threatmodel macOS FR - edamametechnologies/threatmodels GitHub Wiki
macOS Threat Model (FR)
Contents
- Edamame Helper inactif
- Profils MDM installés
- Administration à distance JAMF installée
- Wake On LAN activé
- Mises à jour Appstore manuelles
- Pare-feu local désactivé
- Login automatique activé
- Accès à distance activé
- Bureau à distance activé
- Partage de fichiers activé
- Événements à distance activés
- Clé d'entreprise de récupération de disque
- Encryption du disque désactivée
- Applications non signées autorisées
- Mises à jour système manuelles
- Réponse au ping activée
- Ecran protégé désactivé
- Pas d'antivirus installé
- Protection d'intégrité système désactivée
- Compte invité activé
- Utilisateur root activé
- Changement de paramètres système non protégés
- Apple ID compromise
- Votre OS n'est pas à jour
Edamame Helper inactif
Menace
Dimension : system services / Sévérité : 5
Le logiciel d'assistance d'Edamame n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | ps -ef | grep edamame_helper | grep -v grep > /dev/null || echo nohelper |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | user | https://edamamecompany.sharepoint.com/:u:/s/Anyone/EW70U3YGjwdFryyIzVo3maMBNE6XAb0ZabQ0Bi0uAw5vsQ?e=7kVnf4 |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | /Library/Application\ Support/Edamame/Edamame-Helper/uninstall.sh |
Profils MDM installés
Menace
Dimension : system integrity / Sévérité : 5
Un ou plusieurs profils de gestion des appareils mobiles (MDM) sont installés sur votre ordinateur. Cela signifie que votre ordinateur est, ou peut être, administré à distance par un tiers. S'il s'agit de votre ordinateur personnel, il s'agit d'une grave menace et les profils doivent être supprimés.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | profiles list | grep profileIdentifier |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | profiles remove -all |
Remédiation
https://fr.wikipedia.org/wiki/Mobile_device_management
Administration à distance JAMF installée
Menace
Dimension : system integrity / Sévérité : 5
Votre ordinateur est, ou peut être, administré à distance par un tiers à l'aide du framework JAMF MDM. S'il s'agit de votre ordinateur personnel, il s'agit d'une grave menace et JAMF doit être supprimé.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | pgrep jamf |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | jamf removeFramework |
Remédiation
Wake On LAN activé
Menace
Dimension : network / Sévérité : 1
Tags : CIS Benchmark Level 1, macos_security/sysprefs_wake_network_access_disable
Wake on LAN est une fonctionnalité qui peut réveiller automatiquement votre ordinateur lorsque quelque chose tente de s'y connecter. Ce n'est pas quelque chose dont vous avez besoin dans la plupart des cas et cela peut permettre à un malfrat de se connecter à votre ordinateur à tout moment.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | systemsetup getwakeonnetworkaccess | grep -v Off |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | systemsetup -setwakeonnetworkaccess off |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | systemsetup -setwakeonnetworkaccess on |
Mises à jour Appstore manuelles
Menace
Dimension : applications / Sévérité : 3
Tags : CIS Benchmark Level 1, macos_security/sysprefs_software_update_app_update_enforce
Les applications sont constamment mises à jour pour résoudre les problèmes de sécurité potentiels. Il est dans votre intérêt d'obtenir les mises à jour dès que possible grâce aux mises à jour automatiques.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | defaults read /Library/Preferences/com.apple.commerce.plist AutoUpdate 2>&1 | grep -v 1 |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | defaults write /Library/Preferences/com.apple.commerce.plist AutoUpdate -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallAppUpdates -bool true |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | defaults write /Library/Preferences/com.apple.commerce.plist AutoUpdate -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallAppUpdates -bool false |
Pare-feu local désactivé
Menace
Dimension : network / Sévérité : 2
Tags : CIS Benchmark Level 1, macos_security/sysprefs_firewall_enable
Votre pare-feu local est désactivé. C'est bien dans un environnement de confiance mais dangereux si vous vous connectez à des réseaux publics. Vous devriez l'activer par défaut.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | defaults read /Library/Preferences/com.apple.alf globalstate | grep 0 |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | defaults write /Library/Preferences/com.apple.alf globalstate -int 2 |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | defaults write /Library/Preferences/com.apple.alf globalstate -int 0 |
Login automatique activé
Menace
Dimension : credentials / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/sysprefs_automatic_login_disable
La connexion automatique peut sembler très pratique mais en fait c'est une menace majeure pour la sécurité : elle permet à n'importe qui d'accéder à vos données sans connaître votre mot de passe.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | user | defaults read /Library/Preferences/com.apple.loginwindow | grep autoLoginUser |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | defaults delete /Library/Preferences/com.apple.loginwindow autoLoginUser |
