High Sierra : quand la faille root était présentée comme une solution à un bug

Stéphane Moussie |

À quelque chose malheur est bon. La faille root de High Sierra mise en lumière hier soir n’est pas uniquement un gros problème de sécurité, c’est aussi une solution à un bug du système.

C’est de cette manière innocente que la faille a été présentée le 13 novembre sur les forums d’Apple. À un utilisateur de High Sierra qui avait vu ses deux comptes administrateurs se transformer en comptes standards à cause d’un bug, un certain chethan177 a suggéré deux solutions pour retrouver les droits administrateur, dont celle-ci :

Rends-toi dans Préférences Système > Utilisateurs et groupes. Clique sur l’icône de cadenas. Quand les identifiants sont demandés, tape « root » comme nom d’utilisateur et laisse le mot de passe vide. Appuie sur entrée. Cela devrait générer une erreur, mais essaye encore avec le même nom d’utilisateur et sans mot de passe. Cela devrait déverrouiller le cadenas.

Il s’agit exactement de la faille éventée beaucoup plus largement hier et pour laquelle Apple a promis un correctif. Rétrospectivement, chethan177 avait conclu son message d’une façon savoureusement candide : « PS : la solution 2 a marché pour moi. Aucune idée du pourquoi ni du comment. J’espère que cela t’aidera. »

avatar Gu1k | 

Ce n'est pas un bug, c'est une feature.

avatar ludobubner | 

Incompétence ? Faute professionnelle ? Problème de gestion interne ? Ou ?
Dans tous les cas, cela met en valeur un gros problème au sein de l’entreprise vis-à-vis du Mac.

avatar occam | 
avatar totoguile | 

On est clairement sur la 2eme faille grotesque en quelques semaines de découverte sur High Sierra...
What a shame

avatar MacGyver | 

d'ou le nom bien trouvé: Aie Sierra

avatar occam | 

Qu'y a-t-il en commun entre High Sierra et les sous-marins de la marine argentine ?
Journée portes ouvertes.

avatar Paul_M | 

C'est de l'amateurisme total cette faille, un peu une honte pour une entreprise comme Apple.
Le nombre de bugs et failles sur High Sierra, pourtant une version "améliorée" de Sierra censée se concentrer sur performances et stabilité est une très mauvaise perf de leur part.
J'aime bien la marque et suis un bon client mais il faut savoir reconnaître un faux pas, High Sierra (et iOS 11 d'ailleurs, dont le clavier est toujours inutilisable, entre autres) en est un. J'espère que les mecs à la tête du software se sont pris un savon et qu'on aura un truc potable rapidement parce que ma confiance a ses limites.

avatar Goundy | 

@Paul_M

Problème de clavier ?? Peut tu en dire plus stp?
Car moi aussi j’ai remarqué des anomalies mais je pensais plus a une erreur utilisateur.

avatar Paul_M | 

@Goundy

Il y a un lag infernal sur le clavier des appareils plus anciens (iPhone 6 par exemple) sous iOS 11. Le problème est assez connu.

avatar NerdForever | 

C'est plus qu'Honteux!! On voit que les commerciaux du pseudo-luxe, on réussi à détruire une boîte de geeks...

avatar PierreBondurant | 

@NerdForever

C’est vrai qu’autour de Tim C, il y a plus de modeux que d’ingénieurs.
On voit le résultat sur nos machines...

avatar CrashMidnick | 

La brèche a quand même tenu plus de 2 mois, pas mal pour un erreur de sécurité aussi "grave" d'après certains. Il ne l'aurais pas découvert qu'on serait passé au système suivant sans s'en rendre compte...
Bref dans quelques jours c'est corrigé. Excusez le stagiaire du 2e sous-sol, il avait la gastro le jour de la vérif !

avatar Bigdidou | 

@CrashMidnick

" Il ne l'aurais pas découvert qu'on serait passé au système suivant sans s'en rendre compte.."
Bien sur, à moins qu'un malware tout simple nous ait pompé tous nos petits secrets et vidé ou crypté la machine en prime entre temps.

avatar Emile Schwarz | 

>chethan177
Certains devraient regarder la signification des mots (ici le nom) dans les autres langues !

