macOS High Sierra : la root est ouverte à tous ! [Une solution]
Mise à jour — Apple promet un correctif.
C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.
La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).
Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.
Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.
Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…
Une solution pour éviter les problèmes
Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.
Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.
Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…
High Sierra... truffé de bugs divers et manque cruellement d’optimisation.
Je ne regrette absolument pas d’être repassé sous Sierra !
Ca en est même risible.
L'année prochaine pas de mise à jour avant les versions x.2 de macOS et iOS
@frankm
Je le repete depuis des annees maintenant: MacOS est en beta au moins jusqu'a la version 10.x.5 !
Avec High Sierre, la 13eme, vu l'amoncellement de conneries qui supplantent la foison de bug helas habituelle, on va devoir attendre la 10.13.7 ou plus pour avoir un truc a peu pres stable, pas trop truffé de faille gravissimes et un peu optimisé!!!
Surtout vu l’ampleur des conneries avec High Sierra (on peut plus décemment parler de bugs, on est au-dela) il va falloir qu'Apple change totalement de strategie et assure au moins une version LTS (garantie de correction de bug sur au moins 5 ans sans y rajouter des fonctions a tire-l'arigot qui rendent artificiellement obsoletes des machines toujours au top...) de ses OS...
Deux trois choses en plus par rapport a ce qui est ecrit dans l'article:
«Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.»
La procedure evoqué ne concerne que les failles de securité. Ici c'est une connerie de fond rendu exploitable par une cretinerie affligeante et decoulant probablement du mepris d'Apple pour le Mac et MacOS... de plus Apple n'a pas jugé bon de lancer de programme de bug bounty, donc...
«'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra. »
Ben en fait c'est largement pire.
La faille pour se connecter a un compte avec droit d'aministrateurs ça fait une eternité que ça existe sur Mac, et le bug se situe lors de la phase d'installation: l'installateur ne cree qu'un compte avec droit d'administrateur, donc par defaut, les utilisateurs n'ont qu'un seul et unique compte qui est un compte administrateur... quasi aucun utilisateur n'a meme l'information qu'il doit creer ensuite et explicitement un compte avec droit d'utilisateurs restreint et que c'est ce compte qui doit etre utilisé au quotidien.
L'autre gros probleme c'est qu'Apple n'a jamais jugé bon de demander a l'utilisateur, lors de la phase d'installation, de definir un mot de passe pour le compte root - celui dont il est question ici - vu que selon Apple l'utilisateur et trop cretin pour faire une operation aussi complexe et technique (en fait faut juste demander a l'utilisateur de taper un mot de passe et de ne jamais utiliser ce compte ou de retaper ce mot de passe...)
Alors Apple impose SIP, les restrictions toujours plus severes de l'App Store, des mesures abracadabrantes qui entravent plus la fonctionnalité qu'elles n'apportent de securité,... mais par contre laisse grandes ouvertes les portes les plus basiques et faciles de securité de tout Unix - et MacOS est un Unix -...
Maintenant avec High Sierra on ne peut vraiment plus parler d'OS le plus avancé au monde, mais d'OS le plus ridicule au monde...
Et le slogan la securité directement intégrée devrait etre remplacé par la securité directement désintégrée
Je viens de tester et ça ne fonctionne pas chez moi.
Quand on veut sortir un OS par an, alors que personne n'en a besoin ...
@tomlaborde
Un bug?
Pour moi, aucun, j’ai juste pris soins dès le début du X de mettre un mot de passe sur le compte robot.
Et présentement, le mot de passe est toujours actif.
Pour re reste, quelques scories plus que des bug.
Ce sont des stagiaires qui ont développé High Sierra ? Entre l’accès root et les mots de passe qui s’affichaient à la place des indices, ça commence à faire...
Bordel ...
Non opérant sur iMac 27 2017.
idem sur un Mac Mini 2012 sous Fusion Drive en HFS+
il faut activer la case mot de passe pour pouvoir passer sur l'autre fenêtre. sinon il parait inopérant. mais ça marche en fait. reprend encore une fois.
Même en activant la case ça ne passe pas chez moi. Mac Mini 2014 APFS et filevault.
Pareil ... Pourquoi ???
