macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…


avatar Wilthek | 

si on change le mdp root comme indiqué, le compte root devient inopérant avec un mdp "vide"... j'espère qu'il n'y aura pas d'effet de bord ? (services, Maj ??)

Merci pour l'article et les conseils !

avatar Doctomac | 

Oui effectivement, c’est comme s'il ne le désactivait pas.

avatar niçois | 

La manip ne fonctionne pas chez moi, je suis pourtant bien sur High Sierra ( IMAC 27" late 2015 )

avatar marenostrum | 

mais oui ça marche.

avatar LeGrosJeanLou | 

J'ai fait toutes les manips et à la dernière étape j'ai réalisé que l'utilisateur root était désactivé.

Y a t-il un lien avec le fait que j'ai désactivé le compte utilisateur invité ?

avatar jeanjd63 | 

Salut à toutes et tous.

Pour donner un mot de passe à l'utilisateur root, rien de plus simple :
dans le terminal taper :
sudo passwd root
un premier mot de passe est demandé par sudo (classique). C'est le mot de passe de l'administrateur.
ensuite un nouveau mot de passe est demandé pour root. Le taper et valider.
Et le taper à nouveau pour confirmation.
Aucun des mots de passe ne s'affiche lorsqu'on les tape.

@+

avatar dscreve | 

Dans la pratique, il faut déjà s’être connecté en tant qu’utilisateur et souvent, il n’y a qu’un seul utilisateur sur une machine, donc sauf sur macOS serveur, c’est pas non plus dramatique.....

avatar Bigdidou | 

@dscreve

"Dans la pratique, il faut déjà s’être connecté en tant qu’utilisateur et souvent, il n’y a qu’un seul utilisateur sur une machine, donc sauf sur macOS serveur, c’est pas non plus dramatique....."

Ben non, à partir de n'importe quelle session invité, tu peux avoir un accès root.
Rien de vraiment embêtant ni dangereux, faut être tordu pour penser ça, c'est sûr... :D
Je veux bien défendre Apple, ou plutôt, non, macOS griffes et ongles, mais là, je suis pantois.

avatar marenostrum | 

par default l'utilisateur invité est activé. et là en mettant root dans la case on rentre sans mot de passe. ou si on a en bas l'icône Autre utilisateur, c'est pareil on rentre avec root et sans mot de passe.

avatar iKalimero | 

C’est la premiere fois que je ne fais pas la mise sur le nouvel OS
Et je pense que cela va durer longtemps

avatar lepoulpebaleine | 

- High Sierra, JE suis ton root.
- Non..... ce n’est pas vrai. C’est impossible !
- Lis dans ton cœur, tu sauras que c’est vrai.

avatar tempest | 

Impossible de reproduire votre histoire sur MBP 13" TouchBar !!!
EN fait si je tape root et enter il me demande ensuite mon mot de passe de session avec mon ID dans une autre fenêtre…
Je ne comprends pas le soucis que vous décrivez ?!

avatar Mickaël Bazoge | 
Tu fais comme c'est marqué dans l'article : tu mets root de nouveau comme nom d'utilisateur dans la fenêtre.
avatar marenostrum | 

envoie moi ton ordi et je vais te prouver que je rentre dedans.

avatar misterbrown | 

Ça craint.

Apple a force de devenir trop grand et de soutenir des nouvelles moutures sous la pression de leurs actionnaires/clients sortent des choses dignes de Microsoft.

Ça craint.

avatar Lestat1886 | 

@misterbrown

Et elle ne devrait plus soutenir de nouvelles moutures ?

La c’est plutôt un gros problème de contrôle qualité

avatar _Teo_ | 

En quoi c'est bug ? Ce mot est utilisé à tout vent pour n'importe quoi, même mon beau fils pense que c'est un bug internet n'est pas assez rapide...
C'est un oubli qui n'empêche en rien le logiciel de fonctionner, pas un bug (qui empêcherait le logiciel de fonctionner comme prévu).
Cet oubli diminue la sécurité du système mais n'en change pas son fonctionnement normal.

avatar Bigdidou | 

@_Teo_

"C'est un oubli qui n'empêche en rien le logiciel de fonctionner"
Wahoo, y a du lourd ce soir.
Ben non, c'est pas un bug, ça effondre juste la sécurité de base de l'OS qui h'est pas fonction, juste un truc pour faire joli.
Rhooo, quand même...

avatar bugman | 

@_Teo_

"C'est un oubli qui n'empêche en rien le logiciel de fonctionner, pas un bug (qui empêcherait le logiciel de fonctionner comme prévu).
Cet oubli diminue la sécurité du système mais n'en change pas son fonctionnement normal."

Sont fonctionnement normal est d'être sécurisé. On parle d'un Unix quand même. Le Mac à la base c'est l'assurance d'une certaine sécurité.

avatar Lyonnais83 | 

Pour ma part, j'ai beau essayé plusieurs fois mais rien y fait, ça ne marche pas :)

avatar chriseg | 

Ouille ?
/a>

avatar Nesus | 

Les commentaires sont à mourir de rire. 95% ne savaient même pas que ce compte root existaient, ceux qui le connaissent lui ont administré depuis longtemps un mot de passe. Donc non, la faille était très difficile à trouver. Il faut avoir un ordi où quelqu’un utilise root sans avoir de mot de passe personnalisé...
Sinon détendez-vous, faut déjà s’entre logué pour pouvoir le modifier, c’est donc une faille difficile à mettre en place.

avatar Bigdidou | 

@Nesus

"faut déjà s’entre logué pour pouvoir le modifier"

Loggué à partir de n'importe quel compte, y compris guest.
T'as raison, c'est très difficile d'accès, comme faille.

"95% ne savaient même pas que ce compte root existaient"
J'apprends surtout qu'il est activé par défaut, autre chose qui me sidère, d'ailleurs.

avatar Lestat1886 | 

@Bigdidou

Raison de plus pour ne jamais activer le mode guest sur son ordinateur :)

avatar ThonyF | 

Faux, il n'est pas activé par défaut mais, le bug fait que quand vous taper root et un mot de passe la première fois, il active le compte root et il met le mot de passe que vous venez de taper.
C'est pour ça, que root fonctionne sans mot de passe lors de la deuxième tentative. si vous refaite la manipulation mais, que vous mettez un mot de passe, le compte root ne fonctionnera qu'avec se mot de passe.

Pages

CONNEXION UTILISATEUR