Vous êtes ici : Accueil » Divers » 2 vers, ça va. 3 vers, bonjour les dégâts !

2 vers, ça va. 3 vers, bonjour les dégâts !

Vous possédez un iPhone jailbreaké et vous n’avez toujours pas changé le mot de passe par défaut pour se connecter en SSH ? Vous risquez fort bien d’être, tôt ou tard, victime de phising.

ingDirect

« Les vers se multiplient sur l’iPhone » diront les mauvaises langues. Pas vraiment. A vrai dire, ces attaques portent toujours et encore sur la même « faille » : le mot de passe par défaut de la connexion en SSH. Dernièrement, c’est une tentative de phising qui à fait son apparition, incitant les utilisateurs à se connecter à une fausse page d’identification sur le site de la banque d’ING Direct.

Il y a fort à parier que ces attaques vont se multiplier, encore et encore. Pour plus de sécurité, nous vous invitons sans plus attendre à modifier votre mot de passe SSH.

Pour rappel, voici la méthode à suivre :

  • installez l’application « mobile terminal » disponible dans Cydia, puis lancez là
  • tapez « su root »
  • tapez « passwd »
  • tapez l’ancien mot de passe, qui est « alpine » par défaut
  • tapez votre nouveau mot de passe
  • tapez une seconde fois votre nouveau mot de passe pour confirmer

2 144 vues

A propos de Fred

8 commentaires

  1. Bonjour
    petite question : si le mode SSH est désactivé, y a-t-il aussi un risque ?

  2. Et si j’ai désinstallé Terminal et OpenSSH (que je n’utilise jamais), je suis toujours vulnérable ?

  3. La faille réside dans une utilisation du protocole SSH frauduleuse. Sans OpenSSH, ce protocole n’est pas activé, donc il n’y a plus de risque venant de là. De même si le SSH est désactivé manuellement. En revanche, enlever terminal ne changera rien.

  4. Oui sans SSH il n’y a pas de risques.

  5. Je ne connais pas vraiment apt, car j’ai fait un peu plus avec les ports (BSD).

    Question : Il n’y a pas moyen de faire changer passwd(1) l’usager qui install un sshd sur son iPhone avec un script contenu dans le paquet.deb ?
    Comme ça, il a son password changé en l’installant.
    Au pire, il install terminal.app comme dependency et il fait taper le password en cli. Pas compliqué.

    Ah, petite info comme ça, il y a un toggle pour sbsetting qui permet d’activer/désactiver le sshd. Ça peut être pratique à la bibliothèque de l’école pour empêcher tous les geeks en science & génie de tenter de percer ton iPhone. Ça doit aussi, peut-être, consommer un peu moins de jus à ce moment.

  6. Bien sur, le toggle SBSetting fonctionne très bien (en fait, c’est a ça que je pensais quand je parlais de désactivation manuelle du SSH.
    Ensuite, bien sur que l’on
    peut modifier son password, c’est écrit dans l’article. Et si on aime pas terminal, on peut thés le supprimer après… Le nouveau mdp restera.

  7. Pour résumer un peu :

    - Si vous n’avez pas installé OpenSSH, vous ne courez aucun risque puisque le port 22 n’est pas ouvert.

    - Si vous avez installé OpenSSH, il existe effectivement un toggle pour SBSettings (Cydia) qui permet de le désactiver/activer selon vos besoins, ce qui limite les risques, mais il est vivement recommandé de remplacer le mot de passe par défaut, cela ne prend pas plus de 3 minutes.

    - Quant à MobileTerminal, il n’a rien à voir avec le SSH, il s’agit juste d’une application qui permet de lancer des lignes de commande.

    - Enfin, concernant l’idée de Calicedetabarnak, c’est une vrai fausse bonne idée, car si un utilisateur non averti installe OpenSSH et qu’il ne comprend rien à ce qu’il lui arrive, il y a 90% de chance qu’il ne retrouve plus jamais son mot de passe le jour où il aura vraiment besoin de se connecter en SSH sur son iPhone :/

  8. @Fred
    Sans vouloir paraître ne rien comprendre de ce que tu dis, je prendrai comme exemple l’installation de la plupart des OS et en particulier ceux de la famille unix. Pendant l’installation, à un certain moment après la création des partitions, on demande de taper un password root (LE password) du système.

    Cette méthode semble faire l’unanimité en ce qui concerne le password root de l’ensemble des UNIX-like.

    J’avoue que, à force d’utiliser sudo(8) on peut finir par oublier le password de root (ce qui ne m’est jamais arrivé) sur un linux ou un bsd quelconque , mais ça c’est une tout autre histoire. ;-)

    Pour terminer, je crois qu’il serait important d’éduquer les gens par rapport à certaines notions de sécurité informatique et, dans le cas qui nous intéresse, aux mots de passes et en particulier celui de l’admin. Le moment et l’endroit le mieux choisis pour les iPhones serait, selon moi, pendant l’installation du sshd.
    Cependant, je ne connais pas apt et ses particularités et si cela pourrait être techniquement faisable. Je sais seulement qu’avec les ports des systèmes BSD cela aurait été assez facile et non gourmand en ressources, mais l’iPhone ne les utilisent pas sûrement pour de bonnes raisons.

Répondre

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués d'une étoile *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Revenir en haut de la page