Remédiation
Accès à distance activé
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/sysprefs_ssh_disable
L'accès à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | systemsetup -getremotelogin | grep On |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | fulldisk | echo yes | systemsetup -setremotelogin off |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | fulldisk | systemsetup -setremotelogin on |
Bureau à distance activé
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/sysprefs_remote_management_disable
La connexion au bureau à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | pgrep ARDAgent |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -deactivate -configure -access -off |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -restart -agent |
Partage de fichiers activé
Menace
Dimension : system services / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/sysprefs_smbd_disable
Le partage de fichiers est activé. Bien que cela puisse être intentionnel, nous vous recommandons fortement de le désactiver. Ce n'est pas si facile à configurer et cela peut exposer vos données à des personnes indésirables.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | pgrep smbd |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | launchctl unload -w /System/Library/LaunchDaemons/com.apple.smbd.plist |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | launchctl load -w /System/Library/LaunchDaemons/com.apple.smbd.plist; defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server.plist EnabledServices -array disk |
Événements à distance activés
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/sysprefs_rae_disable
Les événements à distance sont activés. Bien que cela puisse être intentionnel, nous vous recommandons fortement de les désactiver. C'est inutile pour la plupart des utilisateurs et cela a été une cible d'attaques dans un passé récent.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | launchctl print-disabled system | grep com.apple.AEServer | grep false |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | fulldisk | systemsetup -setremoteappleevents off |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | fulldisk | systemsetup -setremoteappleevents on |
Clé d'entreprise de récupération de disque
Menace
Dimension : system integrity / Sévérité : 4
Il semble que le disque dur de votre ordinateur ait été crypté par votre employeur. Cela signifie qu'ils pourraient potentiellement le déchiffrer si vous leur rendez l'ordinateur. Vous devriez supprimer cette possibilité.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | fdesetup hasinstitutionalrecoverykey | grep true |
Retour en arrière
Remédiation
Encryption du disque désactivée
Menace
Dimension : system services / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/sysprefs_filevault_enforce
Votre stockage principal n'est pas crypté. Bien qu'il y ait un petit impact sur les performances en l'activant, nous vous invitons vraiment à le configurer. Sans cela, toute personne accédant physiquement à votre ordinateur peut accéder à vos données.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | fdesetup isactive | grep false |
Retour en arrière
https://www.youtube.com/watch?v=Ovr9nyIagTY
Remédiation
https://www.youtube.com/watch?v=Ovr9nyIagTY
Applications non signées autorisées
Menace
Dimension : applications / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/os_gatekeeper_enable
Votre ordinateur a été configuré pour autoriser l'exécution d'applications non signées. C'est inhabituel et dangereux. Vous devriez désactiver cette option.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | spctl --status | grep disabled |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | spctl --global-enable |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | spctl --global-disable |
Mises à jour système manuelles
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1, macos_security/sysprefs_install_macos_updates_enforce, macos_security/sysprefs_software_update_download_enforce
Les mises à jour du système sont manuelles. Vous devriez vraiment activer les mises à jour automatiques du système pour obtenir les derniers correctifs de sécurité pour votre ordinateur.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | defaults read /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates 2>&1 | grep -v 1 |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticDownload -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate CriticalUpdateInstall -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate ConfigDataInstall -bool true; softwareupdate --schedule on |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticDownload -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate CriticalUpdateInstall -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate ConfigDataInstall -bool false; softwareupdate --schedule off |
Réponse au ping activée
Menace
Dimension : network / Sévérité : 3
Tags : CIS Benchmark Level 1, macos_security/sysprefs_firewall_stealth_mode_enable
Votre ordinateur répondra si quelque chose essaie de vérifier sa présence. Cela peut être très mauvais et permettre à quiconque de vérifier votre présence sur un réseau et éventuellement d'attaquer votre ordinateur....
