Archives de catégorie : iOS

Sécurité de l’AppStore : la fin du mythe ou simple retour à la réalité ?

Apple et son Store victimes d’une attaque de sécurité majeure ! Une centaine d’Apps infectées par le biais d’une librairie utilisée par les développeurs ! La forteresse aura tenu longtemps, mais elle a fini par céder et l’actualité nous rappelle quelques vérités élémentaires en matière de sécurité informatique.

Peut-on faire confiance à un acteur mondial, fut-il Apple, pour traiter à l’échelle planétaire, et pour tout le monde, la sécurité des Apps ? Qui n’a jamais tenté de publier une application mobile sur l’AppStore, n’imagine pas les moyens et les efforts déployés par Apple pour effectuer des contrôles de sécurité poussés sur les applications mobiles distribuées sur son store. C’est un fait indéniable. Et c’est une réalité vécue quotidiennement par tous les développeurs. Apple évalue, Apple contrôle, Apple audite … Et Apple rejette les Apps qui ne répondent pas à ses exigences de sécurité. Cela ne fait aucun doute. Apple ne bâcle pas le travail en matière de sécurité. Il en va de son image. Mais pour autant est-il bien raisonnable d’imaginer qu’un acteur unique, fut-il le plus puissant de la sphère numérique, puisse promettre au monde entier un espace de sécurité absolue, contrôlé par lui seul et sur la base de règles qui lui sont propres ? Certes il est confortable et rassurant de le croire. Certes les preuves sont réelles des efforts consentis par Apple pour offrir à ses clients le store le plus sécurisé de la planète numérique.

Mais hélas, la réponse est non ! Et la preuve vient d’en être apportée par l’actualité récente. Apple est faillible car il est simplement impossible à échelle mondiale de garantir un espace de sécurité universel, commun pour tous, et cela, indépendamment du contexte d’usage des Apps, des terminaux mobiles et des systèmes d’information avec lesquels ils interagissent. La sécurité numérique est une notion subjective. Chaque entreprise voit la sécurité à sa porte avec ses propres règles, adaptées à ses spécificités et à ses composants sensibles. Imaginer le contraire relève quasiment de l’inconscience.

Les entreprises ne peuvent pas faire l’économie d’ajouter leur propres contrôles de sécurité aux contrôles d’Apple, fussent-ils les plus rigoureux. Agir différemment reviendrait à considérer dans le monde physique que la sureté du territoire national étant prise en charge par les services de l’Etat, il n’est pas nécessaire pour l’entreprise d’assurer sa propre sécurité et celle de ses personnels.

Apple n’y est pour rien. La firme de Cupertino aura beau multiplier les contrôles de sécurité. Ils ne couvriront jamais les exigences propres d’une banque, d’un opérateur de télécommunication ou d’un distributeur d’énergie. La sécurité numérique d’une entreprise est aussi et avant tout son affaire propre ! L’entreprise peut-elle faire confiance à ses seules équipes internes et/ou à ses prestataires, pour s’assurer de la sécurité de ses propres Apps ?

La première réponse qui vient à l’esprit est naturellement oui. Après tout, les équipes internes savent bien ce qu’elles font. Quant aux prestataires, ils sont encadrés et contrôlés, et ils auraient beaucoup à perdre à introduire des comportements malveillants au sein des applications mobiles qu’ils développent.

Hélas ! L’actualité d’Apple révèle combien le monde numérique est lié et interdépendant. La malveillance n’est pas venue des équipes de développement, qu’elles soient internes ou externes. Elle était simplement logée dans les outils qu’ils avaient à leur disposition … Dès lors la vieille histoire du cheval de Troie se réécrit en version numérique et la désormais fameuse librairie X code aura permis aux pirates de prendre la citadelle Apple en douceur.

Mais au final, et en toute bonne foi, des équipes de développement auront livré une application comportant une portion de code malveillant.

La leçon qu’il faut en retenir est simple : en matière d’applications mobiles, comme dans tous les domaines, la confiance implique le contrôle. Les entreprises doivent s’assurer que leurs applications et l’ensemble des éléments qui les composent sont auditées avec soin et cela dans les multiples et complexes ramifications qui constituent leur code informatique complet.

