macOS High Sierra: la root est ouverte à tous!

Il a également causé une sensation sur les médias de masse qui ne sont pas spécialisés, la faille de sécurité découvert dans le système d’exploitation OSX qui fonctionne les Macs Apple.

Aussi parce que cela concerne la dernière version de High Sierra le 10.13.1 (17B48) et non les anciennes versions non mises à jour.
En fait, tout le monde peut accéder à l’ordinateur en écrivant simplement “root” dans le champ du nom d’utilisateur, c’est un énorme oubli, découvert entre autres par un chercheur indépendant et non par les contrôles internes d’Apple.

Antivirus Mac comparatif

Voici Lemi Orhan Ergin, qui a publié la découverte frappante sur son profil Twitter. Donc, ne laissez pas votre Mac sans surveillance jusqu’à ce que le problème soit résolu avec un patch.

Le bug est plus facilement accessible en allant dans Préférences puis en insérant l’un des panneaux qui a un verrou dans le coin inférieur gauche. Normalement, cliquez dessus pour entrer votre nom d’utilisateur et mot de passe, qui sont nécessaires pour modifier les paramètres importants tels que ceux dans la sécurité et la confidentialité.

Antivirus Mac comparatif

Mais incroyablement, il n’y a pas besoin de le faire! Il suffit d’entrer “root” à la place de votre nom d’utilisateur et appuyez sur Entrée. Entre autres choses, vous créez un compte “root” que d’autres peuvent exploiter si vous ne le désactivez pas.

Une fois connecté, vous vous êtes pratiquement authentifié en tant que propriétaire d’ordinateur, et vous pouvez ajouter des administrateurs, modifier des paramètres critiques, bloquer le propriétaire actuel, etc.

Jusqu’à présent, cela a fonctionné sur chaque panneau de préférences que nous avons essayé et, lorsque nous utilisons “root” dans l’écran de connexion, nous créons immédiatement un nouvel utilisateur avec des privilèges d’administrateur système.

C’est la réponse d’Apple qui s’est publiquement excusée:

“Nous travaillons sur une mise à jour logicielle pour résoudre ce problème, alors que la configuration d’un mot de passe root empêche tout accès non autorisé à votre Mac. Pour activer l’utilisateur root et définir un mot de passe, suivez les instructions ici:
https://support.apple.com/fr-fr/HT204012
Si un utilisateur root est déjà activé, pour vous assurer qu’un mot de passe vide n’est pas défini, suivez les instructions de la section “Modification du mot de passe root”

Le programme de bogue de la prime

Rares sont ceux en Italie qui savent qu’en 2016, Apple a lancé un programme de bogue qui récompense ceux qui aident à trouver des bugs et des problèmes comme celui-ci:

  • Micrologiciel de démarrage sécurisé: 200 000 $
  • Extraction de documents confidentiels protégés par le processeur Secure Enclave: 100 000 $
  • Exécution de code arbitraire avec les privilèges du noyau: 50 000 $
  • Accès non autorisé aux données du compte iCloud sur les serveurs Apple: 50 000 $
  • Accès à partir d’un processus sandbox aux données utilisateur en dehors de ce bac à sable: 25 000 $

Certains commentateurs ont cependant dit qu’Apple ne semblait pas assez payer les chercheurs pour les bugs. La carte mère indique que sur le marché actuel, des sociétés comme Zerodium achètent des exploits de chercheurs et les voient chez leurs clients, offrant 1,5 millions de dollars pour une méthode «composée de multiples bugs qui peuvent jailbreaker l’iPhone».
Une autre compagnie, Exodus Intelligence, offre 500 000 $ pour des exploits similaires.

La résolution du problème

Tout d’abord, Apple a conseillé de définir un mot de passe en suivant les instructions à cette adresse:
https://support.apple.com/en-us/HT204012

Ensuite, il a rapidement publié un correctif qui corrige le bogue sur les systèmes MacOS High Sierra (10.13.1) et devrait être téléchargé immédiatement si vous n’avez pas configuré les mises à jour automatiques du système.

Télécharger MacKeeper le meilleur antivirus pour le Mac!

Download MacKeeper