macOS 10.13 : une mise à jour pour la faille de sécurité APFS

Mickaël Bazoge |

Apple livre ce soir une mise à jour "supplemental" pour macOS 10.13 qui corrige la grosse faille de sécurité apparue ce matin qui révèle le mot de passe des volumes APFS. Jusqu'à présent, High Sierra affichait non pas l'indice du mot de passe, mais… le mot de passe tout court du volume APFS chiffré !

« toto » n'est pas l'indice, mais le mot de passe…

Dans une note support, Apple demande de mettre à jour le Mac évidemment, puis de sauvegarder les données contenues dans le volume chiffré, de l'effacer et de le reformater en APFS chiffré avec Utilitaire de disque. Et cette fois, le logiciel ne va pas confondre le mot de passe avec son indice.

Cette mise à jour, à récupérer depuis le Mac App Store, apporte également des correctifs concernant un bug de curseur avec InDesign, elle éradique un problème avec les comptes mail Yahoo qui empêchaient la suppression des messages. Et puis elle corrige une autre vulnérabilité qui permettait à un malandrin de récupérer l'identifiant et le mot de passe des comptes stockés dans le trousseau.

avatar nayals | 

Une petite pensée pour le développeur Apple qui a perdu son job aujourd’hui.

avatar Bardyl | 

Je doute qu'un ingénieur chez Apple fasse la moindre chose sans que quelques uns de ses collègues ne relise ensuite son code :p.

avatar adixya | 

C’est tres dur de tout tester pour des programmes compliqués, meme si tu fais des tests, ils sont rarement exhaustifs et tu peux voir tous les impacts et tous les effets de bords d’une modif...
Moi deja avec 20 scripts python c’est la galere au boulot j’ose meme pas imaginer un système d’exploitation complet...

avatar Ali Ibn Bachir Le Gros | 

Ils peuvent pas se permettre de virer ni l'un ni l'autre des deux développeurs qui travaillent sur macOS.

avatar mat 1696 | 

@Ali Ibn Bachir Le Gros

????

avatar mat 1696 | 

Et bien, ils ont été réactifs au moins !

avatar reborn | 

@mat 1696

Moins de 24h, ?

avatar C1rc3@0rc | 

Et combien de beta???
Oui, ok High Sierra est en beta au moins jusqu'a la version 10.13.06...

ceci dit, la ou ils ont fait du bon boulot c'est dans le comblement de la faille du trousseau d'acces, parce que celle-la dans le genre machin critique hyper dangereux et qui ferait bien les affaires d'une agence gouvernementale a 3 lettres, c'est un modele du genre.

Bon, apres cette flambee d'urgence ou le ridicule est tombé comme un elephant sur Apple, il reste plus que 1.04E+5 failles a traiter

avatar r e m y | 

@reborn

Mieux que ça! Les correctifs sont datés du 2 octobre... ils ont corrigé le bug avant même qu'il ne soit connu. Trop forts chez Apple!

avatar C1rc3@0rc | 

@r e m y

Ou alors, le Mac sur lequel est validé le correctif a un probleme d'horloge ;)

avatar bonnepoire | 

Ça change!

avatar frankm | 

C'est à dire que...

avatar Moonwalker | 

Nous aurons bien ri.

avatar fskynet67 | 

De mieux en mieux..... ?

avatar Novezan | 

C'était juste le mot de passe, un détail...

avatar sylvainbruyere | 

@Novezan

+1 ???

avatar macam | 

On peut à nouveau utiliser les clés du trousseau... et de la forêt ?

avatar victoireviclaux | 

Pour les gens qui critiquent... allez faire un stage d'observation chez les développeurs pour voir comment ils travaillent. Je ne pense pas que vous fassiez mieux.

avatar totoguile | 

@victoireviclaux

Une infirmière fait une boulette: «  oui mais voyez comment est leur travail »

Un policier ? « Voyez leurs horaires »

On va pas non plus plaindre toutes les professions a chaque fois qu’il y a une boulette de faite.

C’était une grosse boulette et elle est collective chez Apple car non seulement le développeur mais l’équipe de test est passée à côté.

