10.13 High Sierra Faille Mac OS

[insgardoced]

J’ai essayé une astuce sur un mac d’un client bloqué au mot de passe!!!!
J’ai redémarré avec cmd+R et la, j’ouvre le terminal et je tape: resetpassword
Là ok, le mac est déverrouille avec un nouveau mdp de mon choix!!!
Mais là où c’est rigolo:
Vous ouvrez iTunes et vous allez sur mon compte.
Vous demandez mot de passe oublié !!!
Là on vous demande le mot de passe de l’ordi!!!! Que vous venez de créer !!!
Trop simple et la, accès à tous!!!
Mais mieux encore,
Vous prenez un iPhone, vous le synchroniser avec iTunes et récupérer toutes les donnée internet de l’ancien!!!!
Et la, caverne d’Ali baba !!!!
Vous vous connecter à un site, et sur mot de passe vous remplissez pas, vous taper sur mot de passe en bleu au dessus du clavier et le code de l’iPhone que vous venez de synchroniser et vous avez accès à tout les mots de passe et site enregistré !!!
Ahurissant ce trou dans la protection!!!!
Essayez c’est dingue!!!!

 

[Moonwalker]

Oh! Une poule qui découvre un réveil matin.

 

[peyret]

Vous demandez mot de passe oublié !!!
Là on vous demande le mot de passe de l’ordi!!!! Que vous venez de créer !!!

T'es sûr ? Je ne savais que le compte Itunes avait "mot de passe oublié"..... une copie d'écran serait la bienvenue !

 

[Moonwalker]

Quand tu te connectes à ton compte, il demande l’Apple ID, si tu ne le sais plus tu as un lien Mot de passe oublié, en bleu.

Quand tu as le mot de passe administrateur, l’ordinateur est à toi. Tu en fais ce que tu veux.

S'il y a une faille, elle est entre la chaise et le clavier.

 

[insgardoced]

Ouais mais c’est fou!!!! Je pensais que la double authentification bloquais ça!!!! Mais non simplement le mot de passe!!!! Débilité absolue!!!

Manque plus que la personne ai son mail sur l’ordi et là bingo tu as tout!!!

Et du coup si double authentification il y a le nouvel iPhone sert à ça!!! Aucune protection en fait

 

[Moonwalker]

T’es administrateur de la machine ! Donc elle est à toi. Pourquoi devrait-on te bloquer ?

À partir du moment où il y a accès physique à la machine, la notion de sécurité n’a plus de sens. Si tu définis un nouveau mot de passe d’administration la machine est à toi. Tu en fais ce que tu veux.

La double identification est destinée aux attaques extérieures. La machine est légitime, tu es toi-même légitime puisque tu as le mot de passe administrateur. Ce n’est pas une faille.

La faille, si tu étais animé d’intentions malhonnêtes, était de te confier la machine.

Pour empêcher le reset du mot de passe administrateur, il faut activer le mot de passe EFI firmware qui empêchera de redémarrer sur la partition de restauration.