macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…

avatar marc_os | 

-

avatar pierrot99 (non vérifié) | 

Moi j'ai toujours défini un mot de passe sur l'utilisateur root, la faille ne passe fonctionne pas dans ce cas. Ça me semble B.A.-BA quand on utilise une machine Unix. C'est un peut le pbm de macOS, vouloir donner l'impression aux gens qu'ils ont un vélo alors que c'est un vaisseau spatial (c'est à la fois une critique et un compliment).

avatar deltiox | 

@pierrot99

A priori quand mon système d’exploitation me dit que l’utilisateur est désactivé et qu’il faut les droits admin pour l’activer, je ne vois pas l’intérêt d’activer le compte Root pour un utilisateur donné

C’est un vrai bug énorme quand même

Je ne suis pas d’accord pour dire qu’une pratique systématique d’un Pro serait d’activer avec un mot de passe le compte root

avatar pierrot99 (non vérifié) | 

Perso mon ordi ne m'a jamais dit que le root était désactivé, je ne sais pas ou ce message apparait ... Par contre il me semble que c'était un conseil (donner un mot de passe à root) il y a pas mal d'années en arrière, j'imagine avec les premières versions OSX, j'ai toujours fait ça. Il fallait aller dans un utilitaire spécifique qui avait un nom particulier, ça m'échappe là maintenant. Mais bon je suis un peu parano. Et oui c'est un bug incroyable.

avatar Steve Molle | 

J’aime bien les 2, 3 fanboys prêts à tout pour nous faire avaler des couleuvres.

Ils sont pathétiques.

« Moi je, même pas peur du root »

Ou

« Qu’il est con l’utilisateur lambdas de pas définir un mdp du compte root »

Mais bouclez la sans blague !

avatar Toinouco | 

Je ne comprends pas : j’ai essayé de reproduire sur deux macs sans succès..,

avatar en ballade | 

Bref l’avenir est le smartphone chez Appl€....histoire incroyable !

avatar LeSpace | 

Désactiver le compte root via le terminal fonctionne apparement. Et c'est plus sur que de le laisser activé :
"dsenableroot -d -u root"

avatar corse34 | 

Le compte root était désactivé. Je l’ai activé et mit un mdp différent du iMac ? toute façon il n’y a rien dans mon iMac.

avatar DarthThauron | 

Et un compte root "désactivé" est simplement un compte root avec un mot de passe usine connu que d'Apple. Activer ce compte revient à créer un répertoire du compte root de d'affecter un nouveau mot de passe. Ici visiblement le mot de passe usine est vide...
Tout UNIX dispose d'un root, apres il faut voir si l'accès est ouvert ou non, si un utilisateur par un sudo su bascule en root ou pas

avatar Gromeul | 

Ca fonctionne quand mon ordinateur (MBP) n’est pas en veille mais, sauf erreur, quand il est en veille ça ne fonctionne heureusement pas !
Ceci dit, c’est une très belle gaffe de la part d’Apple qu’il va falloir corriger rapidement...

avatar Gromeul | 

Ben voilà, le correctif est de sortie :-) !

Pages

CONNEXION UTILISATEUR