macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…

avatar marc_os | 

@Bigdidou :
Tu peux donc dire un grand merci au type qui a rendu la chose publique avant d'informer Apple !

avatar Sica | 

Pour moi, sur imac 27 fin 2013... ne fonctionne pas.

avatar bobytron | 

Tiens, je me demande si c’est pour ça que le helpfesk d’Apple était en feu aujourd’hui.

avatar Sica | 

Et comme mon accès se fait par liste d’utilisateurs, on ne peut pas se connecter sur un compte root non plus.
Faut encore que j’essaye depuis un ordi externe.

avatar Sica | 

Idem macbookair de 2014... fonctionne pas !

avatar BitNic | 

Finalement heureusement que la Tante Ursule est restée sous Minitel, au moins elle n'a pas de problème !

avatar supermars | 

C'est moi où plus leurs produits sont chers, plus ça merde ?

Bref, inadmissible et laisse planer un doute sur tout le reste.

avatar adrienj | 

À croire qu'Apple est infiltrée par des agents de la NSA qui laissent intentionnellement de grandes portes ouvertes dans MacOS.

avatar ijimax | 

A vrai dire, comme pour beaucoup de “linuxiens” la commande passed est un réflèxe.
Ayant toujours changé le mot de passe de root dès l’installation, pour une fois je suis chanceux.

avatar jmtweb | 

Je suis resté sous High Sierra deux semaines à peine et j'ai vite downgradé vers Sierra.
L'apport de cette nouvelle mouture est inexistant par rapport à Sierra.

avatar Moonwalker | 

Marche pas chez moi.

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

1. quand j’écris « root » dans la case du nom d’utilisateur et que je valide, le nom d’utilisateur redevient automatiquement le nom de l’administrateur.

2. Je n’ai aucune fenêtre flottante qui apparait.

Par contre, j’ai eu droit à une variante :

Après avoir quitté ma session, j’ai constaté la présence de l’utilisateur « autre » dans la fenêtre de login. J’ai alors saisi « root » pour le nom d’utilisateur et « root » pour le mot de passe et je me suis retrouvé sur la session de l’utilisateur root.

Nota bene : je n’avais jamais défini l’utilisateur root avant.

avatar Bigdidou | 

@Moonwalker

"J’ai alors saisi « root » pour le nom d’utilisateur et « root » pour le mot de passe et je me suis retrouvé sur la session de l’utilisateur root."

Ce que tu décris est bien ce que je craignais : un accès root activé pa défaut et sans mot de passe, non ?
C'est... ahurissant.
Je teste tout à l'heure au boulot.

avatar en ballade | 

Appl€ est devenu définitivement un fabricant de téléphone.

avatar ludobubner | 

Scandaleux

avatar fte | 

C'est un bug, en soit ça ne prouve rien.

Mais si on suit les forums dev, et les discussions diverses autour de High Sierra, on note néanmoins une tendance déplaisante.

On va encore m'allumer je suppose, mais la qualité est en baisse, que ça vous déplaise ou pas.

Il y en a eu de belles quand-même.

avatar Bigdidou | 

@fte

"On va encore m'allumer je suppose, mais la qualité est en baisse, que ça vous déplaise ou pas."

Faut admettre que la tendance est là.
Mais je crois pas que le débat se situe là.

avatar webHAL1 | 

Il me semble qu'Apple n'est nullement à blâmer dans cette histoire, puisqu'elle avait pris soin d'avertir ses utilisateurs. En effet, la manipulation pour exploiter cette énorme faille de sécurité est de taper deux fois à l'identique le mot "root". Or, rappelez-vous, la Pomme a bien précisé dernièrement que les mesures de protection qu'elle met en place sur ses appareils ne sont pas très efficaces avec les jumeaux ! ;-)

Cordialement,

HAL1

avatar Fabeme | 

Alors là... impressionnant ! Perso je personnalise le mot de passe root après l’installation mais c’est très loin d’être courant comme pratique. Apple a intérêt à sortir un correctif aujourd’hui pour une bourde pareille. High Sierra a vraiment été sortit trop vite cette année...

avatar Steve Molle | 

Continuez à filer votre blé sans réfléchir à l’Apple 2017 et savourez ce genre de choses hallucinantes.

Tocards !

avatar huexley | 

Ça fait un moment que la faille est dans la nature !!

https://forums.developer.apple.com/thread/79235

avatar debione | 

Ah, ouais! Bordel! depuis juin c'est connu par Apple...

Bref, une faille gérée à la Apple, dans le prochain Os elle ne sera pas présente, jusque la rien a battre, les gens ont acheté les machines...

avatar huexley | 

C'est fabuleux !

avatar PierreBondurant | 

@huexley

No limit Apple...

avatar Le Gognol | 

@huexley

La discussion date de juin mais la réponse exploitant la faille de novembre. Donc non a priori ce n’est pas connu depuis juin...

avatar SugarWater | 
avatar SugarWater | 

Après tant qu'on a les animojis ...

avatar kino | 

Mac OS fonctionnera bien le jour où il fonctionne sur un iphone... :)

avatar dtb06 | 

Ca c'est pas une faille, c'est un cataclysme... Vraiment les OS d'Apple sont à bannir !

avatar marc_os | 

Quel est l'intérêt d'Agile Software et du type chez eux de rendre la chose publique sans attendre qu'Apple ait corrigé le bogue ?
À qui profite le crime ?

avatar huexley | 

Ca fait un moment que la faille est dans la nature…

avatar hirtrey | 

Énorme faille mais aussi de la responsabilité de l’utilisateur de modifier le mot de passe root sur une machine.
C’est bien la première action qui doit être faite après une installation.

avatar Bigdidou | 

@hirtrey

"Énorme faille mais aussi de la responsabilité de l’utilisateur de modifier le mot de passe root sur une machine.
C’est bien la première action qui doit être faite après une installation."

