threatmodel macOS FR - edamametechnologies/threatmodels GitHub Wiki

macOS Modèle de Menace (FR)

Contents

EDAMAME Helper inactif

Menace

Dimension : system services / Sévérité : 5

Le logiciel d'assistance d'EDAMAME n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user helper_check

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user https://github.com/edamametechnologies/edamame_helper/releases/download

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /Library/Application\ Support/Edamame/Edamame-Helper/uninstall.sh

Réponse au ping activée

Menace

Dimension : network / Sévérité : 3

Tags : CIS Benchmark Level 1,Enable Stealth Mode

Votre ordinateur répondra si quelque chose essaie de vérifier sa présence. Cela peut être très mauvais et permettre à quiconque de vérifier votre présence sur un réseau et éventuellement d'attaquer votre ordinateur....

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --getstealthmode | grep disabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode off

Profils MDM installés

Menace

Dimension : system integrity / Sévérité : 5

Tags : Personal Posture

Un ou plusieurs profils de gestion des appareils mobiles (MDM) sont installés sur votre appareil. Cela signifie que votre appareil est, ou peut être, administré à distance par un tiers. S'il s'agit de votre ordinateur personnel, il s'agit d'une grave menace et les profils doivent être supprimés.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system profiles -P | grep profileIdentifier

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system profiles remove -all -forced

Retour en arrière

https://support.apple.com/fr-fr/guide/deployment/depc0aadd3fe/web

Administration à distance JAMF installée

Menace

Dimension : system integrity / Sévérité : 5

Tags : Personal Posture

Votre ordinateur est, ou peut être, administré à distance par un tiers à l'aide du framework JAMF MDM. S'il s'agit de votre ordinateur personnel, il s'agit d'une grave menace et JAMF doit être supprimé.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin pgrep jamf

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system jamf removeFramework

Retour en arrière

https://www.jamf.com/fr

Wake On LAN activé

Menace

Dimension : network / Sévérité : 1

Tags : CIS Benchmark Level 1,Disable Wake on Network Access

Wake on LAN est une fonctionnalité qui peut réveiller automatiquement votre ordinateur lorsque quelque chose tente de s'y connecter. Ce n'est pas quelque chose dont vous avez besoin dans la plupart des cas et cela peut permettre à un malfrat de se connecter à votre ordinateur à tout moment.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system systemsetup getwakeonnetworkaccess | grep -v Off

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system systemsetup -setwakeonnetworkaccess off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system systemsetup -setwakeonnetworkaccess on

Mises à jour Appstore manuelles

Menace

Dimension : applications / Sévérité : 3

Tags : CIS Benchmark Level 1,Enable App Store Automatic Update

Les applications sont constamment mises à jour pour résoudre les problèmes de sécurité potentiels. Il est dans votre intérêt d'obtenir les mises à jour dès que possible grâce aux mises à jour automatiques.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande globalpreferences defaults read /Library/Preferences/com.apple.commerce.plist AutoUpdate 2>&1 | grep -v 1

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.commerce.plist AutoUpdate -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallAppUpdates -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool true

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.commerce.plist AutoUpdate -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallAppUpdates -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool false

Pare-feu local désactivé

Menace

Dimension : network / Sévérité : 2

Tags : CIS Benchmark Level 1,Enable Firewall

Votre pare-feu local est désactivé. C'est bien dans un environnement de confiance mais dangereux si vous vous connectez à des réseaux publics. Vous devriez l'activer par défaut.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate | grep disabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate off

Login automatique activé

Menace

Dimension : credentials / Sévérité : 4

Tags : CIS Benchmark Level 1,Disable automatic login

La connexion automatique peut sembler très pratique mais en fait c'est une menace majeure pour la sécurité : elle permet à n'importe qui d'accéder à vos données sans connaître votre mot de passe.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande globalpreferences defaults read /Library/Preferences/com.apple.loginwindow | grep autoLoginUser

