Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top


Cracker un mot de passe OSX Lion

Cracker un mot de passe OSX Lion

OSX Lion est tellement bien sécurisé que n'importe quelle personne loggé sur un compte non admin peut lancer une attaque par bruteforce et découvrir le mot de passe du compte en question (Edit : le faire avec un compte différent n'exposera pas le hash). En effet, Apple a oublié de protéger son service d'annuaire (alors que le fichier Shadow est bien protégé). Du coup, simplement en entrant la ligne de commande suivante dans un terminal, il est possible de récupéré le hash du mot de passe

dscl localhost -read /Search/Users/korben (remplacez korben par votre login)

On peut alors voir le hash de SHA512 et les 4 octets de salage. C'est suffisant pour lancer une attaque par dictionnaire...

Et pour faire ça, c'est très facile... Il suffit de récupérer un dictionnaire (ou de faire le votre. Y'en a plein sur le net et ce sont simplement des listes de mots) et de lancer ce script Python.

Aussi simple que ça...

Comment se protéger ? Et bien il faut choisir un bon gros mot de passe bien compliqué qui ne sera pas présent dans un dico ou changer d'OS #troll.

+d'infos ici

[Source]

Facebook Twitter Email Copier Url

22 Responses to “Cracker un mot de passe OSX Lion”

  1. Cible dit :

    Sierra? :o

  2. Korben dit :

    Ahaha non…

  3. Pignouf dit :

    Dit tonton, est-ce que cela fonctionne depuis un compte invité?
    Parce que dans cette hypothèse, c’est encore pire.

  4. Elsiko dit :

    Pourtant c’est bien le suivant dans la liste du dico ^^

    En tout cas ça fait un peu peur, comme quoi quel que soit l’OS on trouve toujours des failles.

  5. OMFG :( content de pas encore être passé à Lion …

  6. Fays dit :

    Il suffit d’un petit coup de chmod pour corriger cela.

    Et pour le mot de passe voici un petit comic qui n’est pas très loin de la vérité sur la manière de choisir vos mots de passe et leur résistance face à du brute force: http://xkcd.com/936/.

  7. I am not a number ! dit :

    Disons que je m’en fiche, je n’ai pas créé de compte pour les autres, je met toujours des mots de passe d’au moins 20 caractères qui forment tout, sauf des mots.

  8. Shinriel dit :

    Je viens de tester sur le mac du brueau…
    Un 10.6.7 (Snow Leopart), et ho surprise on peut recuperer tout aussi bien le SHA

    Le script ne marche pas directement, mais une legere modification (je n’avais jamais touche au python avant :S) et sa roule tout seul…

  9. JoJo dit :

    Ou mettre une jolie passe-phrase!! Avec la ponctuation :P

  10. Etanne dit :

    Rhoo le honeypot version screenshot ! Le coquin :)

  11. R.Cambien dit :

    @Korben00:disqus : http://dheera.net/projects/blur.php ;)

  12. Puisqu’il faut avoir un accès physique à la machine, une simple clé USB avec “Snow Leo 911 Pro” dessus et le tour est joué. Et si le type à crypté son HD, il a du activer FileVault 2 donc pas moyen que la technique indiquée dans cet article fonctionne. Donc à mon sens c’est une faille sans en être une!

  13. Gabriel Freitas dit :

    Faut utiliser des mots passes similaires à des codes action replay^^

    Facile à retenir pour les gamers qui les utilisent souvent, et dififcilement trouvables =)

  14. coco dit :

    Sinon, il y a aussi pomme(commande)+s au démarrage et boum on se retrouve loggé en root dans le terminal, qwerty malheureusement … Et de là, on accède à tous les fichiers, sauf si le dossier de l’utilisateur est crypté (ce qui est rare tant la plupart des mac-users se croit à l’abri de tout)…

  15. Meddy Brai dit :

    Je boot le Mac du mec sur le Recovery HD en maintenant halt, et hop je pète son pass :D !

  16. Plop dit :

    Halt ? “Alt” plutot ?

    Et si le mec a mis un mot de passe efi, tu fais comment ? :o

  17. Kuxitux dit :

    Changer d’OS me semble le plus approprié. :D Ca confirme ce que je dis depuis longtemps, Apple ne fait que de la merde!

  18. Rob BPY dit :

    Reconnaissez qu’il faut être sacrément demeuré pour mettre une date ou un simple mot en tant que mot de passe…

  19. Nauhar dit :

    Sinon tu bloque juste le terminal pour les comptes autre que le compte admin.
    Autant proposer de vrai solution plutôt que ton troll pour changer

  20. Geekbay dit :

    En fait meme si tu met un mdp de bourrin. Ca change rien, il suffit de faire

    dscl localhost -passwd /Search/Users/korben

    Pour changer ton password sans connaitre l’ancien

  21. Ponsfrilus dit :

    Comment changer le password de n’importe quel compte sur Lion sans être root:

    http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html
    $ dscl localhost -passwd /Search/Users/bob
    (…)

Dolby Audio Challenge – Coder pour le bonheur des oreilles

Capture du 2016-04-28 18:04:55

Si vous êtes développeur web en agence (par exemple) il vous arrive sûrement d'avoir dans votre Slack ou ailleurs des commandes pour des sites qui intègrent du son.

Pause
Wait, je sais le son en arrière plan d'une page web c'est bad really bad, mais là je parle d'autre chose.
End pause

Je veux parler de ces sites commandés à votre boîte par Warner, Universal, Ubisoft, où même toi dev freelance qui veut te faire un portfolio qui claque sa maman et qui ont besoin d'une bande son en arrière plan pour plonger l'internaute dans l'univers du jeu, trailer vidéo ou whatever.

B'hein en règle générale, c'est une mouise sans nom pour avoir un rendu sonore correct.
Pour pallier au problème Dolby a développé une techno qui est censée régler le problème et pour vous en faire la demo, ils vous invitent à la tester en participant à leur code challenge.

En y participant, vous aurez toutes les ressources nécessaires afin d'intégrer le nouveau son multi-dimensionnel (just marketing mais ça à l'air quand même cool) de Dolby. Accédez au hub où les développeurs Dolby animeront des tutoriels et webinars en one-to-one pour implémenter Dolby Digital Plus sur votre site.

A la clé un money pot de 15,000$.

Pour y participer où voir de plus près la techno pour les plus curieux c'est ici

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 56892 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 56891 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Les Derniers Articles du Blog

  • Inscrivez vous aux bon plans

  •  
  • Site hébergé par
    Agarik Sponsor Korben
  • DANS TON CHAT (BASHFR)

    <&Persephone> je suis passée mettre en la matière
    <@Akizuki> c'est qui En la matière ?

    -- http://danstonchat.com/10291.html
  • Un boitier externe pour booter des ISO à

    gogo sans se prendre la tête

    Il s'agit d'un boitier externe pour disque dur 2,5" fabriqué par la société Zalman, qui a la particularité d'avoir un petit écran de contrôle et qui permet de choisir l'ISO sur laquelle vous souhaitez booter...lire la suite

    Microsoft récupère vos clés de chiffrement.

    Voici comment les en empêcher

    Si vous avez acheté un appareil sous Windows 10 équipé d'une puce qui chiffre par défaut le disque, ne vous pensez pas en sécurité pour autant : La clé de récupération qui vous permet de déchiffrer vos données...lire la suite

    En ce moment dans l'univers "Raspberry Pi"

    Voir tous les articles »