Mac OS X et les mots de passe tronqués

Actuellement, des failles sont découvertes assez régulièrement sous Mac OS X. Mais saviez-vous qu’à une époque, les mots de passe ne dépassaient pas 8 caractères ? Jusqu’à Mac OS X Jaguar (10.2), les mots de passe étaient en effet tronqués.
Jaguar-logo

Apple utilisait en effet un chiffrement DES (notoirement faible, une explication là) et une limite réelle à 8 caractères. Ce n’est pas forcément visible : l’interface de Mac OS X permet de mettre plus que 8 caractères et vérifie bien tous les caractères quand on choisit le mot de passe. Mais sur l’écran de login, seuls 8 caractères sont pris en compte. Plus concrètement, si vous tapez les 8 premiers caractères du mot de passe (même s’il en fait 10, 15, 20), ça va fonctionner. De même, si vous rentrez les 8 premiers caractères suivis de n’importe quoi d’autre… ça marche aussi.

Pour montrer ça, j’ai lancé Mac OS X 10.2 dans une machine virtuelle Windows avec PearPC et enregistré l’écran avec le clavier visuel activé. On voit donc que le mot de passe est 123456789012345, mais que lors du premier essai, je peux taper uniquement 12345678 pour ouvrir la session, et dans le second essai je tape 12345678toto et ça fonctionne aussi.

Heureusement, ce problème est évidemment corrigé depuis un moment…