macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…


avatar Macounette | 

OK, j'ai activé root, et là oui, le bug est reproductible.

avatar Macounette | 

... et en le re-désactivant, le bug reste. Bingo.

avatar marenostrum | 

moi je me rappelle y a très longtemps (2005 peut-être) j'avais activé un compte root, mais avec un mot de passe. là j'ai pu le reproduire, mais le compte root était sans mot de passe, dès que j'ai mis un mot de passe, ça ne marche plus.

avatar Armaniac | 

Hé bien je n'aurais jamais pensé dire ça il y a un ou deux ans, mais je vais définitivement adopter le réflexe d'attendre la version .4 de l'OS avant de mettre à jour. Si j'étais Federighi, je me poserais des sérieuses questions sur les bases de l'OS, plutôt que de me concentrer sur les émojis...

avatar Lestat1886 | 

@Armaniac

Qu’est-ce que ça a à voir les emojis, vu l’équipe d’Apple l’un n’empêche pas l’autre.

Des têtes vont tomber...

avatar Armaniac | 

A priori rien, je te l'accorde.

Mais ce genre de découverte ne fait que conforter, à tort ou à raison, cette impression qu'Apple se détourne des soucis de sécurité et d'architecture. Evidemment on peut arguer que refonder le système de fichiers, c'est refonder directement les bases du système ; mais comme je l'explique plus haut, cela ne devrait en aucun cas impacter la sécurité : ce sont deux choses bien différentes.

En bref : plutôt que d'occuper les effectifs à dessiner de nouveaux joujoux, ils feraient mieux d'embaucher quelques bonnes brutasses en sécurité, ça ne leur feraient pas du mal ; c'est même le moins qu'on puisse dire. S'ils peuvent se permettre les deux, tant mieux, mais le second est clairement plus important que le premier. Et en l'état actuel de sa communication, Apple donne l'impression inverse.

avatar Lestat1886 | 

@Armaniac

C’est vrai mais j’imagine que lrs designers des emojis ne sont pas ceux responsables de ka sécurité du système ! Enfin vu cette faille on peut en douter ?

avatar bugman | 

? Faites des bijoux, des vêtements ou des tasses à café, je sais pas moi !

avatar Macmade | 

Le pire, c'est qu'ils l'ont déjà fait... ?

avatar AbsolutMoi | 

C’est vraiment devenu une blague Apple, ce me rend triste :(

avatar Ali Ibn Bachir Le Gros | 

Ah ça, quand un fabricant de téléphones essaye de faire des ordinateurs. Ils devraient rester dans leur cœur de métier.

:-)

avatar marenostrum | 

ils ont viré apparement le seul mec compétent, qui tenait avant la baraque.

avatar sinbad21 | 

Ils se sont gourés de système, il fallait faire ça sur iOS ! Avec tous ceux qui rêvent d'avoir l'accès root, ça en aurait fait des heureux. Décidément macOS est le parent pauvre du florissant iOS.

avatar IGerard | 

J'ai mis root comme mot de passe ...

Ils ont touché le fond là...

avatar FANREM | 

Si effectivement ca semble fonctionner pour les gens qui n'ont jamais crée un utilisateur root, pour ceux qui ont l'ont fait et ont défini un MDP sur cet utilisateur, la manip ne fonctionne pas et le Mac est sécurisé

avatar Alberto8 | 

Le Mac est devenu pour apple la dernière roue du carrosse ???.

avatar Florent Morin | 

Une incroyable forteresse dont on laisse trainer les clés sous un pot de fleurs.
Ce n'est qu'un bug, mais pas des moindres.

avatar oomu | 

...

heureusement qu'il faut quand même un accès physique/avoir déjà un compte mais.. bon... Bref... ça rassure pas sur le niveau de gaffe dans d'autres parties du système.

Cela serait très gênant dans un parc de mac en milieu universitaire ("youhou, c'est overwatch time les mecs !")

avatar Bigdidou | 

@oomu

"Cela serait très gênant dans un parc de mac en milieu universitaire"

Ben, pour moi, c'est en milieu médical, là.
Tu vois l'angoisse.

avatar oomu | 

ce sont des machine en accès au public ou à des gens n'ayant pas à avoir accès aux comptes des autres ? (données sensibles, etc)? Quel est le contexte de l'usage du mac dans votre cas ?

Je connais surtout l'université/grande école, donc bon, je vois bien des étudiants s'en donnant à coeur joie. J'aimerais beaucoup avoir votre vision du problème et votre usage du mac.

avatar Bigdidou | 

@oomu

"ce sont des machine en accès au public ou à des gens n'ayant pas à avoir accès aux comptes des autres ? (données sensibles, etc)? Quel est le contexte de l'usage du mac dans votre cas ?"

