macOS High Sierra : une nouvelle faille de sécurité toute bête avec les mots de passe

Florian Innocente |

Une nouvelle faille de sécurité au niveau de la saisie d'un mot de passe utilisateur a été observée dans macOS High Sierra. Apple semble en avoir pris note puisqu'elle est absente dans l'actuelle bêta 10.13.3. Toutefois elle est parfaitement exploitable dans la 10.13.2 que tous les utilisateurs de High Sierra sont supposés avoir.

MacRumors a le premier remarqué le signalement de ce bug sur Open Radar et, effectivement, il est très facile à reproduire. Il permet de déverrouiller le contenu du panneau de préférences "App Store" en tapant n'importe quoi comme mot de passe.

Il convient d'abord d'avoir accès au compte utilisateur de la machine et que celui-ci soit de type administrateur. Des conditions indispensables mais qui n'exigent pas de gros efforts et, pour ainsi dire, aucune compétence technique particulière. Ceci fait, lorsqu'on clique sur l'icône du cadenas et qu'apparaît la fenêtre de saisie du mot de passe, on peut taper absolument n'importe quoi et le cadenas va s'ouvrir.

C'est d'une gravité bien moindre que les précédents cas avec la faille root et celle des volumes APFS. C'est aussi très ciblé, puisque d'autres panneaux de préférences, plus importants, qui ont aussi ce cadenas (comme "Sécurité et confidentialité") ne présentent pas ce défaut. Mais il y a comme une ritournelle inquiétante et déconcertante autour de la gestion des mots de passe depuis l'arrivée de macOS High Sierra. macOS Sierra n'étant pas touché apparemment.


avatar arnaudducouret | 

Je viens de tester, ça fait assez bizarre quand on se rend compte que ça fonctionne... haha

avatar TrollMan06 | 

@arnaudducouret

À chaque semaine sa nouvelle faille. Vive Apple ! Steve Jobs doit se ret.... non je ne le dirai pas. ?

avatar frankm | 

@arnaudducouret

Et bien je suis bien content d’avoir créé des comptes Standards et d’utiliser le compte administrateur juste pour élever les droits.
Sinon j’ai bien rigolé

avatar Apollo11 | 

Toutefois, il convient de dire que tout changement important doit être confirmé par le mode de passe iCloud/Apple.

Donc, oui, ça ouvre le cadenas, mais on ne peut rien modifier sans le mot de passe iCloud/Apple.

avatar Iounmoutef | 

Cela commence à faire beaucoup, non ?

avatar C1rc3@0rc | 

«Cela commence à faire beaucoup, non ?»

Apparemment non... pour la direction d'Apple y a pas de probleme, juste une mauvaise semaine par-ci, par-la...
D'un autre coté ils ont mis combien de temps pour presenter des excuses d'avoir commis le Mac Pro Poubelle? 4 ans... Et derriere ils sortent quand meme l'iMac Pro, qui reprend les memes problemes et foirages de conception, mais en pire.

Des fois on peut se poser la question de savoir si Apple est devenue une boite d'incompetents notoires ou de cyniques ultimes...

Et comme je disais il y a pas plus tard qu'hier, si en 2017 Schiller a eu de mauvaises semaines, en 2018 ça va etre un feu d'artifice au niveau des failles, backdoor et bug, que ce soit dans le soft ou le materiel...
Le cauchemar ne fait que commencer.

La question c'est jusqu'ou les plus fervents vont continuer leurs denegation de la realité et jusqu'a quand Apple va pouvoir continuer la politique le l'autruche. Du temps de Jobs, face a une telle calamité il y aurait deja eu beacoup de tetes qui seraient tombées... Maintenant si on se rappelle les propos de Musk sur Apple, ça prend tout son sens, helas.

Apple 2018 = Microsoft 1995 ?

avatar mat 1696 | 

@C1rc3@0rc

Déjà soulignons que la semaine chez Apple dure environ 3-4 ans.

Alors quand il disent le nouveau Mac Pro dans 1-2 ans, j'imagine pas le temps réel !

Et c'est en fait aussi l'explication aux nombreux retards de sorti de produit et au bug du 13ème mois; Apple n'utilise pas le même calendrier ???

avatar C1rc3@0rc | 

@ mat 1696

Effectivement, vu comme ça tout s'explique...
Mais il reste un probleme, si la semaine dure 3-4 ans pour Apple, le fait de sortir une generation d'iPhone et 4 OS par an, en fait ça represente combien de temps-Apple ?

avatar melaure | 

Un OS par an, ça ne peut forcément être que bâclé ...

Mais bon les clients continuent à acheter, donc ils sont contents que ce soit de moins en moins fini ...

avatar simnico971 | 

Cet amateurisme de la part d'Apple est effrayant.

avatar Madalvée | 

Ils emploient des enfants aussi pour la programmation ?

avatar C1rc3@0rc | 

Non, mais une diva griffoneuse a la tete de la conception et... personne au-dessus.

Le probleme n'est pas au niveau de la realisation, mais bien au niveau de la conception.