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults delete /Library/Preferences/com.apple.loginwindow autoLoginUser

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande x-apple.systempreferences:com.apple.preferences.users

Accès à distance activé

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,Disable Remote Login

L'accès à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin systemsetup -getremotelogin | grep On

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk echo yes | systemsetup -setremotelogin off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk systemsetup -setremotelogin on

Bureau à distance activé

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,Disable Remote Desktop Sharing

La connexion au bureau à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin pgrep ARDAgent

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -deactivate -stop

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -activate

Partage de fichiers activé

Menace

Dimension : system services / Sévérité : 4

Tags : CIS Benchmark Level 1,Disable File Sharing

Le partage de fichiers est activé. Bien que cela puisse être intentionnel, nous vous recommandons fortement de le désactiver. Ce n'est pas si facile à configurer et cela peut exposer vos données à des personnes indésirables.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin launchctl list | grep smbd

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system launchctl unload -w /System/Library/LaunchDaemons/com.apple.smbd.plist

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system launchctl load -w /System/Library/LaunchDaemons/com.apple.smbd.plist && defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server.plist EnabledServices -array disk

Événements à distance activés

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,Disable Remote Apple Events

Les événements à distance sont activés. Bien que cela puisse être intentionnel, nous vous recommandons fortement de les désactiver. C'est inutile pour la plupart des utilisateurs et cela a été une cible d'attaques dans un passé récent.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user launchctl print-disabled system | grep com.apple.AEServer | grep -E 'enabled|false'

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk systemsetup -setremoteappleevents off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk systemsetup -setremoteappleevents on

Clé d'entreprise de récupération de disque

Menace

Dimension : system integrity / Sévérité : 4

Tags : Personal Posture

Il semble que le disque dur de votre ordinateur ait été crypté par votre employeur. Cela signifie qu'ils pourraient potentiellement le déchiffrer si vous leur rendez l'ordinateur. Vous devriez supprimer cette possibilité.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin fdesetup hasinstitutionalrecoverykey | grep true

Remédiation

https://derflounder-wordpress-com.translate.goog/2019/07/03/managing-macos-mojaves-filevault-2-with-fdesetup/?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=en&_x_tr_pto=wapp

Retour en arrière

https://derflounder-wordpress-com.translate.goog/2019/07/03/managing-macos-mojaves-filevault-2-with-fdesetup/?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=en&_x_tr_pto=wapp

Encryption du disque désactivée

Menace

Dimension : system services / Sévérité : 4

Tags : CIS Benchmark Level 1,Enable FileVault, ISO 27001/2,A.8.3.1-Media Protection, SOC 2,CC6.7-Data Protection

Votre stockage principal n'est pas crypté. Bien qu'il y ait un petit impact sur les performances en l'activant, nous vous invitons vraiment à le configurer. Sans cela, toute personne accédant physiquement à votre ordinateur peut accéder à vos données.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin system_profiler SPHardwareDataType | grep -q 'Virtual' || fdesetup isactive | grep false

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande x-apple.systempreferences:com.apple.preference.security?FileVault

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande x-apple.systempreferences:com.apple.preference.security?FileVault

Applications non signées autorisées

Menace

Dimension : applications / Sévérité : 4

Tags : CIS Benchmark Level 1,Enable Gatekeeper

Votre ordinateur a été configuré pour autoriser l'exécution d'applications non signées. C'est inhabituel et dangereux. Vous devriez désactiver cette option.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin spctl --status | grep disabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system spctl --global-enable

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system spctl --global-disable

Mises à jour système manuelles

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,Enable Software Update Automatic Download

Les mises à jour du système sont manuelles. Vous devriez vraiment activer les mises à jour automatiques du système pour obtenir les derniers correctifs de sécurité pour votre ordinateur.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande globalpreferences defaults read /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates 2>/dev/null | grep -q 1 || echo macosupdate_disabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticDownload -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate CriticalUpdateInstall -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate ConfigDataInstall -bool true; softwareupdate --schedule on