Le ou les responsables ont probablement assumé leur responsabilité et peut être même qu’il n’y a pas eu de sanction ... ou peut être que oui. Mais c’est la vie, il faut parfois aussi assumer ses responsabilités, on n’est pas au pays des bisounours! Et ça sert de leçon, ça permet d’évoluer.

avatar mat 1696 | 

@totoguile

L'équipe de test? Tu veux dire, nous les testeurs Appleseed (et développeurs) qui faisons ça totalement bénévolement, avec apple qui décline toute responsabilité en cas de dommage à la machine à cause des betas??

Parce que honnêtement, je doûte qu'il y ait une équipe de contrôle dédiée (je pense que les développeurs et quelques employés installent le nouveau système et le test mais pas plus... vu les bugs grossiers de plus en plus nombreux)

avatar totoguile | 

@mat 1696

Y à un peu de laisser aller en ce moment, c’est pas faux ...

avatar totoguile | 

Et puis faut reconnaître que c’est quand même l’un des bugs les plus risibles d’un gros éditeur de logiciel dans l’histoire de l’informatique...

avatar Ducletho | 

@totoguile

et je suis même étonné que le mot de passe stocké n’est pas crypté ? Ça doit plus se faire

avatar C1rc3@0rc | 

Il est pas stocké le mot de passe... sauf dans le cas present ou il est enregistré comme indice au moment de la creation... et qui irait chiffrer un indice???

avatar Ducletho | 

@C1rc3@0rc

Ok merci je vois la boulette maintenant

avatar adixya | 

Justement les boulettes ça arrive on va pas en faire un fromage a dire que apple est descendu en dessous de tout etc. Ils font une boulette, ils corrigent et voila c’est fini... mon dieu...

avatar fte | 

@adixya

Yep ! C’est à ça que servent les phases alpha et beta privée et publique.

Sauf que ce n’est plus une beta. C’est un système déclaré final, livré à des millions de clients, et un peu forcé au fond de nos gorges également.

Sauf que Apple n’est plus trois développeurs dans un garage. C’est la première entreprise informatique mondiale, qui déclare changer le monde avec son informatique facile et accessible.

Oui, c’est normal qu’il y ait des bugs. C’est inévitable. Mais il y a des patterns récurrentes qui se sont installées chez Apple, de livrer des composants prématurément ou de mettre des mois à corriger les problèmes. Les exemples ne manquent pas ces dernières années. Couplé à l’absence de feuille de route ou de calendrier de support clair, c’est devenu un peu perturbant. Ils s’excusent aussi, ou balancent du bullshit de justifications marketing qui ne tiennent pas deux secondes.

A chacun ses critères et exigences. Pour ma part Apple échoue cette année, assez gravement. Ce n’est pas ce bug en particulier qui me gêne, c’est la qualité globale de ce qui nous est proposé qui n’est plus acceptable. Mes exigences.

avatar C1rc3@0rc | 

La il s'agit pas d'une boulette mais d'une enormité qui a passé tous les niveaux, de la creation au mains du client, et les different controles qualités... tranquillement, sans stress. Et si cela etait un probleme exceptionnel, mais non il s'ajoute a la plethore de bug, dystonctions et autres anormalités qui accompagnent et MacOS 10.13 et iOS 11...

On peut etre fanatique et refuser de voir la realité du monde, mais quand meme y a des limites. Apple a un tres gros probleme, et c'est systémique.

avatar Doctomac | 

Et sinon le bug de la vérification du firmware durant l’installation sur certaines configurations....

avatar C1rc3@0rc | 

C'est pas un bug c'est une "feature"
On appelle ça aussi un procede d'obsolescence programmée qui s'active un peu trop tot

avatar Kabrice | 

915Mo! Ça doit contenir un peu plus que la correction du bug du mot de passe.

avatar macam | 

@kabrice :
Bien vu.?

avatar lauraffaire | 

Que dire si même des pointures laissent passer une telle bourde ? l’erreur est humaine je suppose ...

avatar Armaniac | 

Est-ce que quelqu'un sait où on en est de la correction du bug qui fait que le trousseau affiche ses mots de passe en clair? Je n'ai rien vu passer comme correctif à ce sujet là...