HAAAAAAAAA
Quand un Mac est HS, c’est qu’il est sous High Sierra ?
@Shralldam
Excellent!!! ?
Content de m'être arrêté à Mavericks et Snow Leopard... et passé sur Linux.
Oups ... Ca fait vraiment pas serieux tous ça ... Et dire que Apple force la main pour passer a HS ... :o Vraiment pas acceptable de la part d'une boite pareil ... !
"Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V."
C'est tellement gros, que c'était difficile à garder, quand même.
C'est juste énorme.
Va quand même falloir des explications d'Apple, là.
Ça fonctionne parfaitement sur iMac fin 2015.
Je testerai sur mon mpb 2017 demain..
@Bigdidou : C'est tellement gros, que c'était difficile à garder, quand même.
Ben Apple a un programme de récompense (ah non, que pour iOS, pas macOS) et il aurait peut-être touché une petite somme sympa vu le problème.
@innocente
"Ben Apple a un programme de récompense et il aurait peut-être touché une petite somme sympa vu le problème."
Ah oui, c'est vrai.
Mais je me mets à leur place : c'est comme quand tu trouves une perle dans une huitre ou un graine dans une banane, difficile de tenir sa langue sur le moment.
Ceci étant, on avait déjà évoqué des problèmes dans la gestion de la sécurité avec le bug précédent, mais là, ça fait vraiment peur, quand même.
Indéfendable.
C'est quoi, le bug suivant ?
On peut accéder à toutes les sessions avec qwerty1 ?
@innocente
Apple me gave pour passer sous High Sierra sans que je demande quoi que se soit.
Le type a eu 1000fois raison. D’abord pour qu’ils dégonflent un peu le melon, ensuite pour qu’ils se bougent, et surtout qu’il y a un patch éviden, en attendant le nième correctif.
@0MiguelAnge0 :
J'espère que ton Mac sera piraté de cette manière.
Ah ouais tu t'en fous parce qu'il est au chaud chez toi et que tu as saisi un mot de passe ?!
Et les autres, et les ordis accessibles au public ?
Comportement individualiste et égoïste typique de ce début de siècle. Rien à foutre des autres du moment que moi et mes selfies sont safes. :-/
Idem les ceuces qui applaudissent et souhaitent du mal aux autres.
Quelle sale mentalité !!
@marc_os
Tu te rends compte de la sale mentalité qui a abouti a cette connerie monumentale?
je te rappelle que MacOS, comme iOS et ses derivés sont des Unix et qu'Apple n'utilise meme pas les fondamentaux de base qui sont intrinsèques de la securite sur Unix.
La connerie en question c'est juste possible parce que Apple a jugé bon de ne jamais demander systématiquement a l'utilisateur de définir un mot de passe pour le compte root et que l'installateur de MacOS s'arrete a la creation du compte avec droits d'administrateur, compte qui ne devrait jamais etre utilisé au quotidien mais qui doit etre reservé pour les mise-a-jour et installation d'applications...
L'autre cause, c'est évidement le mepris du Mac depuis des annees et le fait de vouloir sortir coute de coute (surtout sans payer une equipe dediée au developpement de MacOS) une version de MacOS par an, uniquement pour une question de strategie d'obsolescence programmee et de marketing de "novatisme"...
Et pour rappel, si tu ne le sais pas, sur un Unix on doit avoir au moins 2 comptes: un compte avec droits d'administrateur et un compte avec droits d'utilisateurs. Combien de Mac sont dépourvu de compte restreints aux droits d'utilisateur? 90%, 95%, 99% ? Et ca uniquement a cause de la sale mentalité et de la politique d'Apple.
@C1rc3@0rc :
Tu parles du capitalisme ?
Oui c'est la sale mentalité des capitalistes qui VOLENT une partie des richesses produites par les salariés pour les donner aux actionnaires rois qui est à l'origine des catastrophes de ce monde comme les délocalisations et le chômage, le dérèglement climatique et la destruction des écosystèmes de notre planète car ces messieurs les actionnaires sont insatiables, plus toujours plus c'est leur moto. Alors la QA ça coûte de l'argent donc on fait des économies dessus, et PAF je bogue.
Pages