macOS High Sierra : la root est ouverte à tous ! [Une solution]

Mickaël Bazoge |

Mise à jour — Apple promet un correctif.

C'est une grosse faille de sécurité qu'Apple va devoir boucher très très vite. Lemi Orhan, d'Agile Software, s'est rendu compte qu'il était vraiment facile de se connecter au compte administrateur d'une machine sous macOS High Sierra.

La manipulation permet à un malandrin ayant un accès physique au Mac de sa victime d'obtenir toutes les informations contenues dans l'ordinateur, de modifier tous les réglages ou d'installer un malware à l'insu de l'utilisateur. Pire : la faille fonctionne également à distance, via la fonction d'écran partagé (qu'on gagnera à désactiver pour s'éviter des problèmes).

Dans le panneau Utilisateurs et groupes des Préférences système, cliquez sur le cadenas qui, fermé, empêche les modifications. Entrez le nom d'utilisateur "root", puis une nouvelle fenêtre flottante demande de saisir une fois encore un identifiant. Tapez de nouveau "root", et… surprise, vous accédez tout simplement au compte admin du Mac. Le tout sans avoir tapé aucun mot de passe.

Le mode d'emploi a fonctionné chez plusieurs d'entre nous, même sur la bêta 10.13.2 sortie ce soir (les machines sous Sierra ne sont pas concernées). Évidemment, on peut regretter que le découvreur n'ait pas d'abord prévenu Apple de sa trouvaille, car désormais elle est publique et la manip' se répand à vitesse grand V.

Ce slogan qui trône sur la page Sécurité de macOS a soudain pris un coup de vieux…

Une solution pour éviter les problèmes

Une solution pour contourner ce risque de piratage est de modifier le mot de passe du compte root. Rendez-vous dans les options du panneau Utilisateurs et groupes, cliquez sur Rejoindre puis sur Ouvrir Utilitaire d'annuaire.

Dans l'Utilitaire d'annuaire, déverrouillez le cadenas et rendez-vous dans le menu Edition > Modifier le mot de passe root, puis saisissez un mot de passe sécurisé. Au besoin, créez un utilisateur root si ce n'est pas encore fait.

Vous devriez ensuite être tranquille : le nom d'utilisateur "root" n'est plus en mesure d'accéder au compte admin du Mac. Cela n'exonère pas Apple d'une solution…

avatar Ali Baba | 

@ThonyF

Merci pour l’explication !

avatar Maxi22700 | 

@ThonyF

C’est exactement ça !

avatar Nesus | 

@Bigdidou

Heu... c’est juste le cas depuis panter. Qu’avez-vous fait pendant tout ce temps ?
Comme quoi la sécurité pour beaucoup, c’est juste de taper son mot de passe à l’ouverture de l’ordi. Une histoire dans la tête, pour se rassurer, peu importe la réalité.

Donc mettre un accès « invité » sans avoir administré au préalable correctement un ordinateur (et donc réglé le compte root comme il se doit) est envisageable ?
Décidément en informatique c’est vraiment « passé moi le lance flamme que j’allume le barbecue et si la maison brûle, je crierai au scandale du fournisseur ! »...

Ça ne veut pas dire que les devs n’ont pas créés un comportement anormal. Mais toutes les pleureuses qui viennent nous expliquer que c’est un drame alors qu’ils ont sciemment laissé la porte ouverte depuis des années...

avatar Bigdidou | 

@Nesus
"Heu... c’est juste le cas depuis panter. Qu’avez-vous fait pendant tout ce temps ? "

J'ai lu ce qu'Apple m'explique à ce propos, et vous (root désactivé par défaut)?
https://support.apple.com/fr-fr/HT204012

Je vous renvoie votre petit couplet pour usage, sinon.

avatar DarthThauron | 

@Nesus

Oui mais un pirate sait ce qu'est une connexion en root. On s'en fout que l'utilisateur de base ne le sache pas...

avatar Domsware | 

@DarthThauron

Pour être précis, un pirate qui dans ce cas doit avoir un accès physique au mac avec une session déverrouillée...

avatar DarthThauron | 

@Domsware

Pas forcément... L'accès physique n'est pas nécessaire... un serveur web mal sécurisé avec un accès en écriture pour installer un script php permet d'accéder à une cession root surtout si le mot de passe de ce dernier est connu, en l'occurence vide, vu que c'est manifestement la faille telle qu'elle est décrite ici...