Tu as bien compris comment fonctionne la faille ?
Modifier le mot de passe root ne change rien au problème si tu désactives le root ensuite (ce qu'on m'a toujours dit de faire quand l'accès root n'est pas utile).

avatar hirtrey | 

@Bigdidou

Sur une machine unix le root doit toujours être activé !!!!

avatar Bigdidou | 

@hirtrey

"Sur une machine unix le root doit toujours être activé !!!!"
Tu es plus compétent que moi sur le sujet, et tu as sûrement raison.
Ce n'est toutefois pas ce que dit Apple, et je ne comprends pas pourquoi il faudrait que le compte root soit activé en permanence sur des machines de bureau, hors bug conçu par Apple.

avatar macinoe | 

Je ne comprends même pas ce que ça veut dire «  désactiver le root ».

J’ai l’impression d’une grande confusion entre ce que le système peut faire et ce que l’utilisateur peut voir.

avatar Bigdidou | 

@macinoe

"Je ne comprends même pas ce que ça veut dire «  désactiver le root »."
Ce sont les termes qu'emploie Apple.
https://support.apple.com/fr-fr/HT204012
En précisant qu'il ne faut pas "laisser l'utilisateur root activé" en temps normal, ce qui laisse cette faille béante.
Un utilisateur de mac, c'est précisément pas un informaticien, alors il fait ce qu'on lui dit de faire.
Et là, ça met la sécurité des données super en danger.
Ok, il faut avoir un compte sur la machine, mais il faut pas beaucoup d'imagination pour évoquer ce que peut faire un malware assez simple dans ces conditions.
Par ailleurs, quelles autres vulnérabilités sont sous cette faille qui n'est peut-être que le morceau émergé de l'iceberg ?
Moi, je comprends pas qu'on puisse minimiser ou banaliser un truc pareil.

avatar hirtrey | 

@Bigdidou

Je n’ai jamais banaliser cette erreur. C’est une faille énorme que je ne peux même pas comprendre comment elle a pu passer les phases de tests.

Mais par défaut tout compte root doit être initialisé avec un mot de passe très fort au moment de l’installation d’une machine.

Sur mes Mac, je n’ai pas le problème de cette faille.

avatar hirtrey | 

@macinoe

MacOS est un de type “unix“, l’utilisateur root est le « super utilisateur ». Il a tout les droits.
Exemple : quand le Mac te demande un mot de passe, cela veux dire qu’il va réaliser une action avec les droits root.

avatar huexley | 

"Énorme faille mais aussi de la responsabilité de l’utilisateur de modifier le mot de passe root sur une machine."

Sauf erreur je ne vois ca nulle part dans la création d'un utilisateur par défaut sur un Mac.
Root est censé être désactivé… L'utilisateur n'a pas de responsabilité ici.

avatar hirtrey | 

@huexley

Tu passes en mode terminal :
sudo su -
whoami ( pour vérifier que tu es bien root)
passwd

avatar hirtrey | 

@huexley

L’utilisateur est responsable de sa machine.

avatar huexley | 

Tu t'es trompé de planète.

avatar hirtrey | 

@huexley

Je dirais plutôt que je ne suis pas sûr la planète des bisounours

avatar en ballade | 

@hirtrey

Franchement tu te relis?

avatar hirtrey | 

@en ballade

Jamais ??

avatar marc_os | 

Ça me fait penser à un autre sujet qui mériterait un petit article à mon avis, car peu de gens comprennent comment ça marche :
Depuis High Sierra, les extensions système (kext) sont bloquées par le système lors de leur installation, rendant pour le coup les logiciels fraîchement installés en partie inopérants.
Pour les débloquer il faut passer par le panneau Sécurité dans les préférences système. Sur ce panneau il y a un cadenas. Et bien pour cliquer sur le bouton qui va autoriser l'extension, on n'a pas besoin de déverrouiller le panneau ! Ça veut dire que n'importe quel utilisateur même ne connaissant pas de mot de passe admin peut autoriser les extensions système !

avatar huexley | 

oh bordel… Merci de l'info !

avatar marc_os | 

@huexley
En fait Apple a dû se dire que le risque est minime, car c'est une décision de leur part, pas un bogue, que de ne pas exiger le mot de passe admin. Ils ont dû se dire que pour installer un kext il faut les droits d'admin et que donc on ne va pas faire chier l'utilisateur en lui demandant de le saisir une seconde fois son mdp. C'est une hypothèse.
Mais ça veut dire que si on installe un logiciel avec extension système, il faut s'en inquiéter tout de suite, et autoriser ou pas l'extension. Et que si on ne veut pas, il faut alors désinstaller le logiciel, car sinon tout autre utilisateur ayant accès à la machine, pourra autoriser cette extension, même un invité.

avatar hirtrey | 

@marc_os

C’est quoi cette excuse !!! Ce sont des extensions systèmes ! Bien sûr qu’il faut demander un mot de passe, c’est le minimum.

avatar marc_os | 

@ hirtrey
Ce n'est pas une excuse, c'est une hypothèse, en d'autres termes une tentative d'explication pourquoi Apple a refusé de demander un mot de passe pour autoriser les kext. Et croyez bien que je n'approuve pas ce choix, c'est d'ailleurs pourquoi j'en ai parlé.

Pages

CONNEXION UTILISATEUR