Chetan est l’une des variabtes du mot Diable (Satan) dans les langues du moyen orient (voir les deux Arabes, le turc, etc.).

Bien sûr, il faut savoir / y penser…

Je me souviens d’un taggueur, à Strasbourg qui utilise Idfix (le nom du chien d’Obélix) comme signature.

avatar harisson | 

@Emile Schwarz

C'est n'importe quoi cette analyse sur le pseudo, il faudrait penser à consulter...

Il a découvert le "truc" par simples analyses et expérimentations et à poster sa solution au problème de base : la mise à jour vers HS fait perdre les droits admin à l'utilisateur principal chez certains.

Ceci dit, il y a même une personne dans le forum Apple qui insinue qu'il fait parti d'un réseau de cracker ^_^ (l'égo-individualisme exacerbé et la paranoïa sont vraiment des maux de ce siècle ...).

*Nix est vraiment malmené pour satisfaire à la logique desktop initiée par le poison Windows ^_^

avatar Emile Schwarz | 

Analyse ?

As-tu au moins vérifié ce que tu as lu ?

avatar harisson | 

@Emile Schwarz

Oui j'ai lu la news et tout le fil du forum.

Et puis la personne que tu présupposes être une "émanation de satan moyen oriental" qui a fait une recherche intensive sur tous les forums, trouver une solution et poster naïvement sur un forum publique sans comprendre ce que sa solution impliquait (divulgation du root *nix sans mot de passe).

Même genre de parano que le Connor du fil :

"We're on the Apple developer forums, so understand many would have a hard time believing you're just a normal user even when replying with "Solution 2 worked for me. No idea how or why. Hope this helps."

Who are you and what was your intention on posting a security issue on a public developer forum?

avatar pommedor | 

S'il avait été un méchant garçon il aurait su que sa solution aurait pu lui faire gagner au moins 200-300k $/€. La mettre à disposition comme ça pour rien, c'est vraiment pas un gars à classser parmis les méchants.

avatar Ducletho | 

OS X est le plus sécurisé au monde....ouaip, au moins il doit pas avoir trop de problème pour passer la douane chinoise celui là !

avatar Bigdidou | 

@Ducletho

"OS X est le plus sécurisé au monde.."
Ça, je pense toujours que c'est vrai.
Par contre, depuis qu'il,devenu macOS, j'admets que ça se discute :D

avatar Ducletho | 

@Bigdidou

Ah oui 😄 : Mac OS que je recopierai 100 fois

avatar ErGo_404 | 

OS X est obsolète, donc probablement moins sécurisé que les versions plus modernes.
macOS semble truffé de failles grosses comme le trou dans l'arc de triomphe.

avatar Ghaleon111 | 

L’os le plus sécurisé c’est la distribution Linux qubes os ou chaque élément est compartimenter dans une machine virtuel configurable totalement, par exemple même si un virus ou un contrôle à distance ou quoi que ce soit vient dans l’explorateur ou le navigateur web ou un logiciel, il suffit de fermer la fenêtre pour le virer!
C’est l’os utiliser par edward snowden.

avatar fte | 

@Ducletho

Le système le plus sécurisé du monde est celui ou des administrateurs sécurité s’occupent se monitorer la situation en 24/7/365, et réagissent vite et drastiquement.

Il suffit d’une seule faille pour qu’un système soit vulnérable. Qu’il y en ait 1 ou 7000 ne change rien. Aucun n’a 0 faille.

avatar Ducletho | 

@fte

Après il y a faille et faille ...
Il y a celle où tu as besoin d’une compétence pour des injections par exemples et celle qui n’en requiert aucune ...j’imagine au moins que tu ne les mets pas au même niveau ?

Pages

CONNEXION UTILISATEUR