La faille NTP et comment la combler

NTP (aka Network Time Protocol) est le programme qui gère l'horloge automatique.

C'est un machin Open Source.

L'autre soir, le CERT (une officine étasunienne de sécurité) a signalé une importante faille sur ce protocole partagé par de nombreux systèmes dont OS X.

http://www.kb.cert.org/vuls/id/852879


Pour la circonstance, Apple a déclenché sa fonction de mise à jour automatique (qu'on te demande pas ton avis, on installe) sur Mountain Lion, Mavericks et Yosemite.

http://support.apple.com/fr-fr/HT6601

Donc si vous n'avez rien fait, c'est fait quand même. Enfin, si vous avez laissé coché la bonne case dans les Préférences système.


Mais pour les attardés du bulbe encore sur Snow Leopard ou Lion ?

"Qu'ils crèvent !!!"  semble nous répondre Apple.


Mais non, mais non. Vous vous rappelez ? NTP = Open Source. Il y a toujours une solution.

Voilà donc, sur le sympathique site MacIssue, par le non moins sympathique Topher Kessler, la voie à suivre pour combler cette très vilaine faille :

http://www.macissues.com/2014/12/24/how-to-manually-patch-ntp-for-os-x-10-6-and-10-7/


Il faut jouer de la ligne de commande, des outils Xcode, etc. On se dit qu'un dev junior à Cupertino doit pouvoir faire ça pendant sa pause déjeuné, le temps que le café refroidisse un peu, et que Apple n'en a décidément plus rien à foutre de vous, avec votre vieille machine et votre vieil OSX tout juste bon à lancer calculette. Enfoirés !

Bon, j'imagine qu'iOS est concerné aussi.

Ceci étant, en tant que client, je sais où je vais chercher l'heure.
L'attaquant doit donc, si je ne suis pas trop fatigué, prendre l'identité de mon serveur de temps.
Il peut le faire en attaquant mon FAI ou les DNS que j'utilise ou directement le serveur de temps.
C'est pas gagné.

Chez moi c’était effectivement fait sur l’iMac en 10.9, c’est fou ce qui se passe dans les coulisses sans qu’on s’en rende compte.

Mais sur 10.6 ça semble un peu affreux s’il faut commencer par installer XCode pour ensuite pouvoir compiler ! Pas trop envie de me lancer là-dedans surtout avec ma connexion escargotesque. Et si on désactive la mise à jour par ntp, ça devrait résoudre le problème, non ? Je mettrai à l’heure manuellement de temps en temps sur l’iMac en 10.6, voilà tout.

Doubleyou a écrit:

On se dit qu'un dev junior à Cupertino doit pouvoir faire ça pendant sa pause déjeuné, le temps que le café refroidisse un peu, et que Apple n'en a décidément plus rien à foutre de vous, avec votre vieille machine et votre vieil OSX tout juste bon à lancer calculette. Enfoirés !

Oui, c’est assez irritant, surtout que les machines qui ne peuvent pas dépasser 10.6 n’ont d’autre solution que la poubelle dans cette façon de voir. Très désagréable.

Pour parler des mondes parallèles, la mise à jour de ntpdate est arrivée automatiquement sur ma banquise mardi dernier. Je l’ai vue passer sans y faire vraiment attention en me disant qu’il y avait encore eu un changement de fuseau horaire dans une région éloignée d’un pays tropical comme ça arrive de temps en temps mais comme elle était classée dans la sécurité j’ai lu tout de même la description. Il ne m’était même pas venu à l’idée que ça pouvait concerner aussi les macs !

Pour revenir au chapitre vieux=poubelle, en une semaine, j’ai passé d’un coup un iMac coincé en 10.6 et trois PC bloqués en XP en Ubuntu. Une ou deux barrettes de mémoire de plus et c’est reparti pour quelques années de service. C’est de l’obsolescence déprogrammée, quoi.
En tout cas, les gens de la boîte où j’ai fait ça étaient très contents : des machines qu’ils n’auront pas besoin de remplacer. Par les temps qui courent, on ne crache pas sur ce genre de solutions…

Encore une fois, ce "petit" problème ne doit pas mener à l'idée de jeter un ordinateur qui ne peut pas être mis à jour. C'est quand même nous qui choisissons notre serveur de temps. Le plus souvent derrière une box réglée en mode routeur NAT. Le zig qui veut s'attaquer à notre NTP n'est pas levé.
Par contre, les serveurs de temps, eux, doivent être mis à jour.

J'ai quand même jeté un oeil, histoire de.

ntpd tourne sur mon Mac.
Donc, le serveur est actif. Je peux l'arrêter, ce serait le plus efficace (je n'ai pas besoin de servir l'heure). Je peux aussi le bloquer avec le firewall.

A court terme, avec un portable, si on n'a rien fait pour traiter la faille, il faut s'assurer que le réseau qu'on utilise est sécurisé :

- pas de WiFi public, surtout pas de WiFi sans mot de passe
- s'assurer que le mot de passe de son propre WiFi est costaud et que le chiffrement est à la hauteur (éviter le WEP)

De toutes façons, en matière de connexion, c'est le B.A.BA, ntp ou pas

TG a écrit:

ce "petit" problème ne doit pas mener à l'idée de jeter un ordinateur qui ne peut pas être mis à jour

Bien sûr, s’il n’y avait que ça ce ne serait pas bien grave mais c’est un symptôme parmi d’autres de l’abandon de la sécurité sur les systèmes qui ont quelques années alors que les machines fonctionnent très bien. C’est ça qui est pénible, surtout que, comme le disait W, simplement faire ce patch sur 10.6 prendrait 5 minutes.

hr a écrit:

TG a écrit:

ce "petit" problème ne doit pas mener à l'idée de jeter un ordinateur qui ne peut pas être mis à jour

Bien sûr, s’il n’y avait que ça ce ne serait pas bien grave mais c’est un symptôme parmi d’autres de l’abandon de la sécurité sur les systèmes qui ont quelques années alors que les machines fonctionnent très bien. C’est ça qui est pénible, surtout que, comme le disait W, simplement faire ce patch sur 10.6 prendrait 5 minutes.

On parle souvent d'obsolescence programmée.
En l'occurrence, c'est la pérennité qui n'est pas programmée… au strict sens de programmation informatique.

Exact.