avatar jojo5757 | 

@Nesus

Bien sûr que non. Oui on connaît bien évidemment root comme sous Linux mais a partir du moment où il ya "sudo" il n'y a forcément pas de mot de passe root. Et si on en mets un on utilise plus "sudo" et j'ai toujours entendu dire que le système était plus sécurisé avec sudo qu'en rentrant en session root. CQFD

avatar ThonyF | 

Enfaite, la premier fois que tu tape root et que tu mais un mot de passe il te le met faut et à la deuxième tentative il prend bien en compte ce que tu as tapé dans les champs juste avant.
C'est valable que si le compte root est désactiver. donc, petit bug mais, grosse faille niveau sécurité pour ceux que le compte root n'est pas activé.

avatar zoubi2 | 

@ThonyF

Aïe... z'avez un peu de collyre SVP ?

avatar 1515julian | 

Rolala la bourde de l’année..

avatar IGerard | 

Monstrueux...

avatar Bigdidou | 

J'ai pas vérifié, mais otez moi d'un doute affreux, le root est tout de même pas activé par défaut sans mot de passe ?
Quelqu'un a essayé d'entrer sans une session root directement, en laissant le mot de passe vide ?

avatar ThonyF | 

Non, je l'explique un peut plus haut.

avatar Steve Molle | 

Le pire est qu’il y a encore quelques résidus de fanboys radicaux pour nous expliquer que ce n’est rien :)

avatar Lestat1886 | 

@Steve Molle

Personne ici ne dit que c’est rien. Faut pas voir des fanboys partout

avatar en ballade | 

@Lestat1886

"Personne ici ne dit que c’est rien."

Relis un peu

avatar Macounette | 

Ah ben non, désolée, impossible de reproduire ce bug sur mon Macbook 2015 sous High Sierra. Dès lors que l'utilisateur root est désactivé, ce bug n'est pas reproductible...

avatar Macounette | 

D'ailleurs je ne suis pas la seule, y'a des commentaires au tweet initial qui n'arrivent pas à reproduire ce bug non plus. Pour qu'il fonctionne faut que root soit activé. Pas de root, pas de bug.

avatar Bigdidou | 

@Macounette

"Pour qu'il fonctionne faut que root soit activé. Pas de root, pas de bug."

Sauf que je ne l'ai jamais activé, et le bug fonctionne parfaitement chez moi.

avatar ThonyF | 

je suis désoler de vous contre dire mais, c'est lors que root est désactiver que le bug ce produit.
Chez moi il était activer avec un mot de passe que j'avais mis et impossible de faire le bug.
Puis, j'ai désactiver root et assez et la ça à bien fonctionné

avatar Macounette | 

C'est tout le contraire en ce qui me concerne. J'essaie de reproduire le bug, je tape "root" et pas de mot de passe......... rien ne se passe.

avatar marenostrum | 

faut suivre l'article. avant de taper Déverrouiller il faut sélectionner (avec la souris) la case mot de passe. et la deuxième fenêtre va s'ouvrir.

avatar Macounette | 

@marenostrum, je n'ai pas de 2ème fenêtre. Mais même en sécurisant root avec un mot de passe, à partir du moment où on le désactive, et qu'on sélectionne la case mot de passe comme tu dis, le bug revient... seule solution, activer et sécuriser le user root...

avatar marenostrum | 

tout à fait, on doit plus désactiver l'utilisateur root. mais ça sera vite réglé par Apple je pense. demain soir peut-être, comme l'ont fait pour l'autre bug.

avatar Macounette | 

OK, j'ai activé root, et là oui, le bug est reproductible.

avatar Macounette | 

... et en le re-désactivant, le bug reste. Bingo.

avatar marenostrum | 

moi je me rappelle y a très longtemps (2005 peut-être) j'avais activé un compte root, mais avec un mot de passe. là j'ai pu le reproduire, mais le compte root était sans mot de passe, dès que j'ai mis un mot de passe, ça ne marche plus.

avatar Armaniac | 

Hé bien je n'aurais jamais pensé dire ça il y a un ou deux ans, mais je vais définitivement adopter le réflexe d'attendre la version .4 de l'OS avant de mettre à jour. Si j'étais Federighi, je me poserais des sérieuses questions sur les bases de l'OS, plutôt que de me concentrer sur les émojis...

avatar Lestat1886 | 

@Armaniac

Qu’est-ce que ça a à voir les emojis, vu l’équipe d’Apple l’un n’empêche pas l’autre.

