threatmodel macOS FR - edamametechnologies/threatmodels GitHub Wiki

macOS Modèle de Menace (FR)

Contents

EDAMAME Helper inactif

Menace

Dimension : system services / Sévérité : 5

Le logiciel d'assistance d'EDAMAME n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user helper_check

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user https://github.com/edamametechnologies/edamame_helper/releases/download

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /Library/Application\ Support/Edamame/Edamame-Helper/uninstall.sh

Réponse au ping activée

Menace

Dimension : network / Sévérité : 3

Tags : CIS Benchmark Level 1,macos_security/sysprefs_firewall_stealth_mode_enable, ISO 27001/2,Communications Security, PCI-DSS,Requirement-1, SOC 2,CC-System Operations

Votre ordinateur répondra si quelque chose essaie de vérifier sa présence. Cela peut être très mauvais et permettre à quiconque de vérifier votre présence sur un réseau et éventuellement d'attaquer votre ordinateur....

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin /usr/libexec/ApplicationFirewall/socketfilterfw --getstealthmode | grep disabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode off

Profils MDM installés

Menace

Dimension : system integrity / Sévérité : 5

Tags : Personal Posture

Un ou plusieurs profils de gestion des appareils mobiles (MDM) sont installés sur votre ordinateur. Cela signifie que votre ordinateur est, ou peut être, administré à distance par un tiers. S'il s'agit de votre ordinateur personnel, il s'agit d'une grave menace et les profils doivent être supprimés.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system profiles -P | grep profileIdentifier

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system profiles remove -all -forced

Retour en arrière

https://fr.wikipedia.org/wiki/Mobile_device_management

Administration à distance JAMF installée

Menace

Dimension : system integrity / Sévérité : 5

Tags : Personal Posture

Votre ordinateur est, ou peut être, administré à distance par un tiers à l'aide du framework JAMF MDM. S'il s'agit de votre ordinateur personnel, il s'agit d'une grave menace et JAMF doit être supprimé.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin pgrep jamf

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system jamf removeFramework

Retour en arrière

https://www.jamf.com/fr

Wake On LAN activé

Menace

Dimension : network / Sévérité : 1

Tags : CIS Benchmark Level 1,macos_security/sysprefs_wake_network_access_disable, ISO 27001/2,Communications Security, PCI-DSS,Requirement-1, SOC 2,CC-System Operations

Wake on LAN est une fonctionnalité qui peut réveiller automatiquement votre ordinateur lorsque quelque chose tente de s'y connecter. Ce n'est pas quelque chose dont vous avez besoin dans la plupart des cas et cela peut permettre à un malfrat de se connecter à votre ordinateur à tout moment.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system systemsetup getwakeonnetworkaccess | grep -v Off

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system systemsetup -setwakeonnetworkaccess off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system systemsetup -setwakeonnetworkaccess on

Mises à jour Appstore manuelles

Menace

Dimension : applications / Sévérité : 3

Tags : CIS Benchmark Level 1,macos_security/sysprefs_software_update_app_update_enforce, ISO 27001/2,Information Systems Acquisition, Development, and Maintenance, PCI-DSS,Requirement-6, SOC 2,CC-System Development and Maintenance

Les applications sont constamment mises à jour pour résoudre les problèmes de sécurité potentiels. Il est dans votre intérêt d'obtenir les mises à jour dès que possible grâce aux mises à jour automatiques.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin defaults read /Library/Preferences/com.apple.commerce.plist AutoUpdate 2>&1 | grep -v 1

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.commerce.plist AutoUpdate -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallAppUpdates -bool true

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.commerce.plist AutoUpdate -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallAppUpdates -bool false

Pare-feu local désactivé

Menace

Dimension : network / Sévérité : 2

Tags : CIS Benchmark Level 1,macos_security/sysprefs_firewall_enable, ISO 27001/2,Communications Security, PCI-DSS,Requirement-1, SOC 2,CC-Network Protection

Votre pare-feu local est désactivé. C'est bien dans un environnement de confiance mais dangereux si vous vous connectez à des réseaux publics. Vous devriez l'activer par défaut.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin defaults read /Library/Preferences/com.apple.alf globalstate | grep 0

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.alf globalstate -int 2

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.alf globalstate -int 0 && launchctl unload /System/Library/LaunchDaemons/com.apple.alf.agent.plist && launchctl load /System/Library/LaunchDaemons/com.apple.alf.agent.plist&& killall socketfilterfw || true