Peut-on aborder la sécurité des Apps au sein de l’entreprise de manière binaire ?
Une application doit être saine ou malveillante. Autorisée ou bloquée. Oui ou non, les questions de sécurité ne doivent accepter que ces seules réponses. Bien entendu, le monde des applications mobiles serait idéal si les réponses de sécurité étaient simplement binaires. Mais ce monde idéal n’existe pas. La sécurité est une notion relative. Chaque entreprise doit la considérer selon ses règles propres. En vérité, les applications se classent en 3 grandes catégories :

Les applications saines. Leur comportement ne présente pas de risque pour l’entreprise et ses collaborateurs. Pour autant, sur des critères qui ne relèvent pas de la sécurité, elles peuvent être interdites dans un cadre professionnel, à l’exemple des Apps de jeu électronique.

Les applications malveillantes. Indépendamment du contexte particulier d’une entreprise, certains malwares sont de véritables malwares universels. Une App de type « Ransomware » qui prend en otage les données de l’utilisateur (en les chiffrant) contre paiement d’une rançon, est à proscrire.

Et les applications « grises ». Elles sont saines pour certains. Elles sont malveillantes pour d’autres. L’interprétation de leur comportement dépend du contexte de l’entreprise. Une application qui récupère la géolocalisation de l’utilisateur peut être considérée comme dangereuse ou non, selon le contexte de l’entreprise.

La « zone grise » apporte de la complexité dans la gestion de la sécurité des Apps car elle possède des frontières à géométrie variable. Il convient à chaque entreprise de définir ses règles propres pour contrôler cette partie de l’univers des Apps qu’elle propose à ses salariés.

L’expérience révèle qu’à ce jour la majorité des entreprises oublient les Apps grises. Elles délèguent à un acteur mondial comme Apple le soin de gérer pour leur compte la question de la sécurité des Apps. Mais cela est impossible. Un acteur mondial ne peut déployer que des règles universelles communes pour tous. Or, les Apps grises doivent être traitées au cas par cas. D’autant que les technologies qui permettent une gestion personnalisée existent désormais sur le marché. (Par Clément Saad, Président de l’entreprise Pradeo)

Sécurité renforcée pour le nouvel OS d’Apple

Dans quelques jours sortira le nouvel OS d’Apple, EL Capitan. Apple annonce un renforcement de la sécurité pour ses Macintosh.

Les ordinateurs APPLE encore mieux protégés d’ici quelques jours ? Le géant américain indique que son nouvel OS, El Capitan proposera de nouvelles sécurités en plus de celles déjà existantes. Ce nouveau cerbère a été baptisé System Integrity Protection.

D’abord il va empêcher la moindre installation dans les dossiers sensibles du système. Les programmes non autorisés, déjà sauvegardés, vont être effacés lors de la mise à jour d’El Capitan. Les créateurs d’applications seront obligés de passer par https lors de la moindre communication de leur logiciel, le Mac et le web.

iOS 9 : bonne pratique de sécurité

La version finale d’iOS 9 est disponible dès ce 16 septembre ! À cette occasion, voici les bonnes pratiques en matière de sécurité iOS.

Bien que les appareils et les OS Apple aient une réputation de sécurité forte, 84 % des vulnérabilités mobiles découvertes l’an dernier ont touché iOS, selon le dernier rapport de Norton by Symantec sur les menaces de sécurité Internet (ISTR). D’ailleurs, une récente famille de logiciels malveillants, appelée KeyRaider, a compromis un nombre record de comptes d’utilisateurs sur les iPhones jailbreakés.

Ci-dessous, vous trouverez trois conseils de sécurité pour iOS 9 à utiliser pour protéger vos informations personnelles. D’abord, utiliser un mot de passe Apple ID fort et unique. Le nouvel iOS 9 exige désormais un code à six chiffres plutôt que quatre. Si ce dernier est couplé avec un mot de passe Apple ID fort qui utilise des lettres, des chiffres et des symboles, il sera plus difficile pour les criminels de deviner les mots de passe.