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | /usr/libexec/ApplicationFirewall/socketfilterfw --getstealthmode | grep disabled |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode off |
Ecran protégé désactivé
Menace
Dimension : credentials / Sévérité : 3
Tags : CIS Benchmark Level 1, macos_security/sysprefs_screensaver_ask_for_password_delay_enforce
Votre ordinateur n'a pas d'économiseur d'écran activé avec un mot de passe. Il le laisse ouvert à l'accès physique par n'importe qui. C'est très dangereux !
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | user | sysadminctl -screenLock status 2>&1 | grep off |
Retour en arrière
https://www.youtube.com/watch?v=C6of13nZTpM
Remédiation
https://www.youtube.com/watch?v=C6of13nZTpM
Pas d'antivirus installé
Menace
Dimension : applications / Sévérité : 4
Vous n'avez pas d'antivirus installé. Nous vous recommandons d'en installer un.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | pgrep RTProtectionDaemon >/dev/null || echo noepp |
Retour en arrière
Remédiation
Protection d'intégrité système désactivée
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1, macos_security/os_sip_enable
La Protection de l'Intégrité du Système est une capacité clé de macOS qui empêche tous logiciels de modifier les fichiers et les composants du système. Dans une certaine mesure, c'est un antivirus "assez bon" pour votre Mac. Le désactiver est... inhabituel et dangereux. Il devrait être activé par défaut sur votre Mac. Ce contenu vous expliquera comment l'activer à nouveau. Soyez courageux... c'est un peu difficile à réaliser !
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | user | csrutil status | grep disabled |
Retour en arrière
Remédiation
Compte invité activé
Menace
Dimension : system services / Sévérité : 2
Tags : CIS Benchmark Level 1, macos_security/sysprefs_guest_account_disable
Le compte invité est activé. C'est généralement bien, mais il n'est pas si facile de limiter l'accès à vos données. Vous devriez le désactiver.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | user | sysadminctl -guestAccount status 2>&1 | grep enabled |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | sysadminctl -guestAccount off |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | sysadminctl -guestAccount on |
Utilisateur root activé
Menace
Dimension : system integrity / Sévérité : 3
Un utilisateur système spécial a été configuré sur votre ordinateur. Ceci est inhabituel et doit être désactivé immédiatement.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | user | dscl . -read /Users/root Password | grep "**" |
Retour en arrière
https://www.youtube.com/watch?v=Bw05ksrrD4g
Remédiation
https://www.youtube.com/watch?v=Bw05ksrrD4g
Changement de paramètres système non protégés
Menace
Dimension : system integrity / Sévérité : 3
Tags : CIS Benchmark Level 1, macos_security/sysprefs_system_wide_preferences_configure
Les paramètres de votre système informatique peuvent être modifiés par tous les utilisateurs. Vous devriez le restreindre.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | user | security authorizationdb read system.preferences 2> /dev/null | grep -A1 shared | grep true |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | security authorizationdb read system.preferences > /tmp/system.preferences.plist; /usr/libexec/PlistBuddy -c "Set :shared false" /tmp/system.preferences.plist; security authorizationdb write system.preferences < /tmp/system.preferences.plist |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | system | security authorizationdb read system.preferences > /tmp/system.preferences.plist; /usr/libexec/PlistBuddy -c "Set :shared true" /tmp/system.preferences.plist; security authorizationdb write system.preferences < /tmp/system.preferences.plist |
Apple ID compromise
Menace
Dimension : credentials / Sévérité : 1
Votre e-mail Apple ID est apparue récemment dans une fuite de données, veuillez examiner la fuite et modifier vos mots de passe en conséquence.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | pwned -i 7 |
Retour en arrière
Remédiation
Votre OS n'est pas à jour
Menace
Dimension : system integrity / Sévérité : 2
Votre système d'exploitation n'est pas à jour, veuillez procéder à la mise à niveau de votre système d'exploitation pour obtenir les derniers correctifs de sécurité.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| macOS 12 | Ligne de commande | admin | defaults read /Library/Preferences/com.apple.SoftwareUpdate.plist | grep macOS |
Retour en arrière
https://www.youtube.com/watch?v=FG2DXkPA93g&t=124s