Des têtes vont tomber...

avatar Armaniac | 

A priori rien, je te l'accorde.

Mais ce genre de découverte ne fait que conforter, à tort ou à raison, cette impression qu'Apple se détourne des soucis de sécurité et d'architecture. Evidemment on peut arguer que refonder le système de fichiers, c'est refonder directement les bases du système ; mais comme je l'explique plus haut, cela ne devrait en aucun cas impacter la sécurité : ce sont deux choses bien différentes.

En bref : plutôt que d'occuper les effectifs à dessiner de nouveaux joujoux, ils feraient mieux d'embaucher quelques bonnes brutasses en sécurité, ça ne leur feraient pas du mal ; c'est même le moins qu'on puisse dire. S'ils peuvent se permettre les deux, tant mieux, mais le second est clairement plus important que le premier. Et en l'état actuel de sa communication, Apple donne l'impression inverse.

avatar Lestat1886 | 

@Armaniac

C’est vrai mais j’imagine que lrs designers des emojis ne sont pas ceux responsables de ka sécurité du système ! Enfin vu cette faille on peut en douter ?

avatar bugman | 

? Faites des bijoux, des vêtements ou des tasses à café, je sais pas moi !

avatar Macmade | 

Le pire, c'est qu'ils l'ont déjà fait... ?

avatar AbsolutMoi | 

C’est vraiment devenu une blague Apple, ce me rend triste :(

avatar Ali Ibn Bachir Le Gros | 

Ah ça, quand un fabricant de téléphones essaye de faire des ordinateurs. Ils devraient rester dans leur cœur de métier.

:-)

avatar marenostrum | 

ils ont viré apparement le seul mec compétent, qui tenait avant la baraque.

avatar sinbad21 | 

Ils se sont gourés de système, il fallait faire ça sur iOS ! Avec tous ceux qui rêvent d'avoir l'accès root, ça en aurait fait des heureux. Décidément macOS est le parent pauvre du florissant iOS.

avatar IGerard | 

J'ai mis root comme mot de passe ...

Ils ont touché le fond là...

avatar FANREM | 

Si effectivement ca semble fonctionner pour les gens qui n'ont jamais crée un utilisateur root, pour ceux qui ont l'ont fait et ont défini un MDP sur cet utilisateur, la manip ne fonctionne pas et le Mac est sécurisé

avatar Alberto8 | 

Le Mac est devenu pour apple la dernière roue du carrosse ???.

avatar Florent Morin | 

Une incroyable forteresse dont on laisse trainer les clés sous un pot de fleurs.
Ce n'est qu'un bug, mais pas des moindres.

avatar oomu | 

...

heureusement qu'il faut quand même un accès physique/avoir déjà un compte mais.. bon... Bref... ça rassure pas sur le niveau de gaffe dans d'autres parties du système.

Cela serait très gênant dans un parc de mac en milieu universitaire ("youhou, c'est overwatch time les mecs !")

avatar Bigdidou | 

@oomu

"Cela serait très gênant dans un parc de mac en milieu universitaire"

Ben, pour moi, c'est en milieu médical, là.
Tu vois l'angoisse.

avatar oomu | 

ce sont des machine en accès au public ou à des gens n'ayant pas à avoir accès aux comptes des autres ? (données sensibles, etc)? Quel est le contexte de l'usage du mac dans votre cas ?

Je connais surtout l'université/grande école, donc bon, je vois bien des étudiants s'en donnant à coeur joie. J'aimerais beaucoup avoir votre vision du problème et votre usage du mac.

avatar Bigdidou | 

@oomu

"ce sont des machine en accès au public ou à des gens n'ayant pas à avoir accès aux comptes des autres ? (données sensibles, etc)? Quel est le contexte de l'usage du mac dans votre cas ?"

