High Sierra : quand la faille root était présentée comme une solution à un bug
À quelque chose malheur est bon. La faille root de High Sierra mise en lumière hier soir n’est pas uniquement un gros problème de sécurité, c’est aussi une solution à un bug du système.
C’est de cette manière innocente que la faille a été présentée le 13 novembre sur les forums d’Apple. À un utilisateur de High Sierra qui avait vu ses deux comptes administrateurs se transformer en comptes standards à cause d’un bug, un certain chethan177 a suggéré deux solutions pour retrouver les droits administrateur, dont celle-ci :
Rends-toi dans Préférences Système > Utilisateurs et groupes. Clique sur l’icône de cadenas. Quand les identifiants sont demandés, tape « root » comme nom d’utilisateur et laisse le mot de passe vide. Appuie sur entrée. Cela devrait générer une erreur, mais essaye encore avec le même nom d’utilisateur et sans mot de passe. Cela devrait déverrouiller le cadenas.
Il s’agit exactement de la faille éventée beaucoup plus largement hier et pour laquelle Apple a promis un correctif. Rétrospectivement, chethan177 avait conclu son message d’une façon savoureusement candide : « PS : la solution 2 a marché pour moi. Aucune idée du pourquoi ni du comment. J’espère que cela t’aidera. »
Ce n'est pas un bug, c'est une feature.
Incompétence ? Faute professionnelle ? Problème de gestion interne ? Ou ?
Dans tous les cas, cela met en valeur un gros problème au sein de l’entreprise vis-à-vis du Mac.
@ludobubner
https://xkcd.com/1700/
On est clairement sur la 2eme faille grotesque en quelques semaines de découverte sur High Sierra...
What a shame
d'ou le nom bien trouvé: Aie Sierra
Qu'y a-t-il en commun entre High Sierra et les sous-marins de la marine argentine ?
Journée portes ouvertes.
C'est de l'amateurisme total cette faille, un peu une honte pour une entreprise comme Apple.
Le nombre de bugs et failles sur High Sierra, pourtant une version "améliorée" de Sierra censée se concentrer sur performances et stabilité est une très mauvaise perf de leur part.
J'aime bien la marque et suis un bon client mais il faut savoir reconnaître un faux pas, High Sierra (et iOS 11 d'ailleurs, dont le clavier est toujours inutilisable, entre autres) en est un. J'espère que les mecs à la tête du software se sont pris un savon et qu'on aura un truc potable rapidement parce que ma confiance a ses limites.
@Paul_M
Problème de clavier ?? Peut tu en dire plus stp?
Car moi aussi j’ai remarqué des anomalies mais je pensais plus a une erreur utilisateur.
@Goundy
Il y a un lag infernal sur le clavier des appareils plus anciens (iPhone 6 par exemple) sous iOS 11. Le problème est assez connu.
C'est plus qu'Honteux!! On voit que les commerciaux du pseudo-luxe, on réussi à détruire une boîte de geeks...
@NerdForever
C’est vrai qu’autour de Tim C, il y a plus de modeux que d’ingénieurs.
On voit le résultat sur nos machines...
La brèche a quand même tenu plus de 2 mois, pas mal pour un erreur de sécurité aussi "grave" d'après certains. Il ne l'aurais pas découvert qu'on serait passé au système suivant sans s'en rendre compte...
Bref dans quelques jours c'est corrigé. Excusez le stagiaire du 2e sous-sol, il avait la gastro le jour de la vérif !
@CrashMidnick
" Il ne l'aurais pas découvert qu'on serait passé au système suivant sans s'en rendre compte.."
Bien sur, à moins qu'un malware tout simple nous ait pompé tous nos petits secrets et vidé ou crypté la machine en prime entre temps.
>chethan177
Certains devraient regarder la signification des mots (ici le nom) dans les autres langues !
Chetan est l’une des variabtes du mot Diable (Satan) dans les langues du moyen orient (voir les deux Arabes, le turc, etc.).
Bien sûr, il faut savoir / y penser…
Je me souviens d’un taggueur, à Strasbourg qui utilise Idfix (le nom du chien d’Obélix) comme signature.
@Emile Schwarz
C'est n'importe quoi cette analyse sur le pseudo, il faudrait penser à consulter...
Il a découvert le "truc" par simples analyses et expérimentations et à poster sa solution au problème de base : la mise à jour vers HS fait perdre les droits admin à l'utilisateur principal chez certains.
Ceci dit, il y a même une personne dans le forum Apple qui insinue qu'il fait parti d'un réseau de cracker ^_^ (l'égo-individualisme exacerbé et la paranoïa sont vraiment des maux de ce siècle ...).
*Nix est vraiment malmené pour satisfaire à la logique desktop initiée par le poison Windows ^_^
Analyse ?
As-tu au moins vérifié ce que tu as lu ?
