macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…


avatar SugarWater | 

Après tant qu'on a les animojis ...

avatar kino | 

Mac OS fonctionnera bien le jour où il fonctionne sur un iphone... :)

avatar dtb06 | 

Ca c'est pas une faille, c'est un cataclysme... Vraiment les OS d'Apple sont à bannir !

avatar marc_os | 

Quel est l'intérêt d'Agile Software et du type chez eux de rendre la chose publique sans attendre qu'Apple ait corrigé le bogue ?
À qui profite le crime ?

avatar huexley | 

Ca fait un moment que la faille est dans la nature…

avatar hirtrey | 

Énorme faille mais aussi de la responsabilité de l’utilisateur de modifier le mot de passe root sur une machine.
C’est bien la première action qui doit être faite après une installation.

avatar Bigdidou | 

@hirtrey

"Énorme faille mais aussi de la responsabilité de l’utilisateur de modifier le mot de passe root sur une machine.
C’est bien la première action qui doit être faite après une installation."

Tu as bien compris comment fonctionne la faille ?
Modifier le mot de passe root ne change rien au problème si tu désactives le root ensuite (ce qu'on m'a toujours dit de faire quand l'accès root n'est pas utile).

avatar hirtrey | 

@Bigdidou

Sur une machine unix le root doit toujours être activé !!!!

avatar Bigdidou | 

@hirtrey

"Sur une machine unix le root doit toujours être activé !!!!"
Tu es plus compétent que moi sur le sujet, et tu as sûrement raison.
Ce n'est toutefois pas ce que dit Apple, et je ne comprends pas pourquoi il faudrait que le compte root soit activé en permanence sur des machines de bureau, hors bug conçu par Apple.

avatar macinoe | 

Je ne comprends même pas ce que ça veut dire «  désactiver le root ».

J’ai l’impression d’une grande confusion entre ce que le système peut faire et ce que l’utilisateur peut voir.

avatar Bigdidou | 

@macinoe

"Je ne comprends même pas ce que ça veut dire «  désactiver le root »."
Ce sont les termes qu'emploie Apple.
https://support.apple.com/fr-fr/HT204012
En précisant qu'il ne faut pas "laisser l'utilisateur root activé" en temps normal, ce qui laisse cette faille béante.
Un utilisateur de mac, c'est précisément pas un informaticien, alors il fait ce qu'on lui dit de faire.
Et là, ça met la sécurité des données super en danger.
Ok, il faut avoir un compte sur la machine, mais il faut pas beaucoup d'imagination pour évoquer ce que peut faire un malware assez simple dans ces conditions.
Par ailleurs, quelles autres vulnérabilités sont sous cette faille qui n'est peut-être que le morceau émergé de l'iceberg ?
Moi, je comprends pas qu'on puisse minimiser ou banaliser un truc pareil.

avatar hirtrey | 

@Bigdidou

Je n’ai jamais banaliser cette erreur. C’est une faille énorme que je ne peux même pas comprendre comment elle a pu passer les phases de tests.

Mais par défaut tout compte root doit être initialisé avec un mot de passe très fort au moment de l’installation d’une machine.

Sur mes Mac, je n’ai pas le problème de cette faille.

avatar hirtrey | 

@macinoe

MacOS est un de type “unix“, l’utilisateur root est le « super utilisateur ». Il a tout les droits.
Exemple : quand le Mac te demande un mot de passe, cela veux dire qu’il va réaliser une action avec les droits root.

avatar huexley | 

"Énorme faille mais aussi de la responsabilité de l’utilisateur de modifier le mot de passe root sur une machine."

Sauf erreur je ne vois ca nulle part dans la création d'un utilisateur par défaut sur un Mac.
Root est censé être désactivé… L'utilisateur n'a pas de responsabilité ici.

avatar hirtrey | 

@huexley

Tu passes en mode terminal :
sudo su -
whoami ( pour vérifier que tu es bien root)
passwd

avatar hirtrey | 

@huexley

L’utilisateur est responsable de sa machine.

avatar huexley | 

Tu t'es trompé de planète.

avatar hirtrey | 

@huexley

Je dirais plutôt que je ne suis pas sûr la planète des bisounours

avatar en ballade | 

@hirtrey

Franchement tu te relis?

avatar hirtrey | 

@en ballade

Jamais ??

avatar marc_os | 

Ça me fait penser à un autre sujet qui mériterait un petit article à mon avis, car peu de gens comprennent comment ça marche :
Depuis High Sierra, les extensions système (kext) sont bloquées par le système lors de leur installation, rendant pour le coup les logiciels fraîchement installés en partie inopérants.
Pour les débloquer il faut passer par le panneau Sécurité dans les préférences système. Sur ce panneau il y a un cadenas. Et bien pour cliquer sur le bouton qui va autoriser l'extension, on n'a pas besoin de déverrouiller le panneau ! Ça veut dire que n'importe quel utilisateur même ne connaissant pas de mot de passe admin peut autoriser les extensions système !

avatar huexley | 

oh bordel… Merci de l'info !

avatar marc_os | 

@huexley
En fait Apple a dû se dire que le risque est minime, car c'est une décision de leur part, pas un bogue, que de ne pas exiger le mot de passe admin. Ils ont dû se dire que pour installer un kext il faut les droits d'admin et que donc on ne va pas faire chier l'utilisateur en lui demandant de le saisir une seconde fois son mdp. C'est une hypothèse.
Mais ça veut dire que si on installe un logiciel avec extension système, il faut s'en inquiéter tout de suite, et autoriser ou pas l'extension. Et que si on ne veut pas, il faut alors désinstaller le logiciel, car sinon tout autre utilisateur ayant accès à la machine, pourra autoriser cette extension, même un invité.

avatar hirtrey | 

@marc_os

C’est quoi cette excuse !!! Ce sont des extensions systèmes ! Bien sûr qu’il faut demander un mot de passe, c’est le minimum.

avatar marc_os | 

@ hirtrey
Ce n'est pas une excuse, c'est une hypothèse, en d'autres termes une tentative d'explication pourquoi Apple a refusé de demander un mot de passe pour autoriser les kext. Et croyez bien que je n'approuve pas ce choix, c'est d'ailleurs pourquoi j'en ai parlé.

Pages

CONNEXION UTILISATEUR