un mauvais comportement de l'utilisateur (visite d'un site infecté) et dans l'autre par l'installation d'un composant logiciel indépendant.