Ensuite, DataSecurityBreach.fr vous conseiller d’activer l’authentification à deux facteurs (Comme pour double authentification Gmail, Facebook, Dropbox, …) Dans iOS 9, une authentification à deux facteurs, une couche supplémentaire de sécurité, est étendue à iTunes et iCloud, et les utilisateurs devraient l’activer immédiatement. Celle-ci oblige les utilisateurs à entrer un code de vérification unique de six chiffres (envoyé à un dispositif de confiance) ainsi que leur adresse e-mail et mot de passe lorsque l’ils se connectent à leur compte à partir d’un nouveau navigateur ou terminal.

Enfin, désactiver l’accès à Siri depuis l’écran de verrouillage. Siri est l’assistant personnel intelligent iOS, mais bien qu’utile, Siri peut aussi être un risque de sécurité. Il y a eu plusieurs cas dans le passé où Siri a été utilisé pour contourner l’écran de verrouillage de l’iPhone. Empêcher Siri d’être utilisé à partir de l’écran de verrouillage va protéger les appareils de ces types de hacks.

L’Attaque Zero Day sur OSX et iOS : ce qu’il faut savoir

Comme beaucoup d’entre vous le savent probablement, un groupe de chercheurs a récemment révélé l’existence d’un ensemble d’exploits zero-day affectant aussi bien les dernières versions de Mac OSX que d’iOS. Vous trouverez ici des détails sur ces attaques, ainsi que le compte-rendu de recherche.

Dans le cadre de sa stratégie permanente de gestion des risques, l’équipe Good Technology Security a enquêté sur les rapports faisant état de vulnérabilités potentielles au niveau des systèmes d’exploitation Apple OS X et iOS.

Après l’examen du document technique publié par ces chercheurs, la conclusion est que la majorité des menaces évoquées s’appliquent à OS X, et que la seule menace pour iOS est le problème du « Scheme Hijacking », qui profite d’une faiblesse au niveau du système de communication inter processus (Inter-Process Communication ou IPC) d’iOS entre les applications. Selon les chercheurs, cette vulnérabilité empêche les applications d’authentifier correctement l’application à laquelle elles se connectent.

Fonctionnement de l’attaque

Apple iOS permet à différentes applications installées sur un même appareil iOS de communiquer entre elles. Cette communication ne nécessite d’origine aucune authentification. C’est ainsi qu’une application non autorisée/malveillante peut intercepter des données et des informations d’authentification destinées à une autre application.  Le rapport de recherche décrit un scénario selon lequel un système d’identification unique (SSO) Facebook pourrait être compromis. Le même scénario pourrait s’appliquer à une application d’entreprise transmettant des données d’authentification à l’aide du protocole OpenURL.

Analyse de Good Technology

Good n’est pas vulnérable à cette attaque, car nous n’utilisons pas uniquement l’IPC natif pour les communications entre applications. Pour cela, Good met en place un service sécurisé baptisé « Communications inter conteneurs » (ICC). Notre système ICC permet à chaque application Good d’authentifier de façon sécurisée l’autre application Good avant qu’elles soient autorisées à communiquer entre elles. L’ICC atténue la vulnérabilité de l’IPC et empêche les applications non autorisées d’intercepter des données sensibles, comme des informations d’authentification transmises via le protocole OpenURL, comme décrit précédemment.

Des rapports préliminaires du secteur indiquent que le trousseau d’Apple iOS est vulnérable. Après l’examen détaillé du document publié par les chercheurs, il est clair que l’attaque envers ce trousseau ne fonctionne que sur OS X. Cependant, dans l’éventualité d’un problème au niveau du trousseau d’iOS, Good ne serait pas affecté. En effet, par défaut, nous n’utilisons pas cette ressource afin de stocker des clés. Good stocke les identifiants professionnels dans des conteneurs sécurisés à l’aide de ses propres systèmes de contrôle, notamment le chiffrement certifié FIPS au niveau des applications.

