Apple a laissé une faille criminelle dans MacOS High Sierra

SECURITE Une manipulation permet d'accéder à un Mac en administrateur sans aucun mot de passe...

P.B.

— 

Il est possible d'obtenir un accès «root» sans rentrer de mot de passe dans MacOS High Sierra (photomontage).

Il est possible d'obtenir un accès «root» sans rentrer de mot de passe dans MacOS High Sierra (photomontage). — APPLE/20 Minutes

Carton rouge pour Apple. Visiblement trop occupée par l’intégration des animojis panda et caca, l’entreprise a laissé un trou béant dans MacOS High Sierra, qui avait déjà plusieurs failles inquiétantes : il est possible d’obtenir un accès administrateur… sans aucun mot de passe. Apple a indiqué qu’il corrigerait le problème dans une prochaine mise à jour. En attendant, il est impératif de changer le mot de passe « root » dans les options. Cette faille est présente dans la dernière version de High Sierra (10.13.1 et la bêta 10.13.2) mais elle n'existe pas dans les versions précédentes (Sierra et Yosemite).

Le chercheur Lemi Ergin a dévoilé le bug sur Twitter, visiblement sans avoir prévenu Apple.

Sur une machine avec une session ouverte, il faut aller dans les préférences système, onglet Utilisateurs et Groupes, et cliquer sur le cadenas. Ensuite, il suffit de taper « root » comme nom d’utilisateur, puis de cliquer dans le champ mot de passe, ne rien entrer (ou taper un caractère puis l’effacer), et enfin de cliquer une ou plusieurs fois sur Déverrouiller. Encore pire, sur les ordinateurs où l’utilisateur « root » était déjà activé, l’accès sans mot de passe fonctionne au démarrage ou pour sortir de la veille. Pour ne rien arranger, la manip peut être réalisée à distance si le partage d’écran est activé.

Avec un accès root, une personne malveillante peut ensuite changer le mot de passe de tous les utilisateurs et accéder à leurs fichiers.

Comment se protéger

En attendant la mise à jour d’Apple, il faut impérativement rentrer manuellement un mot de passe « root » pour se protéger. Les geeks peuvent passer par le Terminal et taper :

  • ''sudo su'' suivi de leur mot de passe habituel afin d’obtenir les privilèges administrateur.
  • ''sudo passwd root'' et suivre les instructions pour entrer un nouveau mot de passe root.

Ou sinon, il faut naviguer dans les menus :

  • Choisissez le menu Pomme > Préférences système, puis cliquez sur Utilisateurs et groupes (ou Comptes).
  • Cliquez sur le cadenas, puis saisissez un nom et un mot de passe d’administrateur.
  • Cliquez sur Options d’ouverture de session.
  • Cliquez sur Rejoindre (ou Modifier).
  • Cliquez sur Ouvrir Utilitaire d’annuaire.
  • Cliquez sur le cadenas dans la fenêtre Utilitaire d’annuaire, puis saisissez un nom et un mot de passe administrateur.

Rene Richie, du site iMore a partagé une vidéo (en anglais) :

 

Mots-clés :