[MAJ 29 novembre 17h55 : Moins de 24 heures après cette découverte, Apple sort une Security Update 2017-001 qui corrige cet énorme bug.]

C’est encore le tout début d’une affaire dont on entendra sans doute parler un moment : Lemi Orhan Ergin, un développeur turc, s’est rendu compte qu’il était possible de se connecter en tant qu’administrateur root – le compte qui dispose de tous les droits sur une machine – simplement en indiquant « root », dans la fenêtre de login ou depuis les Préférences Système « Utilisateurs et Groupes », sans mot de passe. Un tel bug est gravissime, puisque les ordinateurs sont ainsi ouverts aux 4 vents, les éventuels « attaquants » pouvant faire absolument tout ce qu’ils désirent sur le Mac une fois connectés en « root ».

La chose ne marche pas à tout les coups mais nous sommes parvenus à effectuer cette manipulation après une trentaine d’essais sur High Sierra 10.13.2 bêta 4 ; elle fonctionne aussi sous macOS 10.13.1. C’est franchement incroyable…

La plus grosse faille de sécurité imaginable

À ce stade, difficile de cerner quelles sont les versions de High Sierra concernées. Mais un bug de cette nature affecte absolument fondamentalement la sécurité de macOS. À vrai dire, on peine à imaginer une faille de sécurité plus grave. Apple a été contacté et a rapidement assuré se pencher sur la question, invitant l’auteur de la découverte à discuter par Message Privé. Il aurait sans doute également été plus sûr, pour beaucoup de monde, de prévenir Apple de manière privée, mais la chose étant désormais publique, il est essentiel d’être prévenu.

Ce bug root High Sierra fonctionne également avec les partages d’écrans et accès à distance. Concrètement, ça veut dire que n’importe quelle machine sous High Sierra peut désormais tout à fait simplement être piratée.

Encore une fois, de nombreux paramètres sont encore inconnus à ce stade, mais il nous paraissait souhaitable de vous informer au plus vite, et de revenir vers vous dès que de nouveaux détails seront connus.

Activer le compte root avec un mot de passe

En attendant, et comme rustine immédiate – qu’Apple recommande également – vous pouvez – vous devez devrait-on dire – activer le compte root, et lui associer un mot de passe, ce qui devrait empêcher le problème de se manifester. Conservez ce compte root actif (utilisez le), sinon le bug restera actif. Pour cela:

  • Choisissez le menu Pomme > Préférences système, puis cliquez sur Utilisateurs et groupes (ou Comptes).
  • Cliquez sur icône du cadenas, puis saisissez un nom et un mot de passe d’administrateur.
  • Cliquez sur Options d’ouverture de session.
  • Cliquez sur Rejoindre (ou Modifier).
  • Cliquez sur Ouvrir Utilitaire d’annuaire.
  • Cliquez sur icône du verrou dans la fenêtre Utilitaire d’annuaire, puis saisissez un nom et un mot de passe administrateur.
  • Sur la barre de menus d’Utilitaire d’annuaire, procédez comme suit :
  • Sélectionnez Modifier > Activer l’utilisateur root, puis saisissez le mot de passe que vous souhaitez utiliser pour l’utilisateur root.

Si vous avez déjà mis en place un compte root avec mot de passe, changez celui-ci en suivant la procédure indiquée ci-dessus.

AUCUN COMMENTAIRE

À vous la parole !

*
*