Login automatique activé

Menace

Dimension : credentials / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/sysprefs_automatic_login_disable, ISO 27001/2,Access Control, PCI-DSS,Requirement-8, SOC 2,CC-Logical Access

La connexion automatique peut sembler très pratique mais en fait c'est une menace majeure pour la sécurité : elle permet à n'importe qui d'accéder à vos données sans connaître votre mot de passe.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user defaults read /Library/Preferences/com.apple.loginwindow | grep autoLoginUser

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults delete /Library/Preferences/com.apple.loginwindow autoLoginUser

Retour en arrière

Accès à distance activé

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/sysprefs_ssh_disable, ISO 27001/2,Access Control, PCI-DSS,Requirement-8, SOC 2,CC-System Integrity

L'accès à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin systemsetup -getremotelogin | grep On

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk echo yes | systemsetup -setremotelogin off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk systemsetup -setremotelogin on

Bureau à distance activé

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/sysprefs_remote_management_disable, ISO 27001/2,Access Control, PCI-DSS,Requirement-8, SOC 2,CC-System Integrity

La connexion au bureau à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin pgrep ARDAgent

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -deactivate -stop

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -activate

Partage de fichiers activé

Menace

Dimension : system services / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/sysprefs_smbd_disable, ISO 27001/2,Information Security Policies, PCI-DSS,Requirement-9, SOC 2,CC-System Services

Le partage de fichiers est activé. Bien que cela puisse être intentionnel, nous vous recommandons fortement de le désactiver. Ce n'est pas si facile à configurer et cela peut exposer vos données à des personnes indésirables.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin launchctl list | grep smbd

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system launchctl unload -w /System/Library/LaunchDaemons/com.apple.smbd.plist

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system launchctl load -w /System/Library/LaunchDaemons/com.apple.smbd.plist && defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server.plist EnabledServices -array disk

Événements à distance activés

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/sysprefs_rae_disable, ISO 27001/2,Access Control, PCI-DSS,Requirement-6.5, SOC 2,CC-System Integrity

Les événements à distance sont activés. Bien que cela puisse être intentionnel, nous vous recommandons fortement de les désactiver. C'est inutile pour la plupart des utilisateurs et cela a été une cible d'attaques dans un passé récent.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user launchctl print-disabled system | grep com.apple.AEServer | grep -E 'enabled|false'

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk systemsetup -setremoteappleevents off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande fulldisk systemsetup -setremoteappleevents on

Clé d'entreprise de récupération de disque

Menace

Dimension : system integrity / Sévérité : 4

Tags : Personal Posture

Il semble que le disque dur de votre ordinateur ait été crypté par votre employeur. Cela signifie qu'ils pourraient potentiellement le déchiffrer si vous leur rendez l'ordinateur. Vous devriez supprimer cette possibilité.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin fdesetup hasinstitutionalrecoverykey | grep true

Remédiation

https://derflounder-wordpress-com.translate.goog/2019/07/03/managing-macos-mojaves-filevault-2-with-fdesetup/?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=en&_x_tr_pto=wapp

Retour en arrière

https://derflounder-wordpress-com.translate.goog/2019/07/03/managing-macos-mojaves-filevault-2-with-fdesetup/?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=en&_x_tr_pto=wapp

Encryption du disque désactivée

Menace

Dimension : system services / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/sysprefs_filevault_enforce, ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-3.4, SOC 2,CC-Data Protection

Votre stockage principal n'est pas crypté. Bien qu'il y ait un petit impact sur les performances en l'activant, nous vous invitons vraiment à le configurer. Sans cela, toute personne accédant physiquement à votre ordinateur peut accéder à vos données.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin fdesetup isactive | grep false

Remédiation

https://www.youtube.com/watch?v=Ovr9nyIagTY

Retour en arrière

https://www.youtube.com/watch?v=Ovr9nyIagTY

Applications non signées autorisées

Menace

Dimension : applications / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/os_gatekeeper_enable, ISO 27001/2,Information Systems Acquisition, Development, and Maintenance, PCI-DSS,Requirement-6.6, SOC 2,CC-Application Security

Votre ordinateur a été configuré pour autoriser l'exécution d'applications non signées. C'est inhabituel et dangereux. Vous devriez désactiver cette option.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin spctl --status | grep disabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system spctl --global-enable