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticDownload -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate CriticalUpdateInstall -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate ConfigDataInstall -bool false; softwareupdate --schedule off

Ecran protégé désactivé

Menace

Dimension : credentials / Sévérité : 3

Tags : CIS Benchmark Level 1,Set inactivity interval, ISO 27001/2,A.11.2.8-Unattended User Equipment, SOC 2,CC6.1-Access Control

Votre ordinateur n'a pas d'économiseur d'écran activé avec un mot de passe. Il le laisse ouvert à l'accès physique par n'importe qui. C'est très dangereux !

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user sysadminctl -screenLock status 2>&1 | grep off

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande x-apple.systempreferences:com.apple.Lock-Screen-Settings.extension

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande x-apple.systempreferences:com.apple.Lock-Screen-Settings.extension

Pas d'antivirus activé

Menace

Dimension : applications / Sévérité : 4

Tags : ISO 27001/2,A.12.2.1-Malware Controls, SOC 2,CC6.8-Malware Protection

Vous n'avez pas d'antivirus installé (MalwareBytes, Sentinel One, BitDefender...). Nous vous recommandons d'en activer un.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin if ! { pgrep BDLDaemon >/dev/null || pgrep RTProtectionDaemon >/dev/null || sentinelctl version 2>/dev/null | grep -q "SentinelOne"; }; then echo epp_disabled; fi

Remédiation

https://www.malwarebytes.com/

Retour en arrière

https://www.apple.com/fr/macos/security/

Pas de gestionnaire de mots de passe installé

Menace

Dimension : credentials / Sévérité : 4

Vous n'avez pas de gestionnaire de mots de passe installé. Nous vous recommandons d'en installer un.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin ([ -d "/Applications/1Password 7.app" ] || [ -d "/Applications/LastPass.app" ] || [ -d "/Applications/KeePassXC.app" ] || [ -d "/Applications/Bitwarden.app" ] || command -v pass || command -v op || command -v lpass || command -v keepassxc || command -v bw) >/dev/null 2>&1 || echo "No password manager installed"

Remédiation

Retour en arrière

https://fr.wikipedia.org/wiki/Gestionnaire_de_mots_de_passe

Protection d'intégrité système désactivée

Menace

Dimension : system integrity / Sévérité : 5

Tags : CIS Benchmark Level 1,Ensure System Integrity Protection is enabled

La Protection de l'Intégrité du Système est une capacité clé de macOS qui empêche tous logiciels de modifier les fichiers et les composants du système. Dans une certaine mesure, c'est un antivirus 'assez bon' pour votre Mac. Le désactiver est... inhabituel et dangereux. Il devrait être activé par défaut sur votre Mac. Ce contenu vous expliquera comment l'activer à nouveau. Soyez courageux... c'est un peu difficile à réaliser !

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user csrutil status | grep disabled

Remédiation

https://support.apple.com/fr-fr/HT204899

Retour en arrière

https://support.apple.com/fr-fr/HT204899

Compte invité activé

Menace

Dimension : system services / Sévérité : 2

Tags : CIS Benchmark Level 1,Disable Guest account

Le compte invité est activé. C'est généralement bien, mais il n'est pas si facile de limiter l'accès à vos données. Vous devriez le désactiver.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user sysadminctl -guestAccount status 2>&1 | grep enabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system sysadminctl -guestAccount off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system sysadminctl -guestAccount on

Utilisateur root activé

Menace

Dimension : system integrity / Sévérité : 3

Tags : CIS Benchmark Level 1,Disable root account

Un utilisateur système spécial a été configuré sur votre ordinateur. Ceci est inhabituel et doit être désactivé immédiatement.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user dscl . -read /Users/root Password | grep '\*\*'

