macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…


avatar Bigdidou | 

@innocente

"C'est quoi une PAC ?"
Une faute dans l'acronyme PAQ (politique d'amelioration de la qualité) ?
Hélas je crains, ayant déjà lu le bonhomme d'un plus prosaïque PutAClic;

avatar macam | 

@MacG :
Il y a du vrai dans ce que dit kifelkloun : la dernière mise à jour de sécurité de macOS n'a pas bouché la faille permettant d'accéder aux mots de passe du trousseau, or cela ne vous a nullement ému, alors que vous en faisiez les gros titres et souligniez le caractère inquiétant lors de sa découverte. Et comme par hasard ça n'a pas non plus ému les lecteurs...

On veut du sensass, du sensass,
On est en manque, on en veut en masse...
https://www.youtube.com/watch?v=vG_mNps0cNc

avatar en ballade | 

@Dr. Kifelkloun

Tu es sérieux ou tu ne réfléchis pas avant de défendre la indéfendable?

Navrant....

avatar Madalvée | 

Mac4ever conseille en attendant d'attribuer un mot de passe manuellement à ce compte root.

avatar IceWizard | 

Ça tombe bien, il y a des promotions sur les boules de pétanques en ce moment ..

avatar jojo5757 | 

J'en suis resté à El Capitan (et je lui trouve déjà pas mal de bugs en particuliers les fenêtres des dossiers qui qqfois sont figées et qu'on ne peut plus fermer sauf à fermer le Finder) mais pas prêt de passer à high-machin. Apple est tombé bien bas. Combien d'ingénieurs déjà dans cette boîte ? On se moquait de Windows à l'époque de Windows 95/98 mais là c'est carrément pire ! Je le dis et je le redis Windows 7 je ne lui trouve aucun bug et il marche du feu de dieu. D'ailleurs je n'achèterai plus jamais de Mac je garde mes 3 vieilles machines et ce seront les dernières à la pomme. Windows 7 en ssd est déjà en train de remplacer peu à peu mon Mac mini 2012 (le dernier vrai Mac mini).

avatar Lestat1886 | 

@jojo5757

J’en lui avais trouvé plein de bugs a W7! C’était d’ailleurs le dernier Windows avant que je passe définitivement au Mac.

Alors oui c’est une sacrée faille là mais j’imagine qu’elle sera corrigée d’ici quelques jours! De là à jeter tout l’écosystème pour ça il y a un pas que je ne franchirai pas (à moins qu’Apple ne corrige oas la faille) parce que des failles il y en a dans tous les OS!

avatar en ballade | 

@Lestat1886

"J’en lui avais trouvé plein de bugs a W7!"

Biensur on te croit!

C’est quoi l’écosystème en 2017? Dropbox, adobe...?

avatar lesurfeurfou | 

Vite un correctif !

avatar Macmade | 

Pour régler le problème en attendant une mise à jour d'Apple, activez l'utilisateur root:
http://www.xs-labs.com/en/blog/2017/11/26/prevent-macos-root-access/

avatar Bigdidou | 

@Macmade

Merci !

avatar thieerryy | 

@Macmade

Merci pour l’explication. Je n’avais pas qu’il fallait aller dans le menu édition pour trouver la possibilité de changer le mot de passe.
Merci

avatar sam69008 | 

Dingue fonctionne chez moi

avatar jordan155 | 

Encore une affaire qui prouve une fois de plus que macOs et devenu oe cadet des soucis d’apple... il n’y en a plus que pour l’iphone.

avatar ovea | 

Heureusement que MirageOS arrive

https://mirage.io/

avatar simnico971 | 

Je risque de rester sur Sierra pour encore un petit bout de temps visiblement...

https://twitter.com/0xAmit/status/935607313368481793
??? Bravo Apple.

avatar freefalling | 

En tout cas manipulation inopérante chez moi. MacBook Pro mid-2015, 10.13.1 (17B48) et FileVault activé.

avatar marenostrum | 

ferme ta session, et dans la case de ton Nom tu mets root et confirme avec la touche Entre. tu rentres en super admin. le File Vault chiffre les données de disque dur mais ne protège pas le compte admin ou root (system admin).

avatar RedMak | 

pour ceux qui disent qu’il fallait le dire à Apple avant, moi je dis NON !

Qu’ils aient une pu*<%* de gifle sur la gueule pour qu’ils se réveillent !!
Moi quand je développe un truc et qu’il y a un tel bug je me fait défoncé sur le store ! Et ils ont raison les utilisateurs car c’est tellement gros qu’on dirait qu’il y avait pas une review du code !

C’est la première fois que je m’énerve de la sorte ici sur ce forum mais ce bug me fait douter d’Apple (encore plus) qui est mon gagne pain en plus..

avatar NerdForever | 

@RedMak

Eh oui c'est bien ça le pire... on finit par prendre peur de leur incompétence...

avatar FraggyFred | 

Mon iMac late 2013 sous HS insensible … va comprendre !

avatar babgond | 

@jojo5757 attention Windows 7 ne supporte déjà plus les nouvelles cartes mère.

avatar ecosmeri | 

Pas le temps pour ces connerie fallait faire des emoji. Emoji cadenas ? bien plus efficace qu'un mot de passe

avatar Doctomac | 

Oupsss grosse faille.

Il est possible aussi de désactiver l’utilisateur root.

avatar Mickaël Bazoge | 
J'ai désactivé le compte root ici et le bug est toujours présent.

Pages

CONNEXION UTILISATEUR