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system spctl --global-disable

Mises à jour système manuelles

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,macos_security/sysprefs_install_macos_updates_enforce, CIS Benchmark Level 1,macos_security/sysprefs_software_update_download_enforce, ISO 27001/2,Information Systems Acquisition, Development, and Maintenance, PCI-DSS,Requirement-6.1, SOC 2,CC-System Maintenance

Les mises à jour du système sont manuelles. Vous devriez vraiment activer les mises à jour automatiques du système pour obtenir les derniers correctifs de sécurité pour votre ordinateur.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin defaults read /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates 2>&1 | grep -v 1

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticDownload -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate CriticalUpdateInstall -bool true; defaults write /Library/Preferences/com.apple.SoftwareUpdate ConfigDataInstall -bool true; softwareupdate --schedule on

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticDownload -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate CriticalUpdateInstall -bool false; defaults write /Library/Preferences/com.apple.SoftwareUpdate ConfigDataInstall -bool false; softwareupdate --schedule off

Ecran protégé désactivé

Menace

Dimension : credentials / Sévérité : 3

Tags : CIS Benchmark Level 1,macos_security/sysprefs_screensaver_ask_for_password_delay_enforce, ISO 27001/2,Access Control, PCI-DSS,Requirement-8.1.8, SOC 2,CC-Access Control

Votre ordinateur n'a pas d'économiseur d'écran activé avec un mot de passe. Il le laisse ouvert à l'accès physique par n'importe qui. C'est très dangereux !

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user sysadminctl -screenLock status 2>&1 | grep off

Remédiation

https://www.youtube.com/watch?v=C6of13nZTpM

Retour en arrière

https://www.youtube.com/watch?v=C6of13nZTpM

Pas d'antivirus activé

Menace

Dimension : applications / Sévérité : 4

Tags : ISO 27001/2,Malware Protection, PCI-DSS,Requirement-5, SOC 2,CC-Malware Protection

Vous n'avez pas d'antivirus installé (MalwareBytes, Sentinel One, BitDefender...). Nous vous recommandons d'en activer un.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin if ! { pgrep BDLDaemon >/dev/null || pgrep RTProtectionDaemon >/dev/null || sentinelctl version 2>/dev/null | grep -q "Agent version"; }; then echo noepp; fi

Remédiation

https://www.malwarebytes.com/

Retour en arrière

https://www.youtube.com/watch?v=1vIf7ujOYdY

Protection d'intégrité système désactivée

Menace

Dimension : system integrity / Sévérité : 5

Tags : CIS Benchmark Level 1,macos_security/os_sip_enable, ISO 27001/2,System Acquisition, Development and Maintenance, PCI-DSS,Requirement-6.1, SOC 2,CC-System Integrity

La Protection de l'Intégrité du Système est une capacité clé de macOS qui empêche tous logiciels de modifier les fichiers et les composants du système. Dans une certaine mesure, c'est un antivirus "assez bon" pour votre Mac. Le désactiver est... inhabituel et dangereux. Il devrait être activé par défaut sur votre Mac. Ce contenu vous expliquera comment l'activer à nouveau. Soyez courageux... c'est un peu difficile à réaliser !

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user csrutil status | grep disabled

Remédiation

https://www.remosoftware.com/info/fr/comment-activer-ou-desactiver-la-protection-de-lintegrite-du-systeme-mac/

Retour en arrière

Compte invité activé

Menace

Dimension : system services / Sévérité : 2

Tags : CIS Benchmark Level 1,macos_security/sysprefs_guest_account_disable, ISO 27001/2,Access Control, PCI-DSS,Requirement-8.1.6, SOC 2,CC-Access Control

Le compte invité est activé. C'est généralement bien, mais il n'est pas si facile de limiter l'accès à vos données. Vous devriez le désactiver.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user sysadminctl -guestAccount status 2>&1 | grep enabled

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system sysadminctl -guestAccount off

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system sysadminctl -guestAccount on

Utilisateur root activé

Menace

Dimension : system integrity / Sévérité : 3

Tags : ISO 27001/2,Access Control, PCI-DSS,Requirement-2.3, SOC 2,CC-Access Control

Un utilisateur système spécial a été configuré sur votre ordinateur. Ceci est inhabituel et doit être désactivé immédiatement.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user dscl . -read /Users/root Password | grep "**"

