Faille root de macOS High Sierra : Apple promet une mise à jour
L'affaire de la faille root de macOS High Sierra a fait suffisamment de bruit pour sortir Apple de sa torpeur. Dans une courte déclaration, le constructeur indique travailler sur une mise à jour pour corriger le problème. En attendant, la Pomme conseille de créer un compte root puis de saisir un mot de passe pour l'utilisateur root (la fiche technique en français est disponible à cette adresse).
Pour aller plus loin :
@saoullabit
Euh...tu redescends sur terre? Le Mac c’est surtout pour des non informaticiens! Tu as songé à la politique ?
PS merci à MacG qui ne détaille pas l'erreur/faille....
Voici comment devenir root, donc il faut un accès à votre Mac physique !!!
Iphone additict:
Pour exploiter la faille, il faut ouvrir les Préférences Systèmes de macOS et se rendre dans Utilisateurs et groupes. Une fois ici, il faut cliquer sur le cadenas en bas à gauche, celui-ci est fermé. Une fenêtre va apparaître pour demander le mot de passe du compte administrateur. Changez le nom de l’utilisateur affiché, mettez root et cliquez sur le bouton bleu Déverrouiller. La fenêtre va rapidement bouger parce qu’il y a une erreur. Cliquez alors sur le champ où il faut entrer le mot de passe, mais n’entrez rien. Cliquez à nouveau sur Déverrouiller et vous aurez les droits sans avoir connu le mot de passe.
Certes, mais vous n’expliquez pas ce qui se passe concrètement.
Mettre « root » comme nom d’utilisateur va activer le compte root et définir comme mot de passe ce qui sera inscrit dans la case « mot de passe », rien si vous n’y inscrivez rien.
Définir un mot de passe root ne servira à rien si on ne conserve pas le compte root activé. En effet, si on désactive le compte root, même avec un mot de passe défini, la manœuvre décrite effacera ce mot de passe.
Il est donc important de conserver l’utilisateur root actif avec un mot de passe sûr en attendant le correctif d’Apple.
@Moonwalker
Ah, merci.
Tu es le premier qui me fait comprendre exactement ce qui se passe;
@MickaëlBazoge
C'est ballot de ne pas avoir mis un lien dans l'article, je n'avais pas vu cet article. :)
Je pense qu’Apple à embauché un gars de la NSA sans le savoir et il a parsemé l’os de backdoor
Oui faut un accès physique et être logué pour accéder au tdb préférences système. Mais on peut aussi désactiver file vault par exemple. Une faille. J’ai essayé chez moi avec un compte invité marche pas, faut vraiment être logué dans un compte.
Mais comment est ce possible que les ingénieurs de chez Apple puisse loupé ÇA.
C’est la base : pas d’accès root sur une machine posix/unix. Du moins c’est ce que je lis dans les bouquins et que je fais en sorte d’appliquer quand je fais mumuse ... Ubuntu et comparses désactivent ce compte depuis des années, et c’est dans toute les procédures d’installation de versions Desktop de ces systèmes...
Malgré le peu d’intérêt de mon message, il fallait appuyer là où ça fait mal au cas où un ingénieur de chez Apple nous lit ?
@pacou
"C’est la base : pas d’accès root sur une machine posix/unix"
En fait je crois avoir finalement compris que l'accès root n'est effectivement pas activé par défaut (comme évidemment attendu), mais que cette manip l'active.
Comme il j'a pas de ot de passe par défaut, la faille est ouverte , évidemment.
Si j'ai bien compris, la faille, c'et cette manip qui active le root.
https://youtu.be/1eecB0_QI6U
@Bigdidou
C’est encore plus grave. Je n’avais pas vu votre autre article.
Si tout le monde peut devenir root c’est juste hyper dangereux.
Un petit « rm -R /« pour la root :-)
@pacou :
« C’est la base : pas d’accès root sur une machine posix/unix. Ubuntu et comparses désactivent ce compte depuis des années, et c’est dans toute les procédures d’installation de versions Desktop de ces systèmes... »
Le compte root est désactivé dans Mac OS depuis avant même l'existence d'Ubuntu, pour info.
Ce n'est pas ça le problème, mais un bug qui permet de l'activer (lui donner un mot de passe) à l'occasion d'une action qui ne devrait avoir strictement rien à voir avec la gestion du compte root.