Aucun accès public, pour le reste, ça dépend.
Les médecins ont des machines personnelles.
Mon portables est dans mon bureau dont l'accès est controlé par une serrure à carte avec une historique., comme tous les locaux. Mes collègues y ont accès, ainsi que certains personnels de ménage.
Les infirmiers et les rééducateurs sauf les psychologues et la neuropsychologue ont des machines communes fixes ou portables.
Elles servent essentiellement à l'accès serveur au logiciel patients sur un bureau virtuel, et où chacun a un compte perso (je suis l'admistrateur du truc) ainsi qu'à l'espace commun et personnel sur le serveur. Quand personne ne s'amuse à lancer un ransomware en se demandant ce qu'il peut bien y avoir dans le dossier spam, ça se passe bien.
Nous ne sommes que deux médecins à avoir un mac, tout le monde a un pc.
L'espace commun serveur contient les ressources documentaires communes (procédures, qualité...) et chacun a un espace personnel où il met ses documents persos et ses cr provisoires en attendant qu'il soient inclus dans la base de donnés patients, très sécurisés avec objectif zéro papier et zero document patient électronique qui "traine".
Par contre, le temps de la rédaction, les documents sont sur mon mac, c'est la grosse vulnérabilité sécurité.
Et puis j'ai mes mails, gros soucis, ça, les mails avec les correspondants externes.
Mais cette partie là, n'est pas sur le réseau interne bien sûr.
Globalement, c'est très sécurisé sauf si mon mac est vulnérable sur le réseau...
Un autre souci, c'est que quand je suis d'astreinte, je ramène mon mac à la maison le soir, pour avoir l'accès vpn si j'ai besoin de consulter un dossier pour prendre une décision ou prescrire à distance.
Bon, personne utilise mon mac à la maison, sauf en vacance, mais j'ai fait le vide, donc ça va.
Je suis très embêté par ces vulnérabilités, parce que mon mac est quand même sur le réseau, si une faille rend le contenu du mac accessible, c'est très embêtant; en cas de ransomware par exemple. Nous en sommes à deux attaques, sauvés par une sauvegarde externalisée 5 fois par jour, mais qui s'était étendues, surtout la première comme une trainée de poudre, s'attaquant à tout ce qui était sur le réseau, faisant fi des protections par utilisateur. Mon mac avait été épargné, mais il n'est pas sauvegardé de façon externalisé : le jour ou il est atteint, il y a toute chance pour que ça se propage aux sauvegardes externes locales.
Nous avons eu affaire à de la malveillance interne aussi, d'un personnel renvoyé pour autre chose et qui s'était vengé avant de partir...
Je peux me faire voler mon mac dans le métro, aussi.

Bref, cette faille en elle même me concerne peu sur le professionnel mais une faille réseau qui rendrait accessible le contenu de mon mac, un peu plus, ou pire, qui fragiliserait toute la sécurité du réseau de l'établissement.
Et là, j'ai vraiment pas (plus) confiance.

A la mason, c'est différent; mais moins dramatique.
Les gamins seront au courant de la faille demain (le mercredi, ils ont droit à leurs ordinateurs et internet perso), et ils vont forcément tester sur le mac commun.
Pour s'apercevoir que papa est très réactif et que - le compte root a un mot de passe :D

avatar bugman | 

@Bigdidou

Yooouuuu ! C'est Surgeon Simulator time les gars !

Dur ! :/

avatar Lestat1886 | 

@Bigdidou

Il y a un mot de passe sur ces macs? Le compte Guest est désactivé ?

Si la réponse est oui a ces deux questions tu deux dormir relativement tranquillement et faire ce qui est dit dans l’article demain à la première heure :)

avatar Bigdidou | 

@Lestat1886

"Si la réponse est oui a ces deux questions tu deux dormir relativement tranquillement et faire ce qui est dit dans l’article demain à la première heure :)"

Oui, le compte guest est activé pour éventuellement se dpanne enre collègues, mais bon. D'abord, cette faille ne semble pas active à partir d'un compte guest (à vérifier), d'autre part mes deux collègues sont des gens responsables.
La faille en elle même ne m'inquiète pas là, tout de suite forcément, mais c'est le deuxième gag de suite, quand même.
Je finis par rejoindre ceux qui pensent qu'il y a un problème systémique avec HS et pas seulement des bugs fortuits.
Du coup, oui, ça m'inquiète.

avatar Lestat1886 | 

@Bigdidou

Oui, C’est vrai que c’est assez hallucinant comme bug!

Pages

CONNEXION UTILISATEUR