Dino Dai Zovi s'est fait un nom en peu de temps. Le grand gagnant du concours CanSecWest est parvenu, rappelons-le, à mettre en défaut la sécurité d'un Macintosh, en exploitant une mauvaise prise en charge du code Java par QuickTime.
Les règles de ce concours, organisé lors d'une conférence à Vancouver du 18 au 20 avril, étaient simples : deux MacBook Pro reliés à un réseau Wi-Fi, configurés par défaut et équipés de la toute dernière version de Tiger, étaient jetés aux mains des hackers. Celui qui parvenait à s'octroyer les privilèges d'un utilisateur repartait avec un MacBook Pro 15" alors que celui qui réussissait à obtenir les privilèges de superutilisateur (root) emportait un MacBook Pro 17". Pour pimenter le tout, les organisateurs avaient également décidé de mettre 10 000 $ en jeu.
Dans un premier temps, les portables n'étaient accessibles qu'à distance. Puis dans un second temps, il était possible d'utiliser Safari d'un des deux ordinateurs pour l'exposer à une attaque provenant d'un site web. C'est via cette technique que Dino Dai Zovi, et son acolyte, Shane Macaulay qui était présent physiquement à la conférence, ont réussi leur affaire.
Apprenant jeudi vers 21 h 30 que le concours n'avait été remporté par personne, Dino Dai Zovi décida de se mettre au travail. Il restait alors 24 heures au chercheur pour "accomplir sa mission". Il lui fallut cinq heures pour débusquer une faille et quatre heures pour mettre au point un dispositif permettant de l'exploiter. Le chercheur en sécurité se dit chanceux. Trouver une faille peut aussi bien prendre quelques heures que plusieurs semaines. La faille en question permet à une personne malintentionnée de s'octroyer les privilèges de l'utilisateur. C'est suffisant pour s'en prendre à vos documents par exemple. Si le compte en question possède le statut d'administrateur, il est même possible de s'attaquer aux dossiers "Applications" et "Library". Cette vulnérabilité peut également être exploitée sur un PC, selon lui, à condition qu'il dispose de QuickTime. En attendant qu'Apple réagisse, il recommande de désactiver temporairement Java.
Dans une interview donnée à Daring Fireball, Dino Dai Zovi qui se présente comme un véritable Mac User, prodigue quelques conseils à ceux qui veulent améliorer la sécurité de leur système. Parmi les recommandations, utiliser principalement un compte dépourvu des privilèges administrateur, stocker dans un trousseau vos mots de passe importants et le paramétrer de manière à ce qu'il se verrouille automatiquement au bout de cinq minutes d'inactivité ou encore faire régulièrement des sauvegardes chiffrées de vos données. Dino Dai Zovi dit ne pas utiliser un logiciel d'antivirus payant. Pour la petite histoire, Dai Zovi va empocher les 10 000 $ alors que son collègue gardera le MacBook. Cela valait bien une nuit blanche…
Les règles de ce concours, organisé lors d'une conférence à Vancouver du 18 au 20 avril, étaient simples : deux MacBook Pro reliés à un réseau Wi-Fi, configurés par défaut et équipés de la toute dernière version de Tiger, étaient jetés aux mains des hackers. Celui qui parvenait à s'octroyer les privilèges d'un utilisateur repartait avec un MacBook Pro 15" alors que celui qui réussissait à obtenir les privilèges de superutilisateur (root) emportait un MacBook Pro 17". Pour pimenter le tout, les organisateurs avaient également décidé de mettre 10 000 $ en jeu.
Dans un premier temps, les portables n'étaient accessibles qu'à distance. Puis dans un second temps, il était possible d'utiliser Safari d'un des deux ordinateurs pour l'exposer à une attaque provenant d'un site web. C'est via cette technique que Dino Dai Zovi, et son acolyte, Shane Macaulay qui était présent physiquement à la conférence, ont réussi leur affaire.
Apprenant jeudi vers 21 h 30 que le concours n'avait été remporté par personne, Dino Dai Zovi décida de se mettre au travail. Il restait alors 24 heures au chercheur pour "accomplir sa mission". Il lui fallut cinq heures pour débusquer une faille et quatre heures pour mettre au point un dispositif permettant de l'exploiter. Le chercheur en sécurité se dit chanceux. Trouver une faille peut aussi bien prendre quelques heures que plusieurs semaines. La faille en question permet à une personne malintentionnée de s'octroyer les privilèges de l'utilisateur. C'est suffisant pour s'en prendre à vos documents par exemple. Si le compte en question possède le statut d'administrateur, il est même possible de s'attaquer aux dossiers "Applications" et "Library". Cette vulnérabilité peut également être exploitée sur un PC, selon lui, à condition qu'il dispose de QuickTime. En attendant qu'Apple réagisse, il recommande de désactiver temporairement Java.
Dans une interview donnée à Daring Fireball, Dino Dai Zovi qui se présente comme un véritable Mac User, prodigue quelques conseils à ceux qui veulent améliorer la sécurité de leur système. Parmi les recommandations, utiliser principalement un compte dépourvu des privilèges administrateur, stocker dans un trousseau vos mots de passe importants et le paramétrer de manière à ce qu'il se verrouille automatiquement au bout de cinq minutes d'inactivité ou encore faire régulièrement des sauvegardes chiffrées de vos données. Dino Dai Zovi dit ne pas utiliser un logiciel d'antivirus payant. Pour la petite histoire, Dai Zovi va empocher les 10 000 $ alors que son collègue gardera le MacBook. Cela valait bien une nuit blanche…
