High Sierra : quand la faille root était présentée comme une solution à un bug

Stéphane Moussie |

À quelque chose malheur est bon. La faille root de High Sierra mise en lumière hier soir n’est pas uniquement un gros problème de sécurité, c’est aussi une solution à un bug du système.

C’est de cette manière innocente que la faille a été présentée le 13 novembre sur les forums d’Apple. À un utilisateur de High Sierra qui avait vu ses deux comptes administrateurs se transformer en comptes standards à cause d’un bug, un certain chethan177 a suggéré deux solutions pour retrouver les droits administrateur, dont celle-ci :

Rends-toi dans Préférences Système > Utilisateurs et groupes. Clique sur l’icône de cadenas. Quand les identifiants sont demandés, tape « root » comme nom d’utilisateur et laisse le mot de passe vide. Appuie sur entrée. Cela devrait générer une erreur, mais essaye encore avec le même nom d’utilisateur et sans mot de passe. Cela devrait déverrouiller le cadenas.

Il s’agit exactement de la faille éventée beaucoup plus largement hier et pour laquelle Apple a promis un correctif. Rétrospectivement, chethan177 avait conclu son message d’une façon savoureusement candide : « PS : la solution 2 a marché pour moi. Aucune idée du pourquoi ni du comment. J’espère que cela t’aidera. »

avatar Gu1k | 

Ce n'est pas un bug, c'est une feature.

avatar ludobubner | 

Incompétence ? Faute professionnelle ? Problème de gestion interne ? Ou ?
Dans tous les cas, cela met en valeur un gros problème au sein de l’entreprise vis-à-vis du Mac.

avatar occam | 
avatar totoguile | 

On est clairement sur la 2eme faille grotesque en quelques semaines de découverte sur High Sierra...
What a shame

avatar MacGyver | 

d'ou le nom bien trouvé: Aie Sierra

avatar occam | 

Qu'y a-t-il en commun entre High Sierra et les sous-marins de la marine argentine ?
Journée portes ouvertes.

avatar Paul_M | 

C'est de l'amateurisme total cette faille, un peu une honte pour une entreprise comme Apple.
Le nombre de bugs et failles sur High Sierra, pourtant une version "améliorée" de Sierra censée se concentrer sur performances et stabilité est une très mauvaise perf de leur part.
J'aime bien la marque et suis un bon client mais il faut savoir reconnaître un faux pas, High Sierra (et iOS 11 d'ailleurs, dont le clavier est toujours inutilisable, entre autres) en est un. J'espère que les mecs à la tête du software se sont pris un savon et qu'on aura un truc potable rapidement parce que ma confiance a ses limites.

avatar Goundy | 

@Paul_M

Problème de clavier ?? Peut tu en dire plus stp?
Car moi aussi j’ai remarqué des anomalies mais je pensais plus a une erreur utilisateur.

avatar Paul_M | 

@Goundy

Il y a un lag infernal sur le clavier des appareils plus anciens (iPhone 6 par exemple) sous iOS 11. Le problème est assez connu.

avatar NerdForever | 

C'est plus qu'Honteux!! On voit que les commerciaux du pseudo-luxe, on réussi à détruire une boîte de geeks...

avatar PierreBondurant | 

@NerdForever

C’est vrai qu’autour de Tim C, il y a plus de modeux que d’ingénieurs.
On voit le résultat sur nos machines...

avatar CrashMidnick | 

La brèche a quand même tenu plus de 2 mois, pas mal pour un erreur de sécurité aussi "grave" d'après certains. Il ne l'aurais pas découvert qu'on serait passé au système suivant sans s'en rendre compte...
Bref dans quelques jours c'est corrigé. Excusez le stagiaire du 2e sous-sol, il avait la gastro le jour de la vérif !

avatar Bigdidou | 

@CrashMidnick

" Il ne l'aurais pas découvert qu'on serait passé au système suivant sans s'en rendre compte.."
Bien sur, à moins qu'un malware tout simple nous ait pompé tous nos petits secrets et vidé ou crypté la machine en prime entre temps.

avatar Emile Schwarz | 

>chethan177
Certains devraient regarder la signification des mots (ici le nom) dans les autres langues !

Chetan est l’une des variabtes du mot Diable (Satan) dans les langues du moyen orient (voir les deux Arabes, le turc, etc.).

Bien sûr, il faut savoir / y penser…

Je me souviens d’un taggueur, à Strasbourg qui utilise Idfix (le nom du chien d’Obélix) comme signature.

avatar harisson | 

@Emile Schwarz

C'est n'importe quoi cette analyse sur le pseudo, il faudrait penser à consulter...

Il a découvert le "truc" par simples analyses et expérimentations et à poster sa solution au problème de base : la mise à jour vers HS fait perdre les droits admin à l'utilisateur principal chez certains.

Ceci dit, il y a même une personne dans le forum Apple qui insinue qu'il fait parti d'un réseau de cracker ^_^ (l'égo-individualisme exacerbé et la paranoïa sont vraiment des maux de ce siècle ...).

*Nix est vraiment malmené pour satisfaire à la logique desktop initiée par le poison Windows ^_^

avatar Emile Schwarz | 

Analyse ?

As-tu au moins vérifié ce que tu as lu ?

avatar harisson | 

@Emile Schwarz

Oui j'ai lu la news et tout le fil du forum.

