macOS High Sierra : la root est ouverte à tous ! [Une solution]
Mise à jour — Apple promet un correctif.
C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.
La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).
Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.
Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.
Une solution pour éviter les problèmes
Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.
Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.
Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…
@innocente
"C'est quoi une PAC ?"
Une faute dans l'acronyme PAQ (politique d'amelioration de la qualité) ?
Hélas je crains, ayant déjà lu le bonhomme d'un plus prosaïque PutAClic;
@MacG :
Il y a du vrai dans ce que dit kifelkloun : la dernière mise à jour de sécurité de macOS n'a pas bouché la faille permettant d'accéder aux mots de passe du trousseau, or cela ne vous a nullement ému, alors que vous en faisiez les gros titres et souligniez le caractère inquiétant lors de sa découverte. Et comme par hasard ça n'a pas non plus ému les lecteurs...
On veut du sensass, du sensass,
On est en manque, on en veut en masse...
https://www.youtube.com/watch?v=vG_mNps0cNc
@Dr. Kifelkloun
Tu es sérieux ou tu ne réfléchis pas avant de défendre la indéfendable?
Navrant....
Mac4ever conseille en attendant d'attribuer un mot de passe manuellement à ce compte root.
Ça tombe bien, il y a des promotions sur les boules de pétanques en ce moment ..
J'en suis resté à El Capitan (et je lui trouve déjà pas mal de bugs en particuliers les fenêtres des dossiers qui qqfois sont figées et qu'on ne peut plus fermer sauf à fermer le Finder) mais pas prêt de passer à high-machin. Apple est tombé bien bas. Combien d'ingénieurs déjà dans cette boîte ? On se moquait de Windows à l'époque de Windows 95/98 mais là c'est carrément pire ! Je le dis et je le redis Windows 7 je ne lui trouve aucun bug et il marche du feu de dieu. D'ailleurs je n'achèterai plus jamais de Mac je garde mes 3 vieilles machines et ce seront les dernières à la pomme. Windows 7 en ssd est déjà en train de remplacer peu à peu mon Mac mini 2012 (le dernier vrai Mac mini).
@jojo5757
J’en lui avais trouvé plein de bugs a W7! C’était d’ailleurs le dernier Windows avant que je passe définitivement au Mac.
Alors oui c’est une sacrée faille là mais j’imagine qu’elle sera corrigée d’ici quelques jours! De là à jeter tout l’écosystème pour ça il y a un pas que je ne franchirai pas (à moins qu’Apple ne corrige oas la faille) parce que des failles il y en a dans tous les OS!
@Lestat1886
"J’en lui avais trouvé plein de bugs a W7!"
Biensur on te croit!
C’est quoi l’écosystème en 2017? Dropbox, adobe...?
Vite un correctif !
Pour régler le problème en attendant une mise à jour d'Apple, activez l'utilisateur root:
http://www.xs-labs.com/en/blog/2017/11/26/prevent-macos-root-access/
@Macmade
Merci !
@Macmade
Merci pour l’explication. Je n’avais pas qu’il fallait aller dans le menu édition pour trouver la possibilité de changer le mot de passe.
Merci
Dingue fonctionne chez moi
Encore une affaire qui prouve une fois de plus que macOs et devenu oe cadet des soucis d’apple... il n’y en a plus que pour l’iphone.
Heureusement que MirageOS arrive
https://mirage.io/
Je risque de rester sur Sierra pour encore un petit bout de temps visiblement...
https://twitter.com/0xAmit/status/935607313368481793
??? Bravo Apple.
En tout cas manipulation inopérante chez moi. MacBook Pro mid-2015, 10.13.1 (17B48) et FileVault activé.
ferme ta session, et dans la case de ton Nom tu mets root et confirme avec la touche Entre. tu rentres en super admin. le File Vault chiffre les données de disque dur mais ne protège pas le compte admin ou root (system admin).
pour ceux qui disent qu’il fallait le dire à Apple avant, moi je dis NON !
Qu’ils aient une pu*<%* de gifle sur la gueule pour qu’ils se réveillent !!
Moi quand je développe un truc et qu’il y a un tel bug je me fait défoncé sur le store ! Et ils ont raison les utilisateurs car c’est tellement gros qu’on dirait qu’il y avait pas une review du code !
C’est la première fois que je m’énerve de la sorte ici sur ce forum mais ce bug me fait douter d’Apple (encore plus) qui est mon gagne pain en plus..
@RedMak
Eh oui c'est bien ça le pire... on finit par prendre peur de leur incompétence...
Mon iMac late 2013 sous HS insensible … va comprendre !
@jojo5757 attention Windows 7 ne supporte déjà plus les nouvelles cartes mère.
Pas le temps pour ces connerie fallait faire des emoji. Emoji cadenas ? bien plus efficace qu'un mot de passe
Oupsss grosse faille.
Il est possible aussi de désactiver l’utilisateur root.
si on change le mdp root comme indiqué, le compte root devient inopérant avec un mdp "vide"... j'espère qu'il n'y aura pas d'effet de bord ? (services, Maj ??)
Merci pour l'article et les conseils !
Oui effectivement, c’est comme s'il ne le désactivait pas.
