Commentaires sur : 2 vers, ça va. 3 vers, bonjour les dégâts ! http://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html Tue, 21 Feb 2012 20:47:39 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Par : calicedetabarnakhttp://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2113 calicedetabarnak Wed, 25 Nov 2009 21:53:28 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2113 @Fred Sans vouloir paraître ne rien comprendre de ce que tu dis, je prendrai comme exemple l'installation de la plupart des OS et en particulier ceux de la famille unix. Pendant l'installation, à un certain moment après la création des partitions, on demande de taper un password root (LE password) du système. Cette méthode semble faire l'unanimité en ce qui concerne le password root de l'ensemble des UNIX-like. J'avoue que, à force d'utiliser sudo(8) on peut finir par oublier le password de root (ce qui ne m'est jamais arrivé) sur un linux ou un bsd quelconque , mais ça c'est une tout autre histoire. ;-) Pour terminer, je crois qu'il serait important d'éduquer les gens par rapport à certaines notions de sécurité informatique et, dans le cas qui nous intéresse, aux mots de passes et en particulier celui de l'admin. Le moment et l'endroit le mieux choisis pour les iPhones serait, selon moi, pendant l'installation du sshd. Cependant, je ne connais pas apt et ses particularités et si cela pourrait être techniquement faisable. Je sais seulement qu'avec les ports des systèmes BSD cela aurait été assez facile et non gourmand en ressources, mais l'iPhone ne les utilisent pas sûrement pour de bonnes raisons. @Fred
Sans vouloir paraître ne rien comprendre de ce que tu dis, je prendrai comme exemple l’installation de la plupart des OS et en particulier ceux de la famille unix. Pendant l’installation, à un certain moment après la création des partitions, on demande de taper un password root (LE password) du système.

Cette méthode semble faire l’unanimité en ce qui concerne le password root de l’ensemble des UNIX-like.

J’avoue que, à force d’utiliser sudo(8) on peut finir par oublier le password de root (ce qui ne m’est jamais arrivé) sur un linux ou un bsd quelconque , mais ça c’est une tout autre histoire. ;-)

Pour terminer, je crois qu’il serait important d’éduquer les gens par rapport à certaines notions de sécurité informatique et, dans le cas qui nous intéresse, aux mots de passes et en particulier celui de l’admin. Le moment et l’endroit le mieux choisis pour les iPhones serait, selon moi, pendant l’installation du sshd.
Cependant, je ne connais pas apt et ses particularités et si cela pourrait être techniquement faisable. Je sais seulement qu’avec les ports des systèmes BSD cela aurait été assez facile et non gourmand en ressources, mais l’iPhone ne les utilisent pas sûrement pour de bonnes raisons.

]]> Par : Fredhttp://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2110 Fred Tue, 24 Nov 2009 07:04:27 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2110 Pour résumer un peu : - Si vous n'avez pas installé OpenSSH, vous ne courez aucun risque puisque le port 22 n'est pas ouvert. - Si vous avez installé OpenSSH, il existe effectivement un toggle pour SBSettings (Cydia) qui permet de le désactiver/activer selon vos besoins, ce qui limite les risques, mais il est vivement recommandé de remplacer le mot de passe par défaut, cela ne prend pas plus de 3 minutes. - Quant à MobileTerminal, il n'a rien à voir avec le SSH, il s'agit juste d'une application qui permet de lancer des lignes de commande. - Enfin, concernant l'idée de Calicedetabarnak, c'est une vrai fausse bonne idée, car si un utilisateur non averti installe OpenSSH et qu'il ne comprend rien à ce qu'il lui arrive, il y a 90% de chance qu'il ne retrouve plus jamais son mot de passe le jour où il aura vraiment besoin de se connecter en SSH sur son iPhone :/ Pour résumer un peu :

- Si vous n’avez pas installé OpenSSH, vous ne courez aucun risque puisque le port 22 n’est pas ouvert.

- Si vous avez installé OpenSSH, il existe effectivement un toggle pour SBSettings (Cydia) qui permet de le désactiver/activer selon vos besoins, ce qui limite les risques, mais il est vivement recommandé de remplacer le mot de passe par défaut, cela ne prend pas plus de 3 minutes.

- Quant à MobileTerminal, il n’a rien à voir avec le SSH, il s’agit juste d’une application qui permet de lancer des lignes de commande.