Aucun accès public, pour le reste, ça dépend.
Les médecins ont des machines personnelles.
Mon portables est dans mon bureau dont l'accès est controlé par une serrure à carte avec une historique., comme tous les locaux. Mes collègues y ont accès, ainsi que certains personnels de ménage.
Les infirmiers et les rééducateurs sauf les psychologues et la neuropsychologue ont des machines communes fixes ou portables.
Elles servent essentiellement à l'accès serveur au logiciel patients sur un bureau virtuel, et où chacun a un compte perso (je suis l'admistrateur du truc) ainsi qu'à l'espace commun et personnel sur le serveur. Quand personne ne s'amuse à lancer un ransomware en se demandant ce qu'il peut bien y avoir dans le dossier spam, ça se passe bien.
Nous ne sommes que deux médecins à avoir un mac, tout le monde a un pc.
L'espace commun serveur contient les ressources documentaires communes (procédures, qualité...) et chacun a un espace personnel où il met ses documents persos et ses cr provisoires en attendant qu'il soient inclus dans la base de donnés patients, très sécurisés avec objectif zéro papier et zero document patient électronique qui "traine".
Par contre, le temps de la rédaction, les documents sont sur mon mac, c'est la grosse vulnérabilité sécurité.
Et puis j'ai mes mails, gros soucis, ça, les mails avec les correspondants externes.
Mais cette partie là, n'est pas sur le réseau interne bien sûr.
Globalement, c'est très sécurisé sauf si mon mac est vulnérable sur le réseau...
Un autre souci, c'est que quand je suis d'astreinte, je ramène mon mac à la maison le soir, pour avoir l'accès vpn si j'ai besoin de consulter un dossier pour prendre une décision ou prescrire à distance.
Bon, personne utilise mon mac à la maison, sauf en vacance, mais j'ai fait le vide, donc ça va.
Je suis très embêté par ces vulnérabilités, parce que mon mac est quand même sur le réseau, si une faille rend le contenu du mac accessible, c'est très embêtant; en cas de ransomware par exemple. Nous en sommes à deux attaques, sauvés par une sauvegarde externalisée 5 fois par jour, mais qui s'était étendues, surtout la première comme une trainée de poudre, s'attaquant à tout ce qui était sur le réseau, faisant fi des protections par utilisateur. Mon mac avait été épargné, mais il n'est pas sauvegardé de façon externalisé : le jour ou il est atteint, il y a toute chance pour que ça se propage aux sauvegardes externes locales.
Nous avons eu affaire à de la malveillance interne aussi, d'un personnel renvoyé pour autre chose et qui s'était vengé avant de partir...
Je peux me faire voler mon mac dans le métro, aussi.

Bref, cette faille en elle même me concerne peu sur le professionnel mais une faille réseau qui rendrait accessible le contenu de mon mac, un peu plus, ou pire, qui fragiliserait toute la sécurité du réseau de l'établissement.
Et là, j'ai vraiment pas (plus) confiance.

A la mason, c'est différent; mais moins dramatique.
Les gamins seront au courant de la faille demain (le mercredi, ils ont droit à leurs ordinateurs et internet perso), et ils vont forcément tester sur le mac commun.
Pour s'apercevoir que papa est très réactif et que - le compte root a un mot de passe :D

avatar bugman | 

@Bigdidou

Yooouuuu ! C'est Surgeon Simulator time les gars !

Dur ! :/

avatar Lestat1886 | 

@Bigdidou

Il y a un mot de passe sur ces macs? Le compte Guest est désactivé ?

Si la réponse est oui a ces deux questions tu deux dormir relativement tranquillement et faire ce qui est dit dans l’article demain à la première heure :)

avatar Bigdidou | 

@Lestat1886

"Si la réponse est oui a ces deux questions tu deux dormir relativement tranquillement et faire ce qui est dit dans l’article demain à la première heure :)"

Oui, le compte guest est activé pour éventuellement se dpanne enre collègues, mais bon. D'abord, cette faille ne semble pas active à partir d'un compte guest (à vérifier), d'autre part mes deux collègues sont des gens responsables.
La faille en elle même ne m'inquiète pas là, tout de suite forcément, mais c'est le deuxième gag de suite, quand même.
Je finis par rejoindre ceux qui pensent qu'il y a un problème systémique avec HS et pas seulement des bugs fortuits.
Du coup, oui, ça m'inquiète.

avatar Lestat1886 | 

@Bigdidou

Oui, C’est vrai que c’est assez hallucinant comme bug!

Pages

CONNEXION UTILISATEUR