macOS High Sierra : la root est ouverte à tous ! [Une solution]
Mise à jour — Apple promet un correctif.
C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.
La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).
Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.
Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.
Une solution pour éviter les problèmes
Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.
Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.
Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…
@ThonyF
Merci pour l’explication !
@ThonyF
C’est exactement ça !
@Bigdidou
Heu... c’est juste le cas depuis panter. Qu’avez-vous fait pendant tout ce temps ?
Comme quoi la sécurité pour beaucoup, c’est juste de taper son mot de passe à l’ouverture de l’ordi. Une histoire dans la tête, pour se rassurer, peu importe la réalité.
Donc mettre un accès « invité » sans avoir administré au préalable correctement un ordinateur (et donc réglé le compte root comme il se doit) est envisageable ?
Décidément en informatique c’est vraiment « passé moi le lance flamme que j’allume le barbecue et si la maison brûle, je crierai au scandale du fournisseur ! »...
Ça ne veut pas dire que les devs n’ont pas créés un comportement anormal. Mais toutes les pleureuses qui viennent nous expliquer que c’est un drame alors qu’ils ont sciemment laissé la porte ouverte depuis des années...
@Nesus
"Heu... c’est juste le cas depuis panter. Qu’avez-vous fait pendant tout ce temps ? "
J'ai lu ce qu'Apple m'explique à ce propos, et vous (root désactivé par défaut)?
https://support.apple.com/fr-fr/HT204012
Je vous renvoie votre petit couplet pour usage, sinon.
@Nesus
Oui mais un pirate sait ce qu'est une connexion en root. On s'en fout que l'utilisateur de base ne le sache pas...
@DarthThauron
Pour être précis, un pirate qui dans ce cas doit avoir un accès physique au mac avec une session déverrouillée...
@Domsware
Pas forcément... L'accès physique n'est pas nécessaire... un serveur web mal sécurisé avec un accès en écriture pour installer un script php permet d'accéder à une cession root surtout si le mot de passe de ce dernier est connu, en l'occurence vide, vu que c'est manifestement la faille telle qu'elle est décrite ici...
@Nesus
Bien sûr que non. Oui on connaît bien évidemment root comme sous Linux mais a partir du moment où il ya "sudo" il n'y a forcément pas de mot de passe root. Et si on en mets un on utilise plus "sudo" et j'ai toujours entendu dire que le système était plus sécurisé avec sudo qu'en rentrant en session root. CQFD
Enfaite, la premier fois que tu tape root et que tu mais un mot de passe il te le met faut et à la deuxième tentative il prend bien en compte ce que tu as tapé dans les champs juste avant.
C'est valable que si le compte root est désactiver. donc, petit bug mais, grosse faille niveau sécurité pour ceux que le compte root n'est pas activé.
@ThonyF
Aïe... z'avez un peu de collyre SVP ?
Rolala la bourde de l’année..
Monstrueux...
J'ai pas vérifié, mais otez moi d'un doute affreux, le root est tout de même pas activé par défaut sans mot de passe ?
Quelqu'un a essayé d'entrer sans une session root directement, en laissant le mot de passe vide ?
Non, je l'explique un peut plus haut.
Le pire est qu’il y a encore quelques résidus de fanboys radicaux pour nous expliquer que ce n’est rien :)
@Steve Molle
Personne ici ne dit que c’est rien. Faut pas voir des fanboys partout
@Lestat1886
"Personne ici ne dit que c’est rien."
Relis un peu
Ah ben non, désolée, impossible de reproduire ce bug sur mon Macbook 2015 sous High Sierra. Dès lors que l'utilisateur root est désactivé, ce bug n'est pas reproductible...
D'ailleurs je ne suis pas la seule, y'a des commentaires au tweet initial qui n'arrivent pas à reproduire ce bug non plus. Pour qu'il fonctionne faut que root soit activé. Pas de root, pas de bug.
@Macounette
"Pour qu'il fonctionne faut que root soit activé. Pas de root, pas de bug."
Sauf que je ne l'ai jamais activé, et le bug fonctionne parfaitement chez moi.
je suis désoler de vous contre dire mais, c'est lors que root est désactiver que le bug ce produit.
Chez moi il était activer avec un mot de passe que j'avais mis et impossible de faire le bug.
Puis, j'ai désactiver root et assez et la ça à bien fonctionné
C'est tout le contraire en ce qui me concerne. J'essaie de reproduire le bug, je tape "root" et pas de mot de passe......... rien ne se passe.
faut suivre l'article. avant de taper Déverrouiller il faut sélectionner (avec la souris) la case mot de passe. et la deuxième fenêtre va s'ouvrir.
@marenostrum, je n'ai pas de 2ème fenêtre. Mais même en sécurisant root avec un mot de passe, à partir du moment où on le désactive, et qu'on sélectionne la case mot de passe comme tu dis, le bug revient... seule solution, activer et sécuriser le user root...
tout à fait, on doit plus désactiver l'utilisateur root. mais ça sera vite réglé par Apple je pense. demain soir peut-être, comme l'ont fait pour l'autre bug.
OK, j'ai activé root, et là oui, le bug est reproductible.
... et en le re-désactivant, le bug reste. Bingo.
moi je me rappelle y a très longtemps (2005 peut-être) j'avais activé un compte root, mais avec un mot de passe. là j'ai pu le reproduire, mais le compte root était sans mot de passe, dès que j'ai mis un mot de passe, ça ne marche plus.
Hé bien je n'aurais jamais pensé dire ça il y a un ou deux ans, mais je vais définitivement adopter le réflexe d'attendre la version .4 de l'OS avant de mettre à jour. Si j'étais Federighi, je me poserais des sérieuses questions sur les bases de l'OS, plutôt que de me concentrer sur les émojis...
@Armaniac
Qu’est-ce que ça a à voir les emojis, vu l’équipe d’Apple l’un n’empêche pas l’autre.
Des têtes vont tomber...
A priori rien, je te l'accorde.
Mais ce genre de découverte ne fait que conforter, à tort ou à raison, cette impression qu'Apple se détourne des soucis de sécurité et d'architecture. Evidemment on peut arguer que refonder le système de fichiers, c'est refonder directement les bases du système ; mais comme je l'explique plus haut, cela ne devrait en aucun cas impacter la sécurité : ce sont deux choses bien différentes.
En bref : plutôt que d'occuper les effectifs à dessiner de nouveaux joujoux, ils feraient mieux d'embaucher quelques bonnes brutasses en sécurité, ça ne leur feraient pas du mal ; c'est même le moins qu'on puisse dire. S'ils peuvent se permettre les deux, tant mieux, mais le second est clairement plus important que le premier. Et en l'état actuel de sa communication, Apple donne l'impression inverse.
@Armaniac
C’est vrai mais j’imagine que lrs designers des emojis ne sont pas ceux responsables de ka sécurité du système ! Enfin vu cette faille on peut en douter ?
? Faites des bijoux, des vêtements ou des tasses à café, je sais pas moi !
Le pire, c'est qu'ils l'ont déjà fait... ?
C’est vraiment devenu une blague Apple, ce me rend triste :(
Ah ça, quand un fabricant de téléphones essaye de faire des ordinateurs. Ils devraient rester dans leur cœur de métier.
:-)
ils ont viré apparement le seul mec compétent, qui tenait avant la baraque.
Ils se sont gourés de système, il fallait faire ça sur iOS ! Avec tous ceux qui rêvent d'avoir l'accès root, ça en aurait fait des heureux. Décidément macOS est le parent pauvre du florissant iOS.
J'ai mis root comme mot de passe ...
Ils ont touché le fond là...
Si effectivement ca semble fonctionner pour les gens qui n'ont jamais crée un utilisateur root, pour ceux qui ont l'ont fait et ont défini un MDP sur cet utilisateur, la manip ne fonctionne pas et le Mac est sécurisé
Le Mac est devenu pour apple la dernière roue du carrosse ???.
Une incroyable forteresse dont on laisse trainer les clés sous un pot de fleurs.
Ce n'est qu'un bug, mais pas des moindres.
...
heureusement qu'il faut quand même un accès physique/avoir déjà un compte mais.. bon... Bref... ça rassure pas sur le niveau de gaffe dans d'autres parties du système.
Cela serait très gênant dans un parc de mac en milieu universitaire ("youhou, c'est overwatch time les mecs !")
@oomu
"Cela serait très gênant dans un parc de mac en milieu universitaire"
Ben, pour moi, c'est en milieu médical, là.
Tu vois l'angoisse.
ce sont des machine en accès au public ou à des gens n'ayant pas à avoir accès aux comptes des autres ? (données sensibles, etc)? Quel est le contexte de l'usage du mac dans votre cas ?
Je connais surtout l'université/grande école, donc bon, je vois bien des étudiants s'en donnant à coeur joie. J'aimerais beaucoup avoir votre vision du problème et votre usage du mac.
@oomu
"ce sont des machine en accès au public ou à des gens n'ayant pas à avoir accès aux comptes des autres ? (données sensibles, etc)? Quel est le contexte de l'usage du mac dans votre cas ?"
Aucun accès public, pour le reste, ça dépend.
Les médecins ont des machines personnelles.
Mon portables est dans mon bureau dont l'accès est controlé par une serrure à carte avec une historique., comme tous les locaux. Mes collègues y ont accès, ainsi que certains personnels de ménage.
Les infirmiers et les rééducateurs sauf les psychologues et la neuropsychologue ont des machines communes fixes ou portables.
Elles servent essentiellement à l'accès serveur au logiciel patients sur un bureau virtuel, et où chacun a un compte perso (je suis l'admistrateur du truc) ainsi qu'à l'espace commun et personnel sur le serveur. Quand personne ne s'amuse à lancer un ransomware en se demandant ce qu'il peut bien y avoir dans le dossier spam, ça se passe bien.
Nous ne sommes que deux médecins à avoir un mac, tout le monde a un pc.
L'espace commun serveur contient les ressources documentaires communes (procédures, qualité...) et chacun a un espace personnel où il met ses documents persos et ses cr provisoires en attendant qu'il soient inclus dans la base de donnés patients, très sécurisés avec objectif zéro papier et zero document patient électronique qui "traine".
Par contre, le temps de la rédaction, les documents sont sur mon mac, c'est la grosse vulnérabilité sécurité.
Et puis j'ai mes mails, gros soucis, ça, les mails avec les correspondants externes.
Mais cette partie là, n'est pas sur le réseau interne bien sûr.
Globalement, c'est très sécurisé sauf si mon mac est vulnérable sur le réseau...
Un autre souci, c'est que quand je suis d'astreinte, je ramène mon mac à la maison le soir, pour avoir l'accès vpn si j'ai besoin de consulter un dossier pour prendre une décision ou prescrire à distance.
Bon, personne utilise mon mac à la maison, sauf en vacance, mais j'ai fait le vide, donc ça va.
Je suis très embêté par ces vulnérabilités, parce que mon mac est quand même sur le réseau, si une faille rend le contenu du mac accessible, c'est très embêtant; en cas de ransomware par exemple. Nous en sommes à deux attaques, sauvés par une sauvegarde externalisée 5 fois par jour, mais qui s'était étendues, surtout la première comme une trainée de poudre, s'attaquant à tout ce qui était sur le réseau, faisant fi des protections par utilisateur. Mon mac avait été épargné, mais il n'est pas sauvegardé de façon externalisé : le jour ou il est atteint, il y a toute chance pour que ça se propage aux sauvegardes externes locales.
Nous avons eu affaire à de la malveillance interne aussi, d'un personnel renvoyé pour autre chose et qui s'était vengé avant de partir...
Je peux me faire voler mon mac dans le métro, aussi.
Bref, cette faille en elle même me concerne peu sur le professionnel mais une faille réseau qui rendrait accessible le contenu de mon mac, un peu plus, ou pire, qui fragiliserait toute la sécurité du réseau de l'établissement.
Et là, j'ai vraiment pas (plus) confiance.
A la mason, c'est différent; mais moins dramatique.
Les gamins seront au courant de la faille demain (le mercredi, ils ont droit à leurs ordinateurs et internet perso), et ils vont forcément tester sur le mac commun.
Pour s'apercevoir que papa est très réactif et que - le compte root a un mot de passe :D
@Bigdidou
Yooouuuu ! C'est Surgeon Simulator time les gars !
Dur ! :/
@Bigdidou
Il y a un mot de passe sur ces macs? Le compte Guest est désactivé ?
Si la réponse est oui a ces deux questions tu deux dormir relativement tranquillement et faire ce qui est dit dans l’article demain à la première heure :)
@Lestat1886
"Si la réponse est oui a ces deux questions tu deux dormir relativement tranquillement et faire ce qui est dit dans l’article demain à la première heure :)"
Oui, le compte guest est activé pour éventuellement se dpanne enre collègues, mais bon. D'abord, cette faille ne semble pas active à partir d'un compte guest (à vérifier), d'autre part mes deux collègues sont des gens responsables.
La faille en elle même ne m'inquiète pas là, tout de suite forcément, mais c'est le deuxième gag de suite, quand même.
Je finis par rejoindre ceux qui pensent qu'il y a un problème systémique avec HS et pas seulement des bugs fortuits.
Du coup, oui, ça m'inquiète.
@Bigdidou
Oui, C’est vrai que c’est assez hallucinant comme bug!
Pages