- Enfin, concernant l’idée de Calicedetabarnak, c’est une vrai fausse bonne idée, car si un utilisateur non averti installe OpenSSH et qu’il ne comprend rien à ce qu’il lui arrive, il y a 90% de chance qu’il ne retrouve plus jamais son mot de passe le jour où il aura vraiment besoin de se connecter en SSH sur son iPhone :/

]]> Par : Solaris40http://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2109 Solaris40 Tue, 24 Nov 2009 06:29:26 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2109 Bien sur, le toggle SBSetting fonctionne très bien (en fait, c'est a ça que je pensais quand je parlais de désactivation manuelle du SSH. Ensuite, bien sur que l'on peut modifier son password, c'est écrit dans l'article. Et si on aime pas terminal, on peut thés le supprimer après... Le nouveau mdp restera. Bien sur, le toggle SBSetting fonctionne très bien (en fait, c’est a ça que je pensais quand je parlais de désactivation manuelle du SSH.
Ensuite, bien sur que l’on
peut modifier son password, c’est écrit dans l’article. Et si on aime pas terminal, on peut thés le supprimer après… Le nouveau mdp restera.

]]> Par : calicedetabarnakhttp://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2107 calicedetabarnak Mon, 23 Nov 2009 21:38:04 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2107 Je ne connais pas vraiment apt, car j'ai fait un peu plus avec les ports (BSD). Question : Il n'y a pas moyen de faire changer passwd(1) l'usager qui install un sshd sur son iPhone avec un script contenu dans le paquet.deb ? Comme ça, il a son password changé en l'installant. Au pire, il install terminal.app comme dependency et il fait taper le password en cli. Pas compliqué. Ah, petite info comme ça, il y a un toggle pour sbsetting qui permet d'activer/désactiver le sshd. Ça peut être pratique à la bibliothèque de l'école pour empêcher tous les geeks en science & génie de tenter de percer ton iPhone. Ça doit aussi, peut-être, consommer un peu moins de jus à ce moment. Je ne connais pas vraiment apt, car j’ai fait un peu plus avec les ports (BSD).

Question : Il n’y a pas moyen de faire changer passwd(1) l’usager qui install un sshd sur son iPhone avec un script contenu dans le paquet.deb ?
Comme ça, il a son password changé en l’installant.
Au pire, il install terminal.app comme dependency et il fait taper le password en cli. Pas compliqué.

Ah, petite info comme ça, il y a un toggle pour sbsetting qui permet d’activer/désactiver le sshd. Ça peut être pratique à la bibliothèque de l’école pour empêcher tous les geeks en science & génie de tenter de percer ton iPhone. Ça doit aussi, peut-être, consommer un peu moins de jus à ce moment.

]]> Par : Mathieuhttp://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2106 Mathieu Mon, 23 Nov 2009 19:44:53 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2106 Oui sans SSH il n'y a pas de risques. Oui sans SSH il n’y a pas de risques.

]]> Par : Solaris40http://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2105 Solaris40 Mon, 23 Nov 2009 19:08:43 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2105 La faille réside dans une utilisation du protocole SSH frauduleuse. Sans OpenSSH, ce protocole n'est pas activé, donc il n'y a plus de risque venant de là. De même si le SSH est désactivé manuellement. En revanche, enlever terminal ne changera rien. La faille réside dans une utilisation du protocole SSH frauduleuse. Sans OpenSSH, ce protocole n’est pas activé, donc il n’y a plus de risque venant de là. De même si le SSH est désactivé manuellement. En revanche, enlever terminal ne changera rien.

]]> Par : MobiGeekhttp://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2102 MobiGeek Mon, 23 Nov 2009 16:59:58 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2102 Et si j'ai désinstallé Terminal et OpenSSH (que je n'utilise jamais), je suis toujours vulnérable ? Et si j’ai désinstallé Terminal et OpenSSH (que je n’utilise jamais), je suis toujours vulnérable ?

]]> Par : Laurenthttp://www.iphone-astuces.fr/2009/11/2-vers-ca-va-3-vers-bonjour-les-degats.html/comment-page-1#comment-2101 Laurent Mon, 23 Nov 2009 16:48:22 +0000 http://www.iphone-astuces.fr/?p=4127#comment-2101 Bonjour petite question : si le mode SSH est désactivé, y a-t-il aussi un risque ? Bonjour
petite question : si le mode SSH est désactivé, y a-t-il aussi un risque ?

]]>