@pacou : « C’est la base : pas d’accès root sur une machine posix/unix. Ubuntu et comparses désactivent ce compte depuis des années, et c’est dans toute les procédures d’installation de versions Desktop de ces systèmes... »
Le compte Root lui-même n'est pas désactivé. C'est juste son mot de passe qui n'est pas défini obligeant les utilisateurs à passer par l'utilitaire Sudo pour effectuer les tâches dévolues à l'utilisateur Root. Seule la distribution Ubuntu et ses dérivés utilisent ce système. Les autres distributions, en tous cas celles que je connais (Debian, Slackware, Fedora, par exemple), demandent de définir un mot de passe Root lors de l'installation. Pour revenir à Ubuntu, réutiliser le compte Root est très simple. Il suffit de lui attribuer un mot de passe avec la commande "sudo passwd root" ou même "sudo passwd". Du coup une personne ayant un accès physique à votre machine et connaissant votre mot de passe pourra très facilement en prendre le contrôle et, pourquoi pas, autoriser l'accès distant root via ssh. Je préfère définir moi-même mon mot de passe root. L'éventuel malandrin devra alors deviner deux mots de passe au lieu d'un seul si il veut contrôler ma machine.
Sur macOS l’utilisateur « root » est bien inactif par défaut graphiquement. Il faut l’activer via l’utilitaire d’annuaire.
Ce bug active l’utilisateur et lui donne un mot de passe (le contenu de la case « mot de passe »).
Si on a déjà défini un mot de passe mais laissé l’utilisateur « root » inactif graphiquement, ce bug permet d’effacer le dit mot de passe.
Il faut donc activer graphiquement l’utilisateur « root » et définir un mot de passe sûr, et le laisser comme cela jusqu’au correctif d’Apple.
A mon avis, la seule vraie faille root, c’est Tim Cook mais le correctif tarde à arriver...
Dans le fond, tu as raison. C'est le conseil d'administration et les actionnaires qui dirigent et ça craint dans certains départements.
Ça montre encore une fois que même pour les grosses boites comme Apple, Google, Amazon ou autre Microsoft c’est l’argent que leur business rapporte au bout de chacun de leur projet. Et nous serons toujours leurs ‘bêta’ testeurs préféré pour pas une tune !!!
C'est trop tard.
Même si les gens sur OSX et grâce à la facilité du sytème, mettent plus souvent à jour qu'un utilisateur Windows, ça va laisser un bon nombre de machines ( neuves ou jamais lis à jour) vulnérables.
Bravo Apple. C'est vraiment utile de sortir un OS prématurément chaque année.
Comment cette faille est arrivée là ?
Et comment quelqu’un aurait pu la découvrir ?
Je pense pense qu’il s’agit plus d’un acte malhonnête.
Avant de développer des théories du complot, commence par lire le thred sur le forum d’Apple :
https://forums.developer.apple.com/thread/79235
Le gars pose juste la question pour résoudre son problème, en toute bonne foi..
@macinoe
Wow, merci pour le lien. Je ne pensais pas qu’on pouvait découvrir une telle faille par hasard.
@Lesyro
Malhonnête. Maladroite plutôt. Il suffit d’essayer 2 fois une connexion root sans mot de passe pour que ça marche. C’est à la portée du premier venu
Sous Mavericks ?et j'aimerais qu'Apple arrête de me pousser à la mise à jour !!! I am root !
Heureusement que dans les centaines de commentaires outrés y en a deux trois intelligents qui permettent de cerner la portée du problème.
Le compte guest franchement, je l’avais désactivé sur mes deux macs, parce que je trouve le concept pourri et que ca encombre ma fenetre de login et du coup je vois pas comment quelqu’un peut se connecter au root.
Ça n’exonère pas apple bien sur.
Ça prouve bien que de livrer une nouvelle version chaque année est pourri. On se retrouve qqes années en arriere avec ios8 et yosemite, ou il a fallu attendre ios 9 et el capitan pour etre satisfaits.
@adixya
Oui. Il apparaît surtout dans la majorité des commentaires que ce qui se produit n’est pas compris. Comme indiqué plus haut il faut être authentifié à la machine afin d’activer ce compte suite à une action qui n’a rien à voir.
Cela implique d’avoir déjà un compte sur la machine. Aussi les fantasmes de faille énorme qui touche tout le monde et qui annihile la sécurité du Mac ne sont donc que des fantasmes.
Ainsi en environnement mono utilisateur la sécurité du Mac n’est pas affectée à moins qu’une personne ne profite de l’absence de l’utilisateur devant son mac pour faire cette manipulation. Remarquons que lorsque ce cas de figure se produit le malandrin peut faire beaucoup de mal autrement que par ce bug.
En environnement multi utilisateurs, 2 cas se présentent :
1/ la machine est configurée par un administrateur connaissant son job et le compte root a ainsi de fortes chances d’avoir été activé avec mot de passe. Globalement c’est une utilisation professionnelle.
2/ la machine est administrée par un quidam ne connaissant pas le job. L’utilisateur d’une session peut alors activé ce compte root. Globalement c’est une utilisation personnelle.
Voilà ma compréhension de la situation.
@Domsware
"1/ la machine est configurée par un administrateur connaissant son job et le compte root a ainsi de fortes chances d’avoir été activé avec mot de passe"
Et laissé activé ? Sur une machine en exploitation au secrétariat, à l'accueil ou je ne sais où ?
Pourquoi faire ?