Remédiation

https://www.youtube.com/watch?v=Bw05ksrrD4g

Retour en arrière

https://www.youtube.com/watch?v=Bw05ksrrD4g

Changement de paramètres système non protégés

Menace

Dimension : system integrity / Sévérité : 3

Tags : CIS Benchmark Level 1,macos_security/sysprefs_system_wide_preferences_configure, ISO 27001/2,Access Control, PCI-DSS,Requirement-2.2, SOC 2,CC-Access Control

Les paramètres de votre système informatique peuvent être modifiés par tous les utilisateurs. Vous devriez le restreindre.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user security authorizationdb read system.preferences 2> /dev/null | grep -A1 shared | grep true

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande system security authorizationdb read system.preferences > /tmp/system.preferences.plist; /usr/libexec/PlistBuddy -c "Set :shared false" /tmp/system.preferences.plist; security authorizationdb write system.preferences < /tmp/system.preferences.plist

Retour en arrière

Testé pour Action Elevation Script
macOS 12 Ligne de commande system security authorizationdb read system.preferences > /tmp/system.preferences.plist; /usr/libexec/PlistBuddy -c "Set :shared true" /tmp/system.preferences.plist; security authorizationdb write system.preferences < /tmp/system.preferences.plist

Adresse e-mail potentiellement compromise

Menace

Dimension : credentials / Sévérité : 1

Tags : ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-12.10, SOC 2,CC-Incident Response, Personal Posture

Votre adresse e-mail est peut-être apparue récemment dans une fuite de données. Renseignez votre email dans le tab Identité, examinez les fuites éventuelles et suivez les instructions.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user pwned -i 365

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande digitalidentity_manager

Retour en arrière

https://www.futura-sciences.com/tech/actualites/internet-voici-savoir-si-vos-donnees-personnelles-internet-ont-ete-piratees-103095/

Environement réseau non vérifié

Menace

Dimension : network / Sévérité : 1

Tags : ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-12.10, SOC 2,CC-Incident Response, Personal Posture

Le réseau auquel vous êtes connecté n'est pas connu. Si vous êtes autorisé à scanner ce réseau, allez dans l'onglet réseau et vérifiez la présence de périphériques potentiellement dangereux.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user lanscan

Remédiation

Testé pour Action Elevation Script
macOS 12 Ligne de commande network_manager

Retour en arrière

https://fr.wikipedia.org/wiki/Balayage_de_ports

Votre OS n'est pas à jour

Menace

Dimension : system integrity / Sévérité : 2

Tags : ISO 27001/2,System Acquisition, Development and Maintenance, PCI-DSS,Requirement-6.2, SOC 2,CC-System Maintenance

Votre système d'exploitation n'est pas à jour, veuillez procéder à sa mise à niveau afin d'obtenir les derniers correctifs de sécurité.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande admin defaults read /Library/Preferences/com.apple.SoftwareUpdate.plist | grep macOS

Remédiation

https://www.youtube.com/watch?v=FG2DXkPA93g&t=124s

Retour en arrière

https://www.youtube.com/watch?v=FG2DXkPA93g&t=124s

Navigateur Chrome non à jour

Menace

Dimension : applications / Sévérité : 3

Tags : ISO 27001/2,Application Security, PCI-DSS,Requirement-6, SOC 2,CC-System Operations

Votre navigateur Google Chrome n'est pas à jour. Exécuter la dernière version garantit que vous disposez des dernières fonctionnalités de sécurité et des améliorations de performance.

Implémentation

Testé pour Action Elevation Script
macOS 12 Ligne de commande user if defaults read /Applications/Google\ Chrome.app/Contents/Info.plist CFBundleShortVersionString &>/dev/null; then latest_version=$(curl -s "https://formulae.brew.sh/api/cask/google-chrome.json" | awk -F'["]' '{for(i=1;i<=NF;i++) if ($i=="version") {print $(i+2); exit}}'); local_version=$(defaults read /Applications/Google\ Chrome.app/Contents/Info.plist CFBundleShortVersionString); if [ "$latest_version" = "$local_version" ]; then echo ""; else echo "Chrome is not up to date (Installed: $local_version, Latest: $latest_version)"; fi; else echo ""; fi

Remédiation

https://support.google.com/chrome/answer/95414?hl=fr

Retour en arrière

https://support.google.com/chrome/a/answer/6350036?hl=fr