Passer au contenu principalPasser à l'en-têtePasser au pied de page
REPLAY
DIRECT TV
Apple a laissé une faille criminelle dans MacOS High Sierra

Apple a laissé une faille criminelle dans MacOS High Sierra

SECURITEUne manipulation permet d'accéder à un Mac en administrateur sans aucun mot de passe...
Philippe Berry

P.B.

Carton rouge pour Apple. Visiblement trop occupée par l’intégration des animojis panda et caca, l’entreprise a laissé un trou béant dans MacOS High Sierra, qui avait déjà plusieurs failles inquiétantes : il est possible d’obtenir un accès administrateur… sans aucun mot de passe. Apple a indiqué qu’il corrigerait le problème dans une prochaine mise à jour. En attendant, il est impératif de changer le mot de passe « root » dans les options. Cette faille est présente dans la dernière version de High Sierra (10.13.1 et la bêta 10.13.2) mais elle n'existe pas dans les versions précédentes (Sierra et Yosemite).

Le chercheur Lemi Ergin a dévoilé le bug sur Twitter, visiblement sans avoir prévenu Apple.

L’accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur« J’accepte », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires.

Plus d’informations sur la pagePolitique de gestion des cookies

Sur une machine avec une session ouverte, il faut aller dans les préférences système, onglet Utilisateurs et Groupes, et cliquer sur le cadenas. Ensuite, il suffit de taper « root » comme nom d’utilisateur, puis de cliquer dans le champ mot de passe, ne rien entrer (ou taper un caractère puis l’effacer), et enfin de cliquer une ou plusieurs fois sur Déverrouiller. Encore pire, sur les ordinateurs où l’utilisateur « root » était déjà activé, l’accès sans mot de passe fonctionne au démarrage ou pour sortir de la veille. Pour ne rien arranger, la manip peut être réalisée à distance si le partage d’écran est activé.

L’accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur« J’accepte », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires.

Plus d’informations sur la pagePolitique de gestion des cookies

Avec un accès root, une personne malveillante peut ensuite changer le mot de passe de tous les utilisateurs et accéder à leurs fichiers.

L’accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur« J’accepte », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires.

Plus d’informations sur la pagePolitique de gestion des cookies

Comment se protéger

En attendant la mise à jour d’Apple, il faut impérativement rentrer manuellement un mot de passe « root » pour se protéger. Les geeks peuvent passer par le Terminal et taper :

  • ''sudo su'' suivi de leur mot de passe habituel afin d’obtenir les privilèges administrateur.
  • ''sudo passwd root'' et suivre les instructions pour entrer un nouveau mot de passe root.

Ou sinon, il faut naviguer dans les menus :

  • Choisissez le menu Pomme > Préférences système, puis cliquez sur Utilisateurs et groupes (ou Comptes).
  • Cliquez sur le cadenas, puis saisissez un nom et un mot de passe d’administrateur.
  • Cliquez sur Options d’ouverture de session.
  • Cliquez sur Rejoindre (ou Modifier).
  • Cliquez sur Ouvrir Utilitaire d’annuaire.
  • Cliquez sur le cadenas dans la fenêtre Utilitaire d’annuaire, puis saisissez un nom et un mot de passe administrateur.

Rene Richie, du site iMore a partagé une vidéo (en anglais) :

a

Actualité

Voir plus d'articles

Divertissement

Voir plus d'articles

Sport

Voir plus d'articles

Partenaires

Sportune

Bébés et Mamans

Minutes Maison