Et puis la personne que tu présupposes être une "émanation de satan moyen oriental" qui a fait une recherche intensive sur tous les forums, trouver une solution et poster naïvement sur un forum publique sans comprendre ce que sa solution impliquait (divulgation du root *nix sans mot de passe).

Même genre de parano que le Connor du fil :

"We're on the Apple developer forums, so understand many would have a hard time believing you're just a normal user even when replying with "Solution 2 worked for me. No idea how or why. Hope this helps."

Who are you and what was your intention on posting a security issue on a public developer forum?

avatar pommedor | 

S'il avait été un méchant garçon il aurait su que sa solution aurait pu lui faire gagner au moins 200-300k $/€. La mettre à disposition comme ça pour rien, c'est vraiment pas un gars à classser parmis les méchants.

avatar Ducletho | 

OS X est le plus sécurisé au monde....ouaip, au moins il doit pas avoir trop de problème pour passer la douane chinoise celui là !

avatar Bigdidou | 

@Ducletho

"OS X est le plus sécurisé au monde.."
Ça, je pense toujours que c'est vrai.
Par contre, depuis qu'il,devenu macOS, j'admets que ça se discute :D

avatar Ducletho | 

@Bigdidou

Ah oui ? : Mac OS que je recopierai 100 fois

avatar ErGo_404 | 

OS X est obsolète, donc probablement moins sécurisé que les versions plus modernes.
macOS semble truffé de failles grosses comme le trou dans l'arc de triomphe.

avatar Ghaleon111 | 

L’os le plus sécurisé c’est la distribution Linux qubes os ou chaque élément est compartimenter dans une machine virtuel configurable totalement, par exemple même si un virus ou un contrôle à distance ou quoi que ce soit vient dans l’explorateur ou le navigateur web ou un logiciel, il suffit de fermer la fenêtre pour le virer!
C’est l’os utiliser par edward snowden.

avatar fte | 

@Ducletho

Le système le plus sécurisé du monde est celui ou des administrateurs sécurité s’occupent se monitorer la situation en 24/7/365, et réagissent vite et drastiquement.

Il suffit d’une seule faille pour qu’un système soit vulnérable. Qu’il y en ait 1 ou 7000 ne change rien. Aucun n’a 0 faille.

avatar Ducletho | 

@fte

Après il y a faille et faille ...
Il y a celle où tu as besoin d’une compétence pour des injections par exemples et celle qui n’en requiert aucune ...j’imagine au moins que tu ne les mets pas au même niveau ?

avatar fte | 

@Ducletho

"j’imagine"

Imagine, imagine.

Face à un attaquant sachant y faire, et c’est ceux dont il faut se méfier car ce sont ceux qui ont une motivation claire, ça ne fait guère de différence.

avatar Ducletho | 

@fte

Je te trouve bien complaisant quand il s’agit de bug pour lequel Apple fait son mea culpa. Ce qui est bien en soit, l’erreur est humaine, et c’est une qualité de reconnaître ses erreurs car ça pouvait s’admettre en 1999 mais là, les exigences en sécurité ne sont plus à prendre à la légère. Ok c’est corrigé et c’est bien

En revanche, ça te semble « t’écorcher la gueule » de l’admettre : ton monde ne va pas s’écrouler parce qu’Apple a commis une faute. Ça arrive au plus grand. Les petits restent dans le déni

avatar fte | 

@Ducletho

"En revanche, ça te semble « t’écorcher la gueule » de l’admettre"

Oh pétard une attaque personnelle ! Déjà a court d’arguments civilisés ? That escalated quickly.

avatar huexley | 

J'invite tout ceux qui ont un compte sur ces forums a aller remercier le type, il mérite d'avoir une belle note.

avatar ErGo_404 | 

Nul doute que le patch est en root.

avatar webHAL1 | 

@ErGo_404

"Nul doute que le patch est en root."

Pas mal ! ;-)

avatar ErGo_404 | 

Du coup il reste quoi comme avantage de sécurité à rester chez Apple ?
Quand je pense qu'on nous rabache sans arrêt que rien ne vaut une enclave sécurisée pour stocker son empreinte et que ça en fait le système le plus sûr du monde, franchement, à votre place, j'aurais peur à la fois pour mes empreintes et pour mon visage sur le nouvel iPhone...

avatar 06antoine | 

Tout ça est bien pathétique.

avatar cacolac75 (non vérifié) | 

je suis sous el capitan même chose donc le problème est plus grand

avatar marenostrum | 

Ils ont découvert la porte en faite. Apple doit penser la remplacer .

avatar CrashMidnick | 

La MAJ est dispo

avatar koko256 | 

"C'est de l'amateurisme total cette faille, un peu une honte pour une entreprise comme Apple."
C'est un bug dans un app avec un bit s. Comme toutes les failles qui donnent un accès root à la machine. Et il y an a eu plein dans tous les systèmes (je me souviens d'une amusante sur SunOS avec aussi un outil graphique). Celle-ci est pas pire que les autres et le fait qu'elle soit facile à mettre en œuvre ne change pas la gravité. Dans tous les cas, les script kiddies peuvent l'exploiter et les malwares peuvent l'exploiter.

avatar scanmb (non vérifié) | 

Je s’appelle Root !

avatar CorbeilleNews | 

La version Apple du problème de batterie chez Samsung !!!

Le rootgate ? inventé par Apple version killer feature ...

avatar Jeanlucesi | 

C'est la déroot chez Apple.

CONNEXION UTILISATEUR