macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…


avatar Ali Baba | 

@ThonyF

Merci pour l’explication !

avatar Maxi22700 | 

@ThonyF

C’est exactement ça !

avatar Nesus | 

@Bigdidou

Heu... c’est juste le cas depuis panter. Qu’avez-vous fait pendant tout ce temps ?
Comme quoi la sécurité pour beaucoup, c’est juste de taper son mot de passe à l’ouverture de l’ordi. Une histoire dans la tête, pour se rassurer, peu importe la réalité.

Donc mettre un accès « invité » sans avoir administré au préalable correctement un ordinateur (et donc réglé le compte root comme il se doit) est envisageable ?
Décidément en informatique c’est vraiment « passé moi le lance flamme que j’allume le barbecue et si la maison brûle, je crierai au scandale du fournisseur ! »...

Ça ne veut pas dire que les devs n’ont pas créés un comportement anormal. Mais toutes les pleureuses qui viennent nous expliquer que c’est un drame alors qu’ils ont sciemment laissé la porte ouverte depuis des années...

avatar Bigdidou | 

@Nesus
"Heu... c’est juste le cas depuis panter. Qu’avez-vous fait pendant tout ce temps ? "

J'ai lu ce qu'Apple m'explique à ce propos, et vous (root désactivé par défaut)?
https://support.apple.com/fr-fr/HT204012

Je vous renvoie votre petit couplet pour usage, sinon.

avatar DarthThauron | 

@Nesus

Oui mais un pirate sait ce qu'est une connexion en root. On s'en fout que l'utilisateur de base ne le sache pas...

avatar Domsware | 

@DarthThauron

Pour être précis, un pirate qui dans ce cas doit avoir un accès physique au mac avec une session déverrouillée...

avatar DarthThauron | 

@Domsware

Pas forcément... L'accès physique n'est pas nécessaire... un serveur web mal sécurisé avec un accès en écriture pour installer un script php permet d'accéder à une cession root surtout si le mot de passe de ce dernier est connu, en l'occurence vide, vu que c'est manifestement la faille telle qu'elle est décrite ici...

avatar jojo5757 | 

@Nesus

Bien sûr que non. Oui on connaît bien évidemment root comme sous Linux mais a partir du moment où il ya "sudo" il n'y a forcément pas de mot de passe root. Et si on en mets un on utilise plus "sudo" et j'ai toujours entendu dire que le système était plus sécurisé avec sudo qu'en rentrant en session root. CQFD

avatar ThonyF | 

Enfaite, la premier fois que tu tape root et que tu mais un mot de passe il te le met faut et à la deuxième tentative il prend bien en compte ce que tu as tapé dans les champs juste avant.
C'est valable que si le compte root est désactiver. donc, petit bug mais, grosse faille niveau sécurité pour ceux que le compte root n'est pas activé.

avatar zoubi2 | 

@ThonyF

Aïe... z'avez un peu de collyre SVP ?

avatar 1515julian | 

Rolala la bourde de l’année..

avatar IGerard | 

Monstrueux...

avatar Bigdidou | 

J'ai pas vérifié, mais otez moi d'un doute affreux, le root est tout de même pas activé par défaut sans mot de passe ?
Quelqu'un a essayé d'entrer sans une session root directement, en laissant le mot de passe vide ?

avatar ThonyF | 

Non, je l'explique un peut plus haut.

avatar Steve Molle | 

Le pire est qu’il y a encore quelques résidus de fanboys radicaux pour nous expliquer que ce n’est rien :)

avatar Lestat1886 | 

@Steve Molle

Personne ici ne dit que c’est rien. Faut pas voir des fanboys partout

avatar en ballade | 

@Lestat1886

"Personne ici ne dit que c’est rien."

Relis un peu

avatar Macounette | 

Ah ben non, désolée, impossible de reproduire ce bug sur mon Macbook 2015 sous High Sierra. Dès lors que l'utilisateur root est désactivé, ce bug n'est pas reproductible...

avatar Macounette | 

D'ailleurs je ne suis pas la seule, y'a des commentaires au tweet initial qui n'arrivent pas à reproduire ce bug non plus. Pour qu'il fonctionne faut que root soit activé. Pas de root, pas de bug.

avatar Bigdidou | 

@Macounette

"Pour qu'il fonctionne faut que root soit activé. Pas de root, pas de bug."

Sauf que je ne l'ai jamais activé, et le bug fonctionne parfaitement chez moi.

avatar ThonyF | 

je suis désoler de vous contre dire mais, c'est lors que root est désactiver que le bug ce produit.
Chez moi il était activer avec un mot de passe que j'avais mis et impossible de faire le bug.
Puis, j'ai désactiver root et assez et la ça à bien fonctionné

avatar Macounette | 

C'est tout le contraire en ce qui me concerne. J'essaie de reproduire le bug, je tape "root" et pas de mot de passe......... rien ne se passe.

avatar marenostrum | 

faut suivre l'article. avant de taper Déverrouiller il faut sélectionner (avec la souris) la case mot de passe. et la deuxième fenêtre va s'ouvrir.

avatar Macounette | 

@marenostrum, je n'ai pas de 2ème fenêtre. Mais même en sécurisant root avec un mot de passe, à partir du moment où on le désactive, et qu'on sélectionne la case mot de passe comme tu dis, le bug revient... seule solution, activer et sécuriser le user root...

avatar marenostrum | 

tout à fait, on doit plus désactiver l'utilisateur root. mais ça sera vite réglé par Apple je pense. demain soir peut-être, comme l'ont fait pour l'autre bug.

Pages

CONNEXION UTILISATEUR