macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…


avatar tomlaborde | 

High Sierra... truffé de bugs divers et manque cruellement d’optimisation.
Je ne regrette absolument pas d’être repassé sous Sierra !

avatar frankm | 

Ca en est même risible.
L'année prochaine pas de mise à jour avant les versions x.2 de macOS et iOS

avatar C1rc3@0rc | 

@frankm
Je le repete depuis des annees maintenant: MacOS est en beta au moins jusqu'a la version 10.x.5 !
Avec High Sierre, la 13eme, vu l'amoncellement de conneries qui supplantent la foison de bug helas habituelle, on va devoir attendre la 10.13.7 ou plus pour avoir un truc a peu pres stable, pas trop truffé de faille gravissimes et un peu optimisé!!!

Surtout vu l’ampleur des conneries avec High Sierra (on peut plus décemment parler de bugs, on est au-dela) il va falloir qu'Apple change totalement de strategie et assure au moins une version LTS (garantie de correction de bug sur au moins 5 ans sans y rajouter des fonctions a tire-l'arigot qui rendent artificiellement obsoletes des machines toujours au top...) de ses OS...

Deux trois choses en plus par rapport a ce qui est ecrit dans l'article:
«Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.»

La procedure evoqué ne concerne que les failles de securité. Ici c'est une connerie de fond rendu exploitable par une cretinerie affligeante et decoulant probablement du mepris d'Apple pour le Mac et MacOS... de plus Apple n'a pas jugé bon de lancer de programme de bug bounty, donc...

«'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra. »
Ben en fait c'est largement pire.
La faille pour se connecter a un compte avec droit d'aministrateurs ça fait une eternité que ça existe sur Mac, et le bug se situe lors de la phase d'installation: l'installateur ne cree qu'un compte avec droit d'administrateur, donc par defaut, les utilisateurs n'ont qu'un seul et unique compte qui est un compte administrateur... quasi aucun utilisateur n'a meme l'information qu'il doit creer ensuite et explicitement un compte avec droit d'utilisateurs restreint et que c'est ce compte qui doit etre utilisé au quotidien.

L'autre gros probleme c'est qu'Apple n'a jamais jugé bon de demander a l'utilisateur, lors de la phase d'installation, de definir un mot de passe pour le compte root - celui dont il est question ici - vu que selon Apple l'utilisateur et trop cretin pour faire une operation aussi complexe et technique (en fait faut juste demander a l'utilisateur de taper un mot de passe et de ne jamais utiliser ce compte ou de retaper ce mot de passe...)

Alors Apple impose SIP, les restrictions toujours plus severes de l'App Store, des mesures abracadabrantes qui entravent plus la fonctionnalité qu'elles n'apportent de securité,... mais par contre laisse grandes ouvertes les portes les plus basiques et faciles de securité de tout Unix - et MacOS est un Unix -...

Maintenant avec High Sierra on ne peut vraiment plus parler d'OS le plus avancé au monde, mais d'OS le plus ridicule au monde...
Et le slogan la securité directement intégrée devrait etre remplacé par la securité directement désintégrée

avatar bonnepoire | 

Je viens de tester et ça ne fonctionne pas chez moi.

avatar melaure | 

Quand on veut sortir un OS par an, alors que personne n'en a besoin ...

avatar JLG01 | 

@tomlaborde

Un bug?
Pour moi, aucun, j’ai juste pris soins dès le début du X de mettre un mot de passe sur le compte robot.
Et présentement, le mot de passe est toujours actif.

Pour re reste, quelques scories plus que des bug.

avatar quentinf33 | 

Ce sont des stagiaires qui ont développé High Sierra ? Entre l’accès root et les mots de passe qui s’affichaient à la place des indices, ça commence à faire...

avatar iVador | 

Bordel ...

avatar DavidAubery | 

Non opérant sur iMac 27 2017.

avatar raf30 | 

idem sur un Mac Mini 2012 sous Fusion Drive en HFS+

avatar marenostrum | 

il faut activer la case mot de passe pour pouvoir passer sur l'autre fenêtre. sinon il parait inopérant. mais ça marche en fait. reprend encore une fois.

avatar bonnepoire | 

Même en activant la case ça ne passe pas chez moi. Mac Mini 2014 APFS et filevault.

avatar Armand07 | 

Pareil ... Pourquoi ???

avatar IRONMAN65 | 

HAAAAAAAAA

avatar Shralldam | 

Quand un Mac est HS, c’est qu’il est sous High Sierra ?

avatar NerdForever | 

@Shralldam

Excellent!!! ?

avatar DarthThauron | 

Content de m'être arrêté à Mavericks et Snow Leopard... et passé sur Linux.

avatar magic.ludovic | 

Oups ... Ca fait vraiment pas serieux tous ça ... Et dire que Apple force la main pour passer a HS ... :o Vraiment pas acceptable de la part d'une boite pareil ... !

avatar Bigdidou | 

"Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V."