@adixya
"Le compte guest franchement, je l’avais désactivé sur mes deux macs, parce que je trouve le concept pourri et que ca encombre ma fenetre de login"
Mais il ne s'agit pas que du compte guest.
Imagine n'importe quelle machine multi utilisateurs dans un secrétariat, un bureau administratif, une infirmerie. Zou, accès root ?
@Bigdidou
Et ça fonctionne à distance ! On peut se connecter en root à n'importe quel Mac accessible!!!
@r e m y
"Et ça fonctionne à distance ! On peut se connecter en root à n'importe quel Mac accessible!!!"
Oui, oui.
Testé et approuvé sur mon mbp et mon iMac.
C'est horrible.
Ma confiance en macOS, peu ébranlée par l'histoire précédente qui me paraissait tarabiscotée en prend là un sacré coup.
J'imagine le stress si nos pc étaient des macs comme prévu au départ...
Bon, ceci étant, le stress sur les pc, on l'a eu avec un ransomware :D
C'est vraiment d'un amateur absolu...
Ben perso, j'aimerais pas être responsable d'un programme BYOD dans une boîte... Allez tous ceux qui se sont acheter un des dernier mac ou qui ont fait la maj HS restent à la maison...
Sérieusement, je ne suis pas l'actualité de Windows, mais je suis pas sur que des failles pareilles aient eu une fois existé... Définitivement, les gens qui disent que les macs ne sont pas fait pour travailler et encore moins en entreprise, ont un clou de plus sur le cercueil.
@debione
Pas étonnant quand ton service qualité sont les utilisateurs ( beta public)
Quesque l'on disait quand ils ont fait les beta public? Ha oui chouette les bug et failles seront mieux detectés et l'on aura des versions plus stables!!!
Pour l'instant c'est pas le cas
Et en plus ca fonctionne à distance!
On peut prendre le contrôle d'un Mac en root ?♂️
C'est une faille énorme et absolument critique!!!
En résumé ? La faille est exploitable si l’on a un accès physique à la machine, juste ?
@TimeMachine
"En résumé ? La faille est exploitable si l’on a un accès physique à la machine, juste ?"
Physique ou réseau.
Il faut avoir un compte sur la machine. J'ai,essayé ave un compte invité, ça ne fonctionne pas.
Elle permet de transformer n'importe quel compte utilisateur en compte root.
@Bigdidou
Donc pas de partage d’écran non plus ?
@TimeMachine
"Donc pas de partage d’écran non plus ?"
J'ai fais avec succès la manœuvre de chez moi sur le mac du boulot via le partage d'écran, si c'est ça que tu veux dire.
Des hackers qui se sont introduits chez Apple
Vous râlez beaucoup alors que la solution de repli vers Sierra existe. Sierra est parfaitement stable.
High Sierra n'est pas encore mûre. Prenez votre mal en patience et attendez plusieurs mises à jour avant d'installer la dernière mouture.
Qu'Apple arrête de faire des màj majeures tous les ans !
Voilà l'article est sur Le Monde, est sort de la sphère technophile, ca va faire mal à l'image.
Le Monde - Une importante faille de sécurité touche les ordinateurs sous Mac OS High Sierra
La faille permet de se connecter au mode administrateur de la machine.
http://www.lemonde.fr/pixels/article/2017/11/29/une-importante-faille-de-securite-touche-les-ordinateurs-sous-mac-os-high-sierra_5221980_4408996.html
Le remède consistant à créer un compte root avec mot de passe me semble pire que le mal. Un tas de gens vont ainsi apprendre l’existence du compte root et seront tentés de l’utiliser pour je ne sais quelle manip, avec les conséquences funestes qu’on imagine.
@sinbad21
Bof pas sur. La moitié des gens s'en battent les c*****
Ils vont attendre gentiment la mise à jour
@sinbad21
Ceci dit, nous sommes sur un site où justement les gens veulent savoir ce qui se passe sur leur Mac et comprendre
Nous oui, mais il n'est pas judicieux de révéler ça au grand public. J'ai suffisamment dépanné de gens pour avoir une idée de toutes les âneries qu'ils peuvent faire. La dernière en date : quelqu'un ayant mis le dossier /private à la corbeille et se demandant pourquoi il n'arrivait plus à booter.
J'adore le titre de la News... des fois qu'Apple dise : on s'en bats les steaks!
Apple bientôt aussi fort que Microsoft !
@Rikly
Tu te souviens quand MS avait fait aussi pire? Tes sources
@en ballade
Windows EST le virus ! Microsoft son dealer.
Le côté trolleur se confirme...
@pehache
Crois et pense ce que bon te semble... je m’en tamponne le coquillard.
Demande donc à un graphiste qui a travaillé sur PC puis sur Mac quel système lui est le plus user-friendly et on en reparle.
Tu veux un exemple : le focus...
Un autre exemple : la typo mal représentée avec Windows.
...
Et j’en passe et des meilleures.
Pages