Remédiation

https://support.apple.com/fr-fr/HT204012

Retour en arrière

https://support.apple.com/fr-fr/HT204012

Changement de paramètres système non protégés

Menace

Dimension : system integrity / Sévérité : 3

Tags : CIS Benchmark Level 1,Enable system wide preferences

Les paramètres de votre système informatique peuvent être modifiés par tous les utilisateurs. Vous devriez le restreindre.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user security authorizationdb read system.preferences 2> /dev/null | grep -A1 shared | grep true

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system security authorizationdb read system.preferences > /tmp/system.preferences.plist; /usr/libexec/PlistBuddy -c "Set :shared false" /tmp/system.preferences.plist; security authorizationdb write system.preferences < /tmp/system.preferences.plist

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system security authorizationdb read system.preferences > /tmp/system.preferences.plist; /usr/libexec/PlistBuddy -c "Set :shared true" /tmp/system.preferences.plist; security authorizationdb write system.preferences < /tmp/system.preferences.plist

Adresse e-mail potentiellement compromise

Menace

Dimension : credentials / Sévérité : 1

Tags : Personal Posture

Vérifiez si votre adresse e-mail est peut-être apparue récemment dans une fuite de données.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user pwned -i 365

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande digitalidentity_manager

Retour en arrière

https://www.futura-sciences.com/tech/actualites/internet-voici-savoir-si-vos-donnees-personnelles-internet-ont-ete-piratees-103095/

Environement réseau non vérifié ou non sécurisé

Menace

Dimension : network / Sévérité : 1

Tags : Personal Posture

Le réseau auquel vous êtes connecté n'est pas connu ou contient des appareils non sécurisés. Si vous êtes autorisé à scanner ce réseau, allez dans l'onglet réseau et vérifiez la présence de périphériques potentiellement dangereux.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user lanscan

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande network_manager

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande network_manager

Votre OS n'est pas à jour

Menace

Dimension : system integrity / Sévérité : 2

Tags : CIS Benchmark Level 1,Enable Software Update

Votre système d'exploitation n'est pas à jour, veuillez procéder à sa mise à niveau afin d'obtenir les derniers correctifs de sécurité.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande globalpreferences defaults read /Library/Preferences/com.apple.SoftwareUpdate.plist | grep macOS

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande x-apple.systempreferences:com.apple.preferences.softwareupdate

Retour en arrière

https://www.techadvisor.com/article/1490855/comment-installer-ancienne-version-macos.html

Navigateur Chrome non à jour

Menace

Dimension : applications / Sévérité : 3

Votre navigateur Google Chrome n'est pas à jour. Exécuter la dernière version garantit que vous disposez des dernières fonctionnalités de sécurité et des améliorations de performance.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user defaults read /Applications/Google\ Chrome.app/Contents/Info.plist CFBundleShortVersionString &>/dev/null && { local_version=$(defaults read /Applications/Google\ Chrome.app/Contents/Info.plist CFBundleShortVersionString); latest_version=$(curl -s "https://formulae.brew.sh/api/cask/google-chrome.json" | sed -n 's/.*\"version\": \"\([^\"]*\)\".*/\1/p'); if [ "$(printf '%s\n%s\n' "$local_version" "$latest_version" | sort -V | tail -n1)" = "$latest_version" ] && [ "$local_version" != "$latest_version" ]; then echo "Chrome is not up to date (Installed: $local_version, Latest: $latest_version)"; fi; }

Remédiation

https://support.google.com/chrome/answer/95414?hl=fr

Retour en arrière

https://support.google.com/chrome/a/answer/6350036?hl=fr

Règle métier non respectée

Menace

Dimension : applications / Sévérité : 1

Une ou plusieurs règles métier ne sont pas respectées. Veuillez vérifier la sortie de la commande pour plus de détails.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user business_rules

Remédiation

Consultez la documentation des règles métier pour plus de détails.

Retour en arrière

Consultez la documentation des règles métier pour plus de détails.