Tous les bugs qui apparaissent aujourd'hui demontre que le pourrissement n'est pas a la surface mais bien dans les racines et que ce sont les principes de conception qui sont totalement foireux et responsables de ces aberrations:
-du novatisme marketing a tour de bras,
-de la gadgetisation a fond les manette,
-de l'obsolescence programmée,
-de l'optimisation ultime de marge,
-de la preoccupation unique des marges et des appreciations des financiers,
- des principes directeurs antagonistes de ceux de Jobs

Et puis il y a aussi un gros probleme de management.
Cook et Maestri s'occupent, avec brio, de faire fructifier le plus possible les anciennes machines, et ils réussissent tellement bien que cela masquait les echecs successifs et ininterrompus que sont les produits crées depuis 2012.

Il va bien falloir que Cook fasse quelque chose parce que la derive actuelle ne peut plus continuer. Le l'iPhone, le Macbook air, le Macbook Pro ne vont pas etre eternels et il n'y a rien derriere pour assurer la releve. Jusqu'a present la technique d'obsolescence programmée permettait de "pousser" artificielement les ventes, mais avec les condamnations qui se profilent ça va devenir moins efficace.
Et s'il n'y a pas de remaniements majeurs systemique et qui mettent des personnes competentes a la conception et un changement massif de politique, Apple c'est une champs de cendres...

avatar Rodri31 | 

Bien content d'être reste sous Sierra.

avatar HoulaHup | 

Je dirais même moins, El Capitan est mon ami.

avatar Average Joe | 

Mavericks pour moi.

avatar Lightman | 

Snow Leopard pour moi !

avatar MrMeteo | 

Les cadenas sont faciles à ouvrir en ce moment chez Apple ! ?

avatar SelPoivre | 

Un véritable troupeau de sous stagiaires...

avatar Steve Molle | 

Je pense que la Apple peut commencer à baisser le volet.

avatar sinbad21 | 

Ah Apple, des machines de plus en plus fermées, mais un système ouvert aux quatre vents, un vrai courant d'air.

avatar Locke | 

J'ai bien fait de ne pas avoir installé cette version. Ca commence à bien faire une mise à jour tous les ans pour pas grand-chose. Oui, il y a le nouveau format APFS, mais comme lui aussi pose des problèmes.

Pour une nouvelle version, ça fait beaucoup de bugs, qui au départ passent inaperçus, mais à la longue, ça devient un listing !

avatar reborn | 

@Locke

Listing ou fisting ? ?

avatar riric | 

Ça commence à faire bcp trop depuis quelques mois aussi bien en matière de softwares que de hardwares ! ☹️
Johnny Ives n’est-il pas responsable de tout cela « in fine » ?

Scott Forstall avait été viré pour moins que cela, de mémoire ?
Au vu des prix pratiqués, on est en droit d’exiger des produits qui ne soient pas en bêta permanente.

avatar reborn | 

@riric

Johnny Ives n’est-il pas responsable de tout cela « in fine » ? 

Non, il y a des VP soft et hard aussi hein

avatar riric | 

@reborn

Je suis bien d’accord mais le plus haut responsable matériel et logiciel n’est pas Ives au bout du compte ? A confirmer, mais je crois que oui.
Si c’est là cas son management est pour le moins défaillant...
La situation dure depuis des mois.
Et aucune remise en question à l’horizon !?!?
C’est un désigner de très grand talent mais manifestement cela ne suffit pas pour garantir le bon fonctionnement et la bonne gestion de milliers d’ingés en tout genre.

avatar DeaDPooL | 

@riric

Un designer de grand talent!!!
Tu parle du type qui a viré tous les ports des mbp, dégagé la moitié de leurs autonomie sur l’autel de la minceur et tout collé et soudé ?

avatar TrollMan06 | 

@DeaDPooL

Il a fait tout cela justement... pour le design ! Qui est très réussi au détriment de l'expérience utilisateur.

avatar DeaDPooL | 

@TrollMan06

L’expérience utilisateur fait partie intégrante du design, si cette partie est foiré, le design ne peut pas être bon.

avatar TrollMan06 | 

@DeaDPooL

Cela dépend de chaque personne. Je trouve que le manque de ports sur les nouveaux MacBook Pro est extrêmement gênant et pourtant je suis en admiration devant leur design.
Je trouve le Google Pixel 2 absolument horrible niveau design pourtant l'utiliser au quotidien est un réel plaisir.

avatar asseb | 

Il ne faut pas confondre le look et le design. Le look est l'aspect extérieur, et il est très facile de faire un look de dingue pour un smartphone. Le design implique d'en plus le rendre produisible à grande échelle, qu'il ait toutes les fonctions attendues...

avatar ya2nick | 

@TrollMan06

Non, tu es en admiration devant leur apparence, leur look...

Le design comprend (liste non exhaustive) l’apparence, les matière utilisées, la ou les fonctions de l’objet (ordinateur donc ports usb, lightning...), l’expérience utilisateur...

Le design de quelque chose englobe TOUT ce qui a un rapport avec cette chose et pas SEULEMENT l’apparence.

avatar ya2nick | 

@TrollMan06

Donc le design n’est pas réussi, si c’est au détriment de l’expérience utilisateur !?

Ou pour vous comme pour beaucoup de commentateurs d’igen le design n’est que l’apparence ?

avatar yasuo87 | 

@riric

Euh je ne crois pas. Le responsable du logiciel c’est Craig Federighi et pour le matériel je ne sais pas.

avatar C1rc3@0rc | 

@yasuo87

Federighi a une responsabilité, évidemment, comme les autres cadres d'Apple qui chapeautent les secteurs, mais toute la conception, et pire l'orientation de tout ce qu'Apple produit releