macOS 10.13 : une mise à jour pour la faille de sécurité APFS

Mickaël Bazoge |

Apple livre ce soir une mise à jour "supplemental" pour macOS 10.13 qui corrige la grosse faille de sécurité apparue ce matin qui révèle le mot de passe des volumes APFS. Jusqu'à présent, High Sierra affichait non pas l'indice du mot de passe, mais… le mot de passe tout court du volume APFS chiffré !

« toto » n'est pas l'indice, mais le mot de passe…

Dans une note support, Apple demande de mettre à jour le Mac évidemment, puis de sauvegarder les données contenues dans le volume chiffré, de l'effacer et de le reformater en APFS chiffré avec Utilitaire de disque. Et cette fois, le logiciel ne va pas confondre le mot de passe avec son indice.

Cette mise à jour, à récupérer depuis le Mac App Store, apporte également des correctifs concernant un bug de curseur avec InDesign, elle éradique un problème avec les comptes mail Yahoo qui empêchaient la suppression des messages. Et puis elle corrige une autre vulnérabilité qui permettait à un malandrin de récupérer l'identifiant et le mot de passe des comptes stockés dans le trousseau.

avatar r e m y | 

Et le bug qui convertit en APFS chiffré les disques HFS+ dès qu'on demande leur chiffrement, pas corrigé?

avatar mat 1696 | 

@r e m y

Bonne question, qqn a testé?

avatar langeles | 

Moi je n’arrive toujours pas à utiliser mon Apple Watch pour le déverrouillage :(

avatar iVador | 

Bordel j’ai écran noir suite à la mise à jour ...

avatar macam | 

Les risques du hackintosh. ?

avatar Ducletho | 

Mais c’est une fake news ! C’est pas possible ! Afficher le mdp directement ? WTF ? C’est à mourir de rire.

avatar marenostrum | 

ça montre qu'il ne savent plus choisir les employés. Jobs connaissait par cœur les 100 premiers employés de la maison (c'est lui qui les avait embauchés). les incapables les virait direct, des qu'il croisait quelqu'un d'eux dans un couloir, il lui disait, à midi je ne veux plus de voir ici. il était intraitable, d'où le succès qui a suivi.
Cook est plus humain apparement. en plus c'est un salarie comme les autres. il a été embauché lui même. rien à voir avec Jobs.

avatar Ducletho | 

@marenostrum

Je ne pense pas que les dev soient mauvais. Je pense surtout que c’est un pb dans l’organisation des différentes divisions software.
J’imagine qu’avec trop d’os à faire évoluer conjointement, il doit manquer de ponts.

avatar the_curious | 

@marenostrum

Non mais arrêtez avec votre jobs... cherches le nom qu’il voulait donner au premier iPhone et tu changeras d’avis

avatar Le docteur | 

On est d'accord, ils ne parlent pas du volume système, j'espère, là?

avatar iNicolas1721 | 

Il faut vraiment réinstaller le système ?? Tout re-formater et tout ?

avatar Ducletho | 

@iNicolas1721

Oui c’est clairement écrit

avatar marc_os | 

@ iNicolas1721
NON !! (Faudrait arrêter de dire des conneries.)
Pourquoi ?
Parce que ça ne concerne pas le "disque système" en général, mais les partitions ajoutées via l'utilitaire de disque (à moins peut-être que tu aies créé une telle partition cryptée et que tu aies installé ensuite un système dessus, si tant est que ça soit possible).
Cf. la technote d'Apple:
« Your password might be displayed instead of your password hint if you used the Add APFS Volume command in Disk Utility to create an encrypted APFS volume, and you supplied a password hint. »

avatar iNicolas1721 | 

@marc_os

Ha ouf je me disais aussi c’est pas possible !! Bref encore merci d’avoir éclairer ma lanterne ?

avatar iNicolas1721 | 

Je viens d'essayer sur mon mac à l'instant et je n'ai pas encore fait la mise a jour... Je n'ai pas ce problème... J'ai créé une nouvelle partition APFS chiffré avec un mot de passe et un indice et il me donne l'indice et pas le mot de passe...

avatar A884126 | 

Sérieux ? Il faut tout formater de nouveau ?! Moi qui avait une clean install.

avatar Nesus | 

@A884126

Une sauvegarde Time machine va suffire. Donc c’est pas non plus la mort. C’est juste du temps de perdu. C’était écrit de toute manière qu’APFS allait apporter des problèmes. C’est pas faute d’avoir été prévenu par pléthore d’intervenants. Même ici. Un changement aussi lourd génère forcément des bugs. Et ça va continuer, faut pas rêver.

avatar BeePotato | 

@ A884126 : « Sérieux ? Il faut tout formater de nouveau ?! »

Non.
Ce qu’il faut faire, c’est lire la note technique dont le lien est donné dans l’article, et qui explique précisément dans quel cas on est concerné et ce qu’il faut faire alors.