Que faire

Ces révélations montrent pourquoi les organisations doivent adopter une approche à plusieurs niveaux en matière de sécurité afin de protéger les données professionnelles présentes sur les smartphones et tablettes grand public. Good recommande de respecter les étapes suivantes :

1) Continuez de sensibiliser vos utilisateurs quant aux différentes menaces que courent leurs appareils mobiles.  Cela permet non seulement de protéger vos données professionnelles, mais également d’aider vos employés à protéger leurs données personnelles.

a. Encouragez vos utilisateurs à télécharger des applications depuis des sources fiables. Cela ne permettra peut-être pas de limiter entièrement les problèmes soulevés dans ce rapport, mais le risque que des applications malveillantes interagissent avec l’appareil d’un utilisateur en sera atténué.

b. Encouragez vos utilisateurs à signaler les applications qui, selon eux, présentent des lacunes en matière de fonctionnalités de protection des données personnelles ou professionnelles.

2) Activez la détection de jailbreak si ce n’est pas encore le cas. Bien que cette attaque pourrait contourner le processus de validation d’applications d’Apple, il vaut toujours mieux s’assurer que les applications soient téléchargées à partir de sources fiables.

3) En outre, si vous êtes client de Good, fournissez à vos utilisateurs les applications sécurisées par Good nécessaires pour gérer leurs activités de façon adaptée et avec une bonne productivité. Le conteneur de Good utilisant des communications entre applications indépendantes de l’ICC d’Apple, il ne sera pas affecté par cette attaque.

4) Assurez-vous que les systèmes de protection contre la perte de données appropriés soient activés afin d’empêcher vos données de s’échapper des applications protégées.

a. « Empêchez la copie à partir d’applications GD vers des applications non sécurisées par GD »

b. « Empêchez la copie à partir d’applications non sécurisées par GD vers des applications GD »

5) Enfin, les services d’évaluation de la réputation des applications tels que NowSecure, FireEye et autres devraient vous fournir les outils nécessaires afin d’analyser les risques que représentent les appareils de vos employés. (Good).

Coesys mGov : les services gouvernementaux à l’aide d’un téléphone portable

Gemalto lance une solution sécurisée basée sur la carte d’identité électronique et le téléphone NFC pour accélérer l’adoption de l’eGovernment.

Gemalto, spécialiste de la sécurité numérique, annonce le lancement de Coesys mGov, une solution d’authentification mobile pour accéder aux services gouvernementaux en ligne à l’aide d’une carte nationale d’identité sans contact et un téléphone NFC. Cette technologie permet la mise en place de programmes nationaux d’identité sécurisée. Coesys mGov est simple d’utilisation et très pratique pour les citoyens, puisqu’elle permet d’accéder à tous les services grâce à un système d’authentification unique (« Single Sign On »).

Avec Coesys mGov, les citoyens utilisent leur téléphone comme moyen d’authentification et de signature dans un environnement de confiance, pour accéder à un large éventail de services gouvernementaux en ligne. Ces services englobent la santé et le social, la famille, l’emploi et les retraites ou encore l’assurance-maladie. Coesys mGov englobe également les applications associées au permis de conduire, les services municipaux et la citoyenneté, et même le vote en ligne sécurisé et confidentiel.

Coesys mGov aide les gouvernements et les autorités publiques à déployer leurs programmes numériques mobiles en complément de leurs projets d’identité. Les autorités peuvent ainsi répondre aux besoins de sociétés connectées d’aujourd’hui et accroître considérablement l’utilisation des services gouvernementaux en ligne. En outre, le système est suffisamment souple pour renforcer une stratégie d’identification et de sécurité numérique déjà en place. Par exemple, le niveau d’authentification peut être adapté à la nature des services en ligne offerts.

Pour simplifier davantage la vie des utilisateurs, lorsqu’elle est utilisée avec LinqUs Mobile ID de Gemalto, Coesys mGov permet de créer une identité dérivée sécurisée dans la carte SIM ou dans tout autre élément sécurisé du téléphone mobile, ou bien dans le cloud.

« La convergence des appareils mobiles compatibles NFC et l’explosion du nombre de nouveaux programmes nationaux d’identité ouvrent la voie à une nouvelle ère de services innovants axés sur les besoins du citoyen », commente à DataSecurityBreach.fr Frédéric Trojani, vice-président exécutif des Programmes gouvernementaux de Gemalto. « Cette solution extrêmement pratique associe la sécurité et la fiabilité des cartes nationales d’identité électroniques et la simplicité d’utilisation du téléphone portable – une combinaison idéale pour une adoption rapide par tous les citoyens ».

