Bug de sécurité dans OSX !
Si vous utilisez un Mac en dehors de chez vous, afin de le sécuriser quand vous vous absentez pour quelques minutes, vous utilisez très probablement l’option de blocage (avec mot de passe) de l’effet d’écran (option “Mot de passe à saisir lorsque l’effet d’écran est réactivé” dans les Préférences Système).
Or, un certain Delfim Machado a découvert qu’en pressant une touche du clavier pour environ 5 minutes lorsque le mot de passe pour débloquer l’effet d’écran vous est demandé (afin d’entrer un nombre énorme de caractères dans le champ “Mot de passe”), le système de sécurité de l’effet d’écran plante complètement en donnant accès à l’ordinateur exactement comme si l’on avait tapé le mot de passe correctement.
La nouvelle a été publiée par osnews.com et d’autres sites, mais ce que ces sites n’ont pas encore mentionné est une astuce qui rend ce bug encore plus préoccupant, car elle permet de faire planter l’effet d’écran en moins de 10 secondes (donc sans devoir attendre les 5 minutes, par exemple en posant un objet sur le clavier). L’astuce est d’utiliser le système “UNIX” pour copier-coller que l’on retrouve aussi dans toutes les applications Cocoa (voir TextEdit ou Safari):
d’abord assurez-vous que, dans le panneau Clavier des Préférences Système, vous avez la vitesse de répétition des touches réglée sur “Rapide”. Quand le mot de passe pour débloquer l’effet d’écran vous est demandé, appuyez pour quelques secondes sur une touche (disons ‘A’). Maintenant tapez ctrl-A (pour revenir au début du champ avec le curseur) ensuite ctrl-K (pour couper tout ce qui se trouve à droite du curseur) et enfin pressez ctrl-Y pour quelques secondes (afin de coller continûment le texte copié auparavant avec ctrl-K). À un certain moment, le champ du mot de passe n’acceptera plus de texte (ctrl-Y n’a plus aucun effet); cliquez alors sur le bouton Ok…
MacPlus a testé la présence du bug dans la version beta de Panther et peut confirmer que Mac OS X 10.3 “Panther” n’est pas affecté par ce problème.
Par contre, le bug se manifeste avec la dernière version de Jaguar (v10.2.6).
Pourquoi avons nous décidé de vous informer sur cette possibilité de “hacking”? Pour vous démontrer le réel danger qui se cache derrière ce bug, et pour vous inviter à vous méfier de cette méthode de sécurisation, jusqu’à ce qu’une mise à jour Apple qui règle le problème soit disponible. Il est probable que cela ne saurait tarder.
