macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…


avatar marc_os | 

@Bigdidou :
Tu peux donc dire un grand merci au type qui a rendu la chose publique avant d'informer Apple !

avatar Sica | 

Pour moi, sur imac 27 fin 2013... ne fonctionne pas.

avatar bobytron | 

Tiens, je me demande si c’est pour ça que le helpfesk d’Apple était en feu aujourd’hui.

avatar Sica | 

Et comme mon accès se fait par liste d’utilisateurs, on ne peut pas se connecter sur un compte root non plus.
Faut encore que j’essaye depuis un ordi externe.

avatar Sica | 

Idem macbookair de 2014... fonctionne pas !

avatar BitNic | 

Finalement heureusement que la Tante Ursule est restée sous Minitel, au moins elle n'a pas de problème !

avatar supermars | 

C'est moi où plus leurs produits sont chers, plus ça merde ?

Bref, inadmissible et laisse planer un doute sur tout le reste.

avatar adrienj | 

À croire qu'Apple est infiltrée par des agents de la NSA qui laissent intentionnellement de grandes portes ouvertes dans MacOS.

avatar ijimax | 

A vrai dire, comme pour beaucoup de “linuxiens” la commande passed est un réflèxe.
Ayant toujours changé le mot de passe de root dès l’installation, pour une fois je suis chanceux.

avatar jmtweb | 

Je suis resté sous High Sierra deux semaines à peine et j'ai vite downgradé vers Sierra.
L'apport de cette nouvelle mouture est inexistant par rapport à Sierra.

avatar Moonwalker | 

Marche pas chez moi.

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

1. quand j’écris « root » dans la case du nom d’utilisateur et que je valide, le nom d’utilisateur redevient automatiquement le nom de l’administrateur.

2. Je n’ai aucune fenêtre flottante qui apparait.

Par contre, j’ai eu droit à une variante :

Après avoir quitté ma session, j’ai constaté la présence de l’utilisateur « autre » dans la fenêtre de login. J’ai alors saisi « root » pour le nom d’utilisateur et « root » pour le mot de passe et je me suis retrouvé sur la session de l’utilisateur root.

Nota bene : je n’avais jamais défini l’utilisateur root avant.

avatar Bigdidou | 

@Moonwalker

"J’ai alors saisi « root » pour le nom d’utilisateur et « root » pour le mot de passe et je me suis retrouvé sur la session de l’utilisateur root."

Ce que tu décris est bien ce que je craignais : un accès root activé pa défaut et sans mot de passe, non ?
C'est... ahurissant.
Je teste tout à l'heure au boulot.

avatar en ballade | 

Appl€ est devenu définitivement un fabricant de téléphone.

avatar ludobubner | 

Scandaleux

avatar fte | 

C'est un bug, en soit ça ne prouve rien.

Mais si on suit les forums dev, et les discussions diverses autour de High Sierra, on note néanmoins une tendance déplaisante.

On va encore m'allumer je suppose, mais la qualité est en baisse, que ça vous déplaise ou pas.

Il y en a eu de belles quand-même.

avatar Bigdidou | 

@fte

"On va encore m'allumer je suppose, mais la qualité est en baisse, que ça vous déplaise ou pas."

Faut admettre que la tendance est là.
Mais je crois pas que le débat se situe là.

avatar webHAL1 | 

Il me semble qu'Apple n'est nullement à blâmer dans cette histoire, puisqu'elle avait pris soin d'avertir ses utilisateurs. En effet, la manipulation pour exploiter cette énorme faille de sécurité est de taper deux fois à l'identique le mot "root". Or, rappelez-vous, la Pomme a bien précisé dernièrement que les mesures de protection qu'elle met en place sur ses appareils ne sont pas très efficaces avec les jumeaux ! ;-)

Cordialement,

HAL1

avatar Fabeme | 

Alors là... impressionnant ! Perso je personnalise le mot de passe root après l’installation mais c’est très loin d’être courant comme pratique. Apple a intérêt à sortir un correctif aujourd’hui pour une bourde pareille. High Sierra a vraiment été sortit trop vite cette année...

avatar Steve Molle | 

Continuez à filer votre blé sans réfléchir à l’Apple 2017 et savourez ce genre de choses hallucinantes.

Tocards !

avatar huexley | 

Ça fait un moment que la faille est dans la nature !!

https://forums.developer.apple.com/thread/79235

avatar debione | 

Ah, ouais! Bordel! depuis juin c'est connu par Apple...

Bref, une faille gérée à la Apple, dans le prochain Os elle ne sera pas présente, jusque la rien a battre, les gens ont acheté les machines...

avatar huexley | 

C'est fabuleux !

avatar PierreBondurant | 

@huexley

No limit Apple...

avatar Le Gognol | 

@huexley

La discussion date de juin mais la réponse exploitant la faille de novembre. Donc non a priori ce n’est pas connu depuis juin...

avatar SugarWater | 

Pages

CONNEXION UTILISATEUR