avatar r e m y | 

@Armaniac

C'est pas ce qui est cité en fin d'article:
"puis elle corrige une autre vulnérabilité qui permettait à un malandrin de récupérer l'identifiant et le mot de passe des comptes stockés dans le trousseau."?

avatar Armaniac | 

Ah exact, my bad, j'avais lu trop vite.

avatar Madalvée | 

C'est quand même une petite preuve de sérieux, les problèmes ne sont pas (plus?) traités par le mépris. En d'autre temps on aurait sorti un communiqué pour dire que ce n'était pas si grave.

avatar Doctomac | 

Ah, il y est mentionné «  improving the update's installer. »

avatar chouchoutnt | 

Je suis le seul à ne pas voir la mise à jour sur le Mac AppStore ?

avatar scanmb (non vérifié) | 

@chouchoutnt

Votre hdd n’est pas en afps ...

avatar iVador | 

Apple est réactif ! Bravo !

avatar macam | 

ivador qui félicite Apple : ce jour est à marquer d'une pierre blanche.

avatar r e m y | 

@iVador

Le bug était corrigé avant même qu'on en apprenne l'existence (les fichiers inclus dans la nouvelle version de l'installeur de HighSierra sont datés du 2 octobre)... donc Apple y travaillait peut-être depuis plusieurs semaines deja!

avatar fte | 

@r e m y

"donc Apple y travaillait peut-être depuis plusieurs semaines deja!"

Donc ils ont laissé ce bug sortir en toute connaissance de cause ?

Je ne sais pas ce que je préfère : un tas de bugs graves non détectés avant livraison (précipitée), ou un tas de bugs graves détectés mais livrés quand-même ?

Savaient-ils pour les soucis d’installation et de mise à jour firmware ? J’espère que non ! Enfin, j’espère, holly molly ce que j’en suis réduit à espérer, j’hallucine.

Je crois que je préfère ne pas trop savoir ce qui se passe chez Apple, je doute que ça me plaise et me mette de bonne humeur.

Conclusion de ces livraisons récentes : 0 confiance, attendre plusieurs mois avant d’adopter les dernières révisions.

avatar r e m y | 

@fte

Il est évident que lorsqu'une version sort (que ce soit un OS ou une application), il reste des bugs en cours de résolution, la version .1 étant déjà en développement et test pour les corriger au moment de la diffusion de la version .0 (et la version .2 est probablement deja en phase alpha en incluant des correctifs sur des problèmes dont il a été considéré qu'ils pouvaient n'être résolus que quelques semaines pus tard).
Si le developpeur attendait que tous les bugs soient corrigés pour diffuser son produit, il ne le sortirait jamais.

Maintenant, c'est pas faute d'avoir averti de ne pas se précipiter sur HighSierra... mais heureusement qu'il y en a toujours pour essuyer les plâtres.?

avatar fte | 

@r e m y

"Si le developpeur attendait que tous les bugs soient corrigés pour diffuser son produit, il ne le sortirait jamais."

Certes. Je m’interroge néanmoins sur le processus de classification des bugs acceptables et inacceptables. Il y a clairement des trucs qui sont passés et qui causent quelques troubles majeurs. On parle d’un OS destiné à des millions de clients.

Mais en effet. Nous avions prévenu. ?

Je ne m'attendais pas à avoir à ce point raison cependant.

avatar zarkossil | 

Hein ?! C’est une blague ?? Sauvegarder, supprimer, reformater pour régler le problème ? Elle est très loin de régler tous les problèmes cette maj ! Merci bien qd c le volume principal, un vrai bonheur. Quelle merde

avatar marc_os | 

@zarkossil :
Sauf que ça ne concerne pas le volume de démarrage pas cryptable de cette manière (si j'ai bien lu les brèves précédentes à ce sujet).

avatar Rom 1 | 

Bien fait d’attendre avant d’installer High Sierra, il est à mon avis plus sage d’attendre la 10.13.1 ou .2.

avatar yngve | 

@Rom 1

En effet on attend la 12....

Pages

CONNEXION UTILISATEUR