Explications sur la grosse faille root de High Sierra

Stéphane Moussie |

Quelle est la cause de l’énorme faille root de High Sierra mise en lumière hier ? Des experts se sont penchés sur la question et ont d’ores et déjà trouvé des éléments de réponse. À la suite de ses recherches, Yoann Gini, consultant spécialiste des systèmes Apple, livre ces explications à nos confrères de Slice42 :

Le problème vient d’une fonction introduite dans la gestion des identités pour APFS et globalement de la sécurité des identités sous macOS. Il y a donc un process de mise à jour de l’ancien vers le nouveau modèle. Celui-ci intègre aussi un process pour du très ancien (pre OS X 10.4) vers le tout nouveau. Ce process n’a pas été correctement testé et permet de régler un mot de passe sur un certain type de compte.

Les comptes en question sont ceux qui utilisent le modèle pre 10.4 et qui sont désactivés selon ce mode de fonctionnement. C’est le cas de tous les comptes système. Tous les comptes systèmes peuvent donc être attaqués pour avoir un mot de passe de configuré et devenir utilisable. Ceci incluant le root ».

Autrement dit, la faille ne touche pas que le compte administrateur. Yoann Gini met en garde contre une attaque sur des services de macOS Server, notamment. En attendant le correctif promis par Apple, il faut donc mettre un mot de passe sur tous les comptes.

Le chercheur en sécurité Patrick Wardle livre une analyse technique concordante. Il récapitule le bug de la sorte :

  • Pour les comptes qui sont désactivés (c’est-à-dire qui n’ont pas de données “shadowhash”), macOS va essayer de réaliser une mise à niveau
  • Durant cette mise à niveau, l’instruction od_verify_crypt_password retourne une valeur nulle
  • Le mot de passe fourni par l’utilisateur ou l’attaquant (un malandrin, ndr) est ensuite « mis à niveau » et enregistré pour le compte

Pedro Vilaça, un autre expert en sécurité, estime que ce bug est dû à un manque de test/debug.

Tags
#macOS High Sierra #root #sécurité
avatar CrashMidnick | 

Le correctif est dispo !

avatar Paquito06 | 

@CrashMidnick

J’ai eu l’update il y a quelques minutes aussi sur mon mbp!
1,2 MB.

avatar Bilbo | 

Si j'ai bien compris, le premier mot de passe (même vide) devient le mot de passe du compte. C'est bien la peine de passer par l'utilitaire d'annuaire pour mettre un mot de passe. :-D

À+

avatar oomu | 

le fait que ces comptes soient désactivés font qu'ils n'ont pas de mot de passe (il n'est pas nécessaire d'en avoir un, on ne peut pas se logguer avec, traditionnellement)

sauf que ce mécanisme de "mise à nouveau au nouveau modèle", part du principe que c'est juste un compte sans mot de passe, et en demande un pour le configurer (!)

Bref.. après le bug de Filevault et j'en passe, on voit bien qu'Apple néglige le développement.

avatar C1rc3@0rc | 

le compte root n'est pas reelement desactivé et ne peut pas etre totalement effacé, il reste donc accessible.

Le fait que l'installateur de MacOS ne cree pas automatiquement deux comptes - un avec droit d'administrateur et un avec droits utilisateur restreint - mais un seul compte administrateur a toujours ete un faille majeure de MacOS.
Car ça veut dire que n'importe quel malware qui s'execute sur le compte de la majorité des utilisateurs (donc avec droits administrateur) n'a qu'a lancer la commande sudo passwd -u root pour avoir acces au compte root... certes l'utilisateur va devoir alors taper son mot de passe ...de session, mais la majorité des utilisateurs le fera sans se poser de question...

avatar BeePotato | 

@ C1rc3@0rc : « Le fait que l'installateur de MacOS ne cree pas automatiquement deux comptes - un avec droit d'administrateur et un avec droits utilisateur restreint - mais un seul compte administrateur a toujours ete un faille majeure de MacOS. »

Non.

avatar C1rc3@0rc | 

Si !

avatar BeePotato | 

@ C1rc3@0rc :
Toujours pas.

J'ai déjà eu plusieurs fois l'occasion de t'expliquer pourquoi. Je peux recommencer si tu le souhaites — bien que je doute fort de l'utilité de la chose. :-)

avatar C1rc3@0rc | 

@BeePotato

Essaie encore, peut etre que tu va finir par avoir quelque chose qui tient la route a la fin... ou pas.

Le probleme pour toi, c'est que justement la connerie d'Apple dont il est question demontre bien ce que je dis sur les comptes Unix et leurs ignorances dans MacOS (enfin relative puisque Apple reconnaît le truc au fond d'une technote destiné a l'utilisateur mais bien planquée sur le site du support officiel, qui d'ailleurs...)

https://support.apple.com/kb/PH25796?locale=en_CA&viewlocale=en_US

et petite merveille qui commence par un savoureux: "This article has been archived and is no longer updated by Apple."