@Emile Schwarz
Oui j'ai lu la news et tout le fil du forum.
Et puis la personne que tu présupposes être une "émanation de satan moyen oriental" qui a fait une recherche intensive sur tous les forums, trouver une solution et poster naïvement sur un forum publique sans comprendre ce que sa solution impliquait (divulgation du root *nix sans mot de passe).
Même genre de parano que le Connor du fil :
"We're on the Apple developer forums, so understand many would have a hard time believing you're just a normal user even when replying with "Solution 2 worked for me. No idea how or why. Hope this helps."
Who are you and what was your intention on posting a security issue on a public developer forum?
S'il avait été un méchant garçon il aurait su que sa solution aurait pu lui faire gagner au moins 200-300k $/€. La mettre à disposition comme ça pour rien, c'est vraiment pas un gars à classser parmis les méchants.
OS X est le plus sécurisé au monde....ouaip, au moins il doit pas avoir trop de problème pour passer la douane chinoise celui là !
@Ducletho
"OS X est le plus sécurisé au monde.."
Ça, je pense toujours que c'est vrai.
Par contre, depuis qu'il,devenu macOS, j'admets que ça se discute :D
@Bigdidou
Ah oui ? : Mac OS que je recopierai 100 fois
OS X est obsolète, donc probablement moins sécurisé que les versions plus modernes.
macOS semble truffé de failles grosses comme le trou dans l'arc de triomphe.
L’os le plus sécurisé c’est la distribution Linux qubes os ou chaque élément est compartimenter dans une machine virtuel configurable totalement, par exemple même si un virus ou un contrôle à distance ou quoi que ce soit vient dans l’explorateur ou le navigateur web ou un logiciel, il suffit de fermer la fenêtre pour le virer!
C’est l’os utiliser par edward snowden.
@Ducletho
Le système le plus sécurisé du monde est celui ou des administrateurs sécurité s’occupent se monitorer la situation en 24/7/365, et réagissent vite et drastiquement.
Il suffit d’une seule faille pour qu’un système soit vulnérable. Qu’il y en ait 1 ou 7000 ne change rien. Aucun n’a 0 faille.
@fte
Après il y a faille et faille ...
Il y a celle où tu as besoin d’une compétence pour des injections par exemples et celle qui n’en requiert aucune ...j’imagine au moins que tu ne les mets pas au même niveau ?
@Ducletho
"j’imagine"
Imagine, imagine.
Face à un attaquant sachant y faire, et c’est ceux dont il faut se méfier car ce sont ceux qui ont une motivation claire, ça ne fait guère de différence.
@fte
Je te trouve bien complaisant quand il s’agit de bug pour lequel Apple fait son mea culpa. Ce qui est bien en soit, l’erreur est humaine, et c’est une qualité de reconnaître ses erreurs car ça pouvait s’admettre en 1999 mais là, les exigences en sécurité ne sont plus à prendre à la légère. Ok c’est corrigé et c’est bien
En revanche, ça te semble « t’écorcher la gueule » de l’admettre : ton monde ne va pas s’écrouler parce qu’Apple a commis une faute. Ça arrive au plus grand. Les petits restent dans le déni
@Ducletho
"En revanche, ça te semble « t’écorcher la gueule » de l’admettre"
Oh pétard une attaque personnelle ! Déjà a court d’arguments civilisés ? That escalated quickly.
J'invite tout ceux qui ont un compte sur ces forums a aller remercier le type, il mérite d'avoir une belle note.
Nul doute que le patch est en root.
@ErGo_404
"Nul doute que le patch est en root."
Pas mal ! ;-)
Du coup il reste quoi comme avantage de sécurité à rester chez Apple ?
Quand je pense qu'on nous rabache sans arrêt que rien ne vaut une enclave sécurisée pour stocker son empreinte et que ça en fait le système le plus sûr du monde, franchement, à votre place, j'aurais peur à la fois pour mes empreintes et pour mon visage sur le nouvel iPhone...
Tout ça est bien pathétique.
je suis sous el capitan même chose donc le problème est plus grand
Ils ont découvert la porte en faite. Apple doit penser la remplacer .
La MAJ est dispo
"C'est de l'amateurisme total cette faille, un peu une honte pour une entreprise comme Apple."
C'est un bug dans un app avec un bit s. Comme toutes les failles qui donnent un accès root à la machine. Et il y an a eu plein dans tous les systèmes (je me souviens d'une amusante sur SunOS avec aussi un outil graphique). Celle-ci est pas pire que les autres et le fait qu'elle soit facile à mettre en œuvre ne change pas la gravité. Dans tous les cas, les script kiddies peuvent l'exploiter et les malwares peuvent l'exploiter.
Je s’appelle Root !
La version Apple du problème de batterie chez Samsung !!!
Le rootgate ? inventé par Apple version killer feature ...
C'est la déroot chez Apple.