La manip ne fonctionne pas chez moi, je suis pourtant bien sur High Sierra ( IMAC 27" late 2015 )
mais oui ça marche.
J'ai fait toutes les manips et à la dernière étape j'ai réalisé que l'utilisateur root était désactivé.
Y a t-il un lien avec le fait que j'ai désactivé le compte utilisateur invité ?
Salut à toutes et tous.
Pour donner un mot de passe à l'utilisateur root, rien de plus simple :
dans le terminal taper :
sudo passwd root
un premier mot de passe est demandé par sudo (classique). C'est le mot de passe de l'administrateur.
ensuite un nouveau mot de passe est demandé pour root. Le taper et valider.
Et le taper à nouveau pour confirmation.
Aucun des mots de passe ne s'affiche lorsqu'on les tape.
@+
Dans la pratique, il faut déjà s’être connecté en tant qu’utilisateur et souvent, il n’y a qu’un seul utilisateur sur une machine, donc sauf sur macOS serveur, c’est pas non plus dramatique.....
@dscreve
"Dans la pratique, il faut déjà s’être connecté en tant qu’utilisateur et souvent, il n’y a qu’un seul utilisateur sur une machine, donc sauf sur macOS serveur, c’est pas non plus dramatique....."
Ben non, à partir de n'importe quelle session invité, tu peux avoir un accès root.
Rien de vraiment embêtant ni dangereux, faut être tordu pour penser ça, c'est sûr... :D
Je veux bien défendre Apple, ou plutôt, non, macOS griffes et ongles, mais là, je suis pantois.
par default l'utilisateur invité est activé. et là en mettant root dans la case on rentre sans mot de passe. ou si on a en bas l'icône Autre utilisateur, c'est pareil on rentre avec root et sans mot de passe.
C’est la premiere fois que je ne fais pas la mise sur le nouvel OS
Et je pense que cela va durer longtemps
- High Sierra, JE suis ton root.
- Non..... ce n’est pas vrai. C’est impossible !
- Lis dans ton cœur, tu sauras que c’est vrai.
Impossible de reproduire votre histoire sur MBP 13" TouchBar !!!
EN fait si je tape root et enter il me demande ensuite mon mot de passe de session avec mon ID dans une autre fenêtre…
Je ne comprends pas le soucis que vous décrivez ?!
envoie moi ton ordi et je vais te prouver que je rentre dedans.
Ça craint.
Apple a force de devenir trop grand et de soutenir des nouvelles moutures sous la pression de leurs actionnaires/clients sortent des choses dignes de Microsoft.
Ça craint.
@misterbrown
Et elle ne devrait plus soutenir de nouvelles moutures ?
La c’est plutôt un gros problème de contrôle qualité
En quoi c'est bug ? Ce mot est utilisé à tout vent pour n'importe quoi, même mon beau fils pense que c'est un bug internet n'est pas assez rapide...
C'est un oubli qui n'empêche en rien le logiciel de fonctionner, pas un bug (qui empêcherait le logiciel de fonctionner comme prévu).
Cet oubli diminue la sécurité du système mais n'en change pas son fonctionnement normal.
@_Teo_
"C'est un oubli qui n'empêche en rien le logiciel de fonctionner"
Wahoo, y a du lourd ce soir.
Ben non, c'est pas un bug, ça effondre juste la sécurité de base de l'OS qui h'est pas fonction, juste un truc pour faire joli.
Rhooo, quand même...
@_Teo_
"C'est un oubli qui n'empêche en rien le logiciel de fonctionner, pas un bug (qui empêcherait le logiciel de fonctionner comme prévu).
Cet oubli diminue la sécurité du système mais n'en change pas son fonctionnement normal."
Sont fonctionnement normal est d'être sécurisé. On parle d'un Unix quand même. Le Mac à la base c'est l'assurance d'une certaine sécurité.
Pour ma part, j'ai beau essayé plusieurs fois mais rien y fait, ça ne marche pas :)
Ouille ?
Les commentaires sont à mourir de rire. 95% ne savaient même pas que ce compte root existaient, ceux qui le connaissent lui ont administré depuis longtemps un mot de passe. Donc non, la faille était très difficile à trouver. Il faut avoir un ordi où quelqu’un utilise root sans avoir de mot de passe personnalisé...
Sinon détendez-vous, faut déjà s’entre logué pour pouvoir le modifier, c’est donc une faille difficile à mettre en place.
@Nesus
"faut déjà s’entre logué pour pouvoir le modifier"
Loggué à partir de n'importe quel compte, y compris guest.
T'as raison, c'est très difficile d'accès, comme faille.
"95% ne savaient même pas que ce compte root existaient"
J'apprends surtout qu'il est activé par défaut, autre chose qui me sidère, d'ailleurs.
@Bigdidou
Raison de plus pour ne jamais activer le mode guest sur son ordinateur :)
Faux, il n'est pas activé par défaut mais, le bug fait que quand vous taper root et un mot de passe la première fois, il active le compte root et il met le mot de passe que vous venez de taper.
C'est pour ça, que root fonctionne sans mot de passe lors de la deuxième tentative. si vous refaite la manipulation mais, que vous mettez un mot de passe, le compte root ne fonctionnera qu'avec se mot de passe.
Pages