«An administrator can add and manage other users, install apps, and change settings. The new user you create when you first set up your Mac is an administrator.

Your Mac can have multiple administrators. You can create new ones, and convert standard users to administrators.

Don’t set up automatic login for an administrator. If you do, someone could simply restart your Mac and gain access with administrator privileges. To keep your Mac secure, don’t share administrator names and passwords...»

Je met aussi un gros point d'interrogation sur le principe de pouvoir creer plusieurs comptes avec droits d'administrateurs...

Bref, pourquoi Apple ne met pas un installateur qui applique a minima ce qui est dans cette technote ignorée de l'ecrasante majorité des utilisateurs (et de toi aussi il semblerait) avec une creation automatique de comptes adminstrateurs et utilisateurs... et qui en profiterait aussi pour initialiser le mot de passe du compte Root...

avatar BeePotato | 

@ C1rc3@0rc : « Essaie encore, peut etre que tu va finir par avoir quelque chose qui tient la route a la fin... ou pas. »

Ou pas, en effet — car il n’y a pas besoin d’attendre la fin, il suffit de relire ce que je t’ai déjà expliqué plusieurs fois, qui « tient la route » depuis le début. Tu n’as d’ailleurs jamais pu apporter la moindre démonstration que c’était faux (et tu t’es bien gardé d’essayer).

« Le probleme pour toi, c'est que justement la connerie d'Apple dont il est question demontre bien ce que je dis sur les comptes Unix et leurs ignorances dans MacOS »

Ben non, justement, ça n’a rien à voir avec ce que tu nous répètes depuis tout ce temps au sujet de l’usage d’un compte administrateur sur un ordinateur personnel.

« enfin relative puisque Apple reconnaît le truc au fond d'une technote »

Il n’y a pourtant strictement rien dans cette note qui aille dans le sens de ton délire au sujet de cette prétendue « faille majeure ». Tu sembles avoir une certaine tendance voir dans un texte ce que tu voudrais y lire plutôt que ce qui y est écrit. :-)

« Je met aussi un gros point d'interrogation sur le principe de pouvoir creer plusieurs comptes avec droits d'administrateurs... »

Une démonstration de plus de ta difficulté à comprendre la gestion de la sécurité d’un OS.

« Bref, pourquoi Apple ne met pas un installateur qui applique a minima ce qui est dans cette technote »

C’est pourtant bien ce que fait l’installation de Mac OS.

« et qui en profiterait aussi pour initialiser le mot de passe du compte Root... »

Dans quel but ? Pour qu’on puisse essayer de le deviner ensuite ? ;-)

avatar C1rc3@0rc | 

@Bilbo

En fait c'est pas ça, le probleme ici c'est une connerie comme on voyait chez MS régulièrement dans le DOS et les premières versions de Windows, et qui devient cataclysmique (et source de ridiculisation totale pour Apple) du fait qu'Apple a decidé que l'utilisateur est un cretin qui ne doit jamais savoir ce qu'est un compte root...

De fait Apple n'a jamais jugé utile de demander a l'utilisateur lors de l'installation d'initialiser le mot de passe du compte root, qui pour le coup est... vide!!!

Et aujourd'hui, hop, connerie dans l'interface qui offre une faille de securité majeure et gravissime a la portée du premier cretin venu...

In fine, la tres grosse connerie c'est que MacOS n'impose pas de definir un compte administrateur et utilisateur distincts lors de l'installation de l'OS alors que MacOS est un Unix.
Et comme un Unix dispose de plusieurs niveaux de comptes selon la hierarchie des droits d'acces, - c'est un fondement des Unix incontournable - la majorité des utilisateurs se retrouvent a utiliser un compte administrateur et se baladent avec un compte root dont le mot de passe est vide.

Faut quand même se rendre compte que le niveau d’imbécilité atteint dans MacOS revient - pour n’évoquer que la question de la sécurité - a blinder une clio comme un tank (qui restreint les fonctions accessibles a l'utilisateur et lui empoisonne la vie au quotidien) tout en fixant les roues avec 2 vis sous dimensionnées et y foutant des pneus rechapés de la pire catégorie... on en est la!!!