Nomad Vault : sauvegarder, partager et transférer

Nomad Vault : Un réseau privé virtuel 100 % sécurisé accessible avec une petite clé USB.

Comment éviter de tout perdre en cas de crash du disque dur de son ordinateur portable ? Comment éviter de s’exposer à des failles de sécurité en accédant au cloud via un portail internet ? Comment être sûr qu’il n’y a aucune trace (fichier, document, logiciel….) de son travail lorsqu’on utilise son ordinateur ou sa tablette qui appartient à une entité tierce ?

Jusqu’à présent, il n’y avait aucune solution conçue spécialement pour les utilisateurs nomades. Et par conséquent, il n’y avait rien qui réponde parfaitement à leurs besoins.

Mais maintenant, il y a Nomad Vault ! Grâce à une petite clé USB très intelligente, les utilisateurs bénéficient d’une solution très performante conçue, développée et gérée en France. Le but : créer en quelques secondes son propre réseau privé virtuel 100 % sécurisé, accessible n’importe où et n’importe quand. Pour Laurent Brault, dirigeant de MDK Solutions, « Nomad Vault est une alternative innovante et sécurisée aux services de stockage/partage de données classiques. »

Comment ça marche ?
C’est très simple : il suffit d’insérer la clé USB dans votre ordinateur ou PC portable, ou de lancer l’application Nomad Vault Tablette sur votre tablette Android ou iOS…. et le tour est joué ! Après avoir saisi votre mot de passe, vous bénéficiez d’un canal crypté pour accéder à des serveurs distants.

Cette solution présente 3 avantages principaux :
1. Vous profitez d’une solution 100 % sécurisée, sans le moindre risque, pour utiliser des données, des logiciels, des fichiers stockés dans le cloud.
2. Grâce à la sauvegarde automatique, vous ne perdez rien en cas de crash de votre disque dur.
3. Vous pouvez travailler n’importe où, n’importe quand, et vous ne laissez jamais la moindre trace sur l’ordinateur (très pratique si vous devez vous connecter à partir d’un poste de travail qui n’est pas le vôtre : la confidentialité des données est garantie). Grâce à l’intelligence fonctionnelle de la clé USB, il n’est même pas nécessaire de passer par un portail internet, et donc de supporter les risques liés aux failles potentielles de sécurité en ligne. C’est la seule solution sur le marché à proposer cette innovation majeure !

Sur tablette (Apple iOS, Android)
1. L’intelligence locale de la Clé USB est remplacée par une Application Nomad Vault (gratuite pour toutes les fonctions de consultation, 3euros/an
pour avoir la possibilité de mise à jour).
2. L’authentification forte apportée par la clé est remplacée par un code à saisir transmis par un message SMS sur le téléphone mobile de l’utilisateur lors de l’identification.

Quelles sont les utilisations de Nomad Vault ?
Laurent Brault précise : « Une solution conçue spécialement pour les utilisateurs nomades, soit des millions de personnes en France. ». Dirigeants, avocats, commerciaux, consultants, courtiers, députés, formateurs…. De nombreux professionnels ont besoin de pouvoir travailler à distance, facilement et sans prendre le moindre risque. Avec Nomad Vault, ils peuvent garder leurs dossiers sous la main, même sans être connectés. Et comme chaque clé est unique et pilotable à distance, il est tout à fait possible de la personnaliser totalement pour l’adapter à des besoins spécifiques, en créant par exemple des accès spécifiques en fonction de l’utilisateur. Certains dossiers peuvent également être stockés directement sur la clé USB.

Que se passe-t-il en cas de perte/de vol de la clé USB ?
Avec MDK Solutions, il n’y a absolument rien à craindre ! Les données ne sont pas perdues pour autant : les fichiers sont synchronisés dans des serveurs cloud, situés sur le territoire français. Si votre clé est récupérée par une personne malveillante, elle ne pourra pas s’en servir : son contenu est crypté et donc inexploitable. A votre demande, MDK Solutions peut aussi blacklister la clé pour qu’elle soit inutilisable.

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.

Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.

Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.

Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.

Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.

La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.

Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous  Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.