Cette note précise que ne sont concernés que les volumes APFS chiffrés qui ont été ajoutés via la fonction dédiée dans l’Utilitaire de disque (et apparemment, seulement si on a fourni un indice de mot de passe).
Tel que c’est décrit, ça ne devrait pas concerner le volume de démarrage. Ça ne devrait pas non plus concerner les volumes ajoués via diskutil en ligne de commande. Et ça ne devrait (sauf si cette partie de la note a été mal rédigée) même pas concerner les volumes APFS chiffrés ajouté via l’Utilitaire de disque (version graphique) pour lesquels on n’a pas spécifié d’indice.

Donc pas la peine de « tout formater » avant de vérifier si on en a réellement besoin.
Et comme l’a rappelé MystR, il est très facile de vérifier si on en a besoin ou non.

avatar A884126 | 

@BeePotato

En effet je ne suis pas concerné car le cryptage a été réalisé par Filevault après l'installation de High Sierra.

Je ne savais même pas qu'il y avait une option de cryptage avec APFS. Sauf erreur de ma part cela n'est pas proposé dans Disk Utility lors d'une Clean Install. J'avais créé un boot sur clé USB.

Par contre je me suis penché sur la différence en APFS Encrypted et FV. Réponses interrantes :
https://discussions.apple.com/thread/8087337?start=10&tstart=0

avatar r e m y | 

@A884126

Creer des volumes chiffrés a toujours existé, ce n'est pas spécifique à APFS.

Par contre avec APFS, attention au fait qu'une fois chiffré le disque en question n'est plus lisible QUE avec HighSierra.

Sierra en version 10.12.6 sait lire et écrire les disques APFS sauf s'ils sont chiffrés.

avatar A884126 | 

@r e m y

Sauf erreur de ma part il n’est pas possible de formater en HPFS crypté.
Il fallait utiliser FV pour crypter le disque.

Alors qu’il est possible d’effectuer un formatage crypté en APFS et d’effectuer un cryptage par dessus avec FV.

C’est le sujet du lien que j’ai posté.

avatar Ducletho | 

@A884126

2 Clean install pour le prix d’une! Ton système tournera comme une horloge avant la prochaine dans moins d’un an

avatar magic.ludovic | 

Obligé de reformater le Disque dur ... Ca fait pas rire ... :(

avatar MystR | 

Dans la note d’Apple, il est indiqué que « si » macOS HS affiche le mot de passe de sa session, alors oui il faut suivre la procédure.
Il suffit d’éteindre le mac et en le redémarrant de regarder sur le point d’interrogation (avant de se logger) si son mot de passe est affiché au lieu de l’indice.
Si ce n’est que l’indice, pas besoin de tout re-formater. ?

avatar BeePotato | 

@ iNicolas1721 : « Il faut vraiment réinstaller le système ?? Tout re-formater et tout ? »
@ Ducletho : « Oui c’est clairement écrit »

Non, ce n’est pas ce qui est écrit.
Bien lire la note technique avant de se lancer dans une réinstallation sans raison.

avatar Ducletho | 

@BeePotato

Je n’ai lu que l’article. Ok

avatar liara.tsoni | 

Cela concerne uniquement les volumes ou FileVault également ?

avatar Madalvée | 

J'ai téléchargé la mise à jour sur le site Apple mais l'installateur ne progresse pas, une idée ? Réinstaller tout le système via le paquet principal complet ?

EDIT résolu en redémarrant la machine puis l'installateur correctif.

avatar adamB | 

J'aurais été curieux de voir les réactions dignes d'une doublepensée orwelliene si la boulette avait touché Windows ?

avatar michelmo | 

Bonjour, je ne vois aucune mise à jour et dans mon compte dev c'est la Release17B25c Sep 27, 2017 la plus récente.

avatar Alf38 | 

Si l'installateur de OS X a été mis à jour par rapport à ce pb, cela ne résout pas le problème de vérification du firmware sur certains SSD tiers.
Sur mon MBP 2010 équipé d'un SSD Kingston SV300S37A à la place du DD et d'un SSD Kingston UV400 à la place du superdrive (mais pas en fusion drive), impossible d'installer High Sierra.
Même si le Trim est activé, l'installateur le désactive.
Par chance, le Mac revient à sa configuration d'origine sitôt l'erreur signalée.

avatar vincent.lgl | 

Ce n’est pas très rassurant tout ça...

Pages

CONNEXION UTILISATEUR