Depuis la faille du mot de passe affiché en comme indice, ou du bug "de l'an 2000" d'iOS, évoquer la securité des OS et produits d'Apple c'est même plus passer pour un bouffon ou un guignol, c'est pulvériser les limites du ridicule...

avatar DarthThauron | 

@C1rc3@0rc

Totalement d'accord. macOS a le niveau de sécurité d'un unix pour poupée Barbie. Inadmissible de voir ce qu'il est devenu depuis 2010... une lente descente aux enfer des OS.

avatar C1rc3@0rc | 

@DarthThauron

Faut nuancer, le niveau poupee Barbie c'est les pub pour l'iPhone X et vanter la "securité" de Fake ID... ( je sais meme pas si ça existe une Barbie informaticienne...)
Avec la connerie du jour de MacOS 10.13 on en est au niveau de Windows 3 ou 95 plutot...

avatar Steve Molle | 

@C1rc3@0rc

Et encore tu es gentil...

avatar BeePotato | 

@ C1rc3@0rc : « Avec la connerie du jour de MacOS 10.13 on en est au niveau de Windows 3 ou 95 plutot... »

J'aurais plutôt dit Windows 98. Celui qui permettait d'accéder aux dossiers partagés protégés par mot de passe en envoyant un mot de passe vide. :-)

Dans tous les cas, la présence de ce bug dans High Sierra était pitoyable et inexcusable, on est bien d'accord.

avatar Bigdidou | 

@BeePotato

"J'aurais plutôt dit Windows 98. Celui qui permettait d'accéder aux dossiers partagés protégés par mot de passe en envoyant un mot de passe vide. :-)"

Est-ce qu'à l'époque on a crié à,des complots diabolique ou évoqué que le développement de windows était confié à une équipe de quelques stagiaires ?

avatar BeePotato | 

@ Bigdidou : « Est-ce qu'à l'époque on a crié à,des complots diabolique ou évoqué que le développement de windows était confié à une équipe de quelques stagiaires ? »

Je ne crois pas me souvenir d’histoires de complots diaboliques.
En revanche, la remarque comme quoi ce système était développé par une équipe de bras cassés, ça, oui. Mais vu qu’on s’en doutait déjà depuis toujours, ça n’a pas surpris grand monde. :-)

avatar C1rc3@0rc | 

@BeePotato

Hun concernant le complot diabolique il a ete officialisé et condamne par la justice, c'etait celui de l'association de malfaiteurs connue sous le pseudonyme Wintel... Et sinon, il avait bien ete denoncé pendant des annees aussi.

avatar BeePotato | 

@ C1rc3@0rc : « Hun concernant le complot diabolique il a ete officialisé et condamne par la justice, c'etait celui de l'association de malfaiteurs connue sous le pseudonyme Wintel... »

Ce qui n’a strictement rien à voir avec ce dont on discutait ici.

Donc non, pas de souvenir d’histoire de complote diabolique au sujet de cette faille à l’époque.

avatar marc_os | 

« Ce bug est dû à un manque de test/debug »
Mais qu'il est perspicace ce Pedro Vilaça ! :D

avatar kinou_ | 

@marc_os
Est-ce que tout ceux qui ce sont fait la même remarque peuvent se définir comme étant des "experts en sécurité" à présent ? :-)

avatar bibi81 | 

Non, plutôt comme des experts en vérification. Je comprends mieux maintenant pourquoi il y a des postes de vérificateurs qui sont ouverts chez Apple !!

avatar jackhal | 

Je me suis fait à peu près la même réflexion
https://vignette.wikia.nocookie.net/desencyclopedie/images/0/06/Captain_obvious.jpeg/revision/latest?cb=20140913185154

avatar adixya | 

Une « faille majeure », « cataclysmique », je vois que la nuance et le discernement sont de retour :p

avatar DarthThauron | 

Le compte root est une nécessité sur tous les systèmes reposant sur une architecture unix, y compris iOS... seul le mot de passe est ou non rendu inaccessible pour déverrouiller le compte. Si l'on déplombe le mot de passe usine on arrive à une faille. C'est un peu ce qui se passe avec Le bug actuel. À vouloir tout masquer, Apple crée des failles grossières. Je ne suis pas surpris, surtout quand la priorité est donnée au bling bling et aux ibidules... Et aux vaisseaux-mère extra-terrestres...

avatar marenostrum | 

C’est le bling bling qui fait vendre, pas la sécurité du système. Eux qui cherchent la sécurité, passent sur des systèmes sur mesure. Comme le font plusieurs gouvernements étrangers.

avatar BeePotato | 

@ DarthThauron : « Si l'on déplombe le mot de passe usine on arrive à une faille. C'est un peu ce qui se passe avec Le bug actuel. »

Pas vraiment, non.

« À vouloir tout masquer, Apple crée des failles grossières. »

La faille qui vient d'être corrigée ne trouvait pas son origine dans le fait de masquer le compte root (ce qui est fait depuis les débuts de Mac OS X et n'a pas posé de problème, et se retrouve même adopté par certains Linux).

avatar melaure | 

Il n'y a pas de complot, la plus grosse bêtise d'Apple est de vouloir sortir un OS par an ... on ne peut que avoir un gros merdier a ce rhytme ...

avatar r e m y | 

@melaure

One more bug... an amazing one, the best bug we have created, ever!
Can't innovate anymore? My ass!

CONNEXION UTILISATEUR