Une faille béante dans macOS High Sierra !

Cette faille qui touche la dernière version de macOS High Sierra (10.13.1 et la bêta 10.13.2) a été découverte par le chercher en sécurité Lemi Orhan Ergin, de la société Agile Software. Il est sans doute dommage que Lemi a dévoilé cette faille sur twitter avant d'en informer Apple. Car avec cette faille la root est ouverte à tous...

« N'importe qui peut se connecter en tant que "root" avec un mot de passe vide après avoir cliqué plusieurs fois sur le bouton de connexion » écrit Lemi

Effectivement c'est on ne peut plus simple :

  • Ouvrir les Préférences puis aller dans Utilisateurs et groupes
  • Cliquer sur l’icône cadenas en bas à gauche
  • Dans la fenêtre qui s'ouvre, remplacer l’identifiant par root
  • Répéter l’opération dans la nouvelle fenêtre qui apparaît

Tous les utilisateurs qui ont essayé confirment la présence de la faille. Et voilà vous être root sur la machine. Vous y avez tous les droits sans même avoir eu à taper le moindre mot de passe. Il n'y a pas que les malveillants qui ont accès physiquement aux machines qui peuvent sévir, car la faille peut tout aussi bien être exploitée à distance via l'écran partagé.

Il existe fort heureusement une parade pour protéger votre machine. Le fond du problème est que l'utilisateur root n'a pas de mot de passe par défaut. Il faut donc lui en attribuer un comme ceci : Dans l'utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition | Modifier le mot de passe root, saisissez alors un mot de passe. Si l'utilisateur root n'existe pas, il faudra auparavant le créer.

Apple a reconnu le problème et travaille à un correctif.

Soumis par fredericmazue le mer, 29/11/2017 - 11:20