C'est tellement gros, que c'était difficile à garder, quand même.
C'est juste énorme.
Va quand même falloir des explications d'Apple, là.

Ça fonctionne parfaitement sur iMac fin 2015.
Je testerai sur mon mpb 2017 demain..

avatar Florian Innocente | 

@Bigdidou : C'est tellement gros, que c'était difficile à garder, quand même.

Ben Apple a un programme de récompense (ah non, que pour iOS, pas macOS) et il aurait peut-être touché une petite somme sympa vu le problème.

avatar Bigdidou | 

@innocente

"Ben Apple a un programme de récompense et il aurait peut-être touché une petite somme sympa vu le problème."

Ah oui, c'est vrai.
Mais je me mets à leur place : c'est comme quand tu trouves une perle dans une huitre ou un graine dans une banane, difficile de tenir sa langue sur le moment.

Ceci étant, on avait déjà évoqué des problèmes dans la gestion de la sécurité avec le bug précédent, mais là, ça fait vraiment peur, quand même.
Indéfendable.

C'est quoi, le bug suivant ?
On peut accéder à toutes les sessions avec qwerty1 ?

avatar 0MiguelAnge0 | 

@innocente

Apple me gave pour passer sous High Sierra sans que je demande quoi que se soit.

Le type a eu 1000fois raison. D’abord pour qu’ils dégonflent un peu le melon, ensuite pour qu’ils se bougent, et surtout qu’il y a un patch éviden, en attendant le nième correctif.

avatar marc_os | 

@0MiguelAnge0 :
J'espère que ton Mac sera piraté de cette manière.
Ah ouais tu t'en fous parce qu'il est au chaud chez toi et que tu as saisi un mot de passe ?!
Et les autres, et les ordis accessibles au public ?
Comportement individualiste et égoïste typique de ce début de siècle. Rien à foutre des autres du moment que moi et mes selfies sont safes. :-/
Idem les ceuces qui applaudissent et souhaitent du mal aux autres.
Quelle sale mentalité !!

avatar C1rc3@0rc | 

@marc_os
Tu te rends compte de la sale mentalité qui a abouti a cette connerie monumentale?

je te rappelle que MacOS, comme iOS et ses derivés sont des Unix et qu'Apple n'utilise meme pas les fondamentaux de base qui sont intrinsèques de la securite sur Unix.

La connerie en question c'est juste possible parce que Apple a jugé bon de ne jamais demander systématiquement a l'utilisateur de définir un mot de passe pour le compte root et que l'installateur de MacOS s'arrete a la creation du compte avec droits d'administrateur, compte qui ne devrait jamais etre utilisé au quotidien mais qui doit etre reservé pour les mise-a-jour et installation d'applications...

L'autre cause, c'est évidement le mepris du Mac depuis des annees et le fait de vouloir sortir coute de coute (surtout sans payer une equipe dediée au developpement de MacOS) une version de MacOS par an, uniquement pour une question de strategie d'obsolescence programmee et de marketing de "novatisme"...

Et pour rappel, si tu ne le sais pas, sur un Unix on doit avoir au moins 2 comptes: un compte avec droits d'administrateur et un compte avec droits d'utilisateurs. Combien de Mac sont dépourvu de compte restreints aux droits d'utilisateur? 90%, 95%, 99% ? Et ca uniquement a cause de la sale mentalité et de la politique d'Apple.

avatar marc_os | 

@C1rc3@0rc :
Tu parles du capitalisme ?
Oui c'est la sale mentalité des capitalistes qui VOLENT une partie des richesses produites par les salariés pour les donner aux actionnaires rois qui est à l'origine des catastrophes de ce monde comme les délocalisations et le chômage, le dérèglement climatique et la destruction des écosystèmes de notre planète car ces messieurs les actionnaires sont insatiables, plus toujours plus c'est leur moto. Alors la QA ça coûte de l'argent donc on fait des économies dessus, et PAF je bogue.

avatar debione | 

@Innocente:

Oui Apple a un programme, dont les récompenses sont absolument ridicules en regard des enjeux.

Elle vaut combien cette faille? 100'000$? A mon avis bien plus, cela se compte en millions...

Le calcul est simple dans ces cas là, combien vaut en gain futur pour le découvreur, le fait que son nom soit associé à la sécurité...

Bref, si je découvre (aucune chance hein!) une grosse faille, je vais opter pour ce qui me rapportera le plus, et c'est vraiment pas nécessairement la récompense d'Apple, loin de là...

Bref, tant d'un point de vue perso que d'un point de vue général, je supporte entièrement ce genre de comportement, pour deux raisons:

-Apple est une boite hyper pingre dans les récompenses, vu sa fortune et les choses engagées
- MARRE! Marre de voir Apple pondre des OS pas fini, bâclé, vu de nouveau la fortune qu'ils possèdent. C'est ce genre de type qui va faire qu'Apple va un peu plus tester ces systèmes avant de les mettre sur le marché. Si tous les découvreurs de failles faisait la même choses, Apple ne pourrait pas se permettre de lâcher des trucs pareillement fini à la truelle.

avatar Florian Innocente | 

@debione

Dans les faits elle ne vaut rien - du point de vue d’Apple du moins vu que le programme ne récompense que les découvertes sur iOS. Je pensais au départ que c’était pour les deux OS.

avatar debione | 

Ah ouais, carrément...

Bon, ben même plus la peine de se poser la question de savoir pourquoi le découvreur l'a instantanément mis sur le marché...

avatar Benitochoco | 

Salut,

Plus simple, commande+espace et taper annuaire et hop ;-) Un peu long votre truc !

avatar iVador | 

Je viens de reproduire le bug en 2 secondes sous 10.13.2 bêta 17C79A

Consternant !

avatar Scs38 | 

High Sierra est vraiment « high » ??⚙️????

avatar jrampnoux | 

Nickel j’ai ouvert une session en tapant root et entrée... là franchement c’est juste honteux.

avatar SugarWater | 

I Am Root :)

avatar iVador | 

@SugarWater

Je s’appelle Root !

avatar Wilthek | 

yes, I'm Root aussi :(
bon ben changé dans la foulée...
les boules : argh
j'suis sans voix

avatar RedMak | 

Pu>#^>~*+ !
non mais franchement c’est du n’importe quoi là ! Qui a développé HS ?! J’en peux plus de ses connerie moi! Et le pire c’est que je peux utiliser que des mac pour travailler..

avatar lapo | 

Dingue!!!
Je fais la même manipulation sur mon MacBook Air 2015, cadenas, je tape « root » dans le user name, Unlock et c’est déverrouillé !
Dingue...

avatar fousfous | 

Le pire c'est quand même qu'il n'y ai aucunes nouveautés sur HS.

avatar sebMac78 | 

@fousfous

Il y a quand même un tout nouveau système de fichiers (APFS).
Et d’autres nouveautés logicielles dans photos, safari...

Gros bug quand même sur le coup mais de la à tout rejeter...
Tous les jours je fais du Dev sur Win10 et tous les soir je suis bien content de retrouver MacOS

avatar Doctomac | 

Just un tout nouveau système de fichier. Une petite nouveauté.

avatar Armaniac | 

Ça n'explique en aucun cas l'apparition de tels "bugs". Désolé, mais le système de fichiers est totalement distinct de l'architecture de sécurité de l'OS. Donc le fait de changer l'un ne change (ou du moins ne devrait pas changer) l'autre. Point barre.

Moi ce qui me fait vraiment peur c'est que si ce genre de faille béante se retrouve dans macOS, rien ne nous garantit qu'elles ne sont pas également sur iCloud...

Décidément plus ça va, plus je pense que nous serons vous et moi 6 pieds sous terre depuis un bon moment le jour où il sortira un système informatique sûr...

avatar Doctomac | 

Euh je n’ai pas dit ça.

À l'hurluberlu précédent qui disait que HS n’a pas de nouveauté, je lui ai répondu qu’un nouveau système de fichier est une nouveauté et une nouveauté de taille.

C’est tout ce que je dis.

avatar Armaniac | 

@Doctomac : fair enough :-)

avatar Ali Baba | 

@Armaniac

Il y aura un système informatique sûr le jour où il y aura un être humain parfait.

avatar Armaniac | 

On arrive à faire des systèmes très sûrs avec des humains qui sont loin d'être parfaits ! Et par ailleurs, aucun système informatique (ou système tout court d'ailleurs) ne sera jamais parfait ; par conséquent les failles mineures peuvent être tolérées.

Mais pas celles là.

avatar Marc RONDONY | 

Sur mon iMac, çà ne ne fonctionne pas... Ou plutôt, ce bug ne se produit pas... ?

avatar iDanny | 

Allez hop, direction l’Apple Store pour foutre le bordel ?

avatar Dr. Kifelkloun | 

"Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

---> En gros, vous propagez la nouvelle tant que vous pouvez en en faisant un gros titre à la une pour faire une bonne PAC, puis vous regrettez hypocritement que tout ceci ne se soit pas passé plus discrètement... En ce qui me concerne, c'est grâce à VOUS que c'est publique.

"Évidemment".

avatar Mickaël Bazoge | 
Tu crois franchement qu'on n'allait rien dire et passer sous silence cette crevasse de sécurité ?
avatar Florian Innocente | 

@Dr. Kifelkloun : "pour faire une bonne PAC"

C'est quoi une PAC ?

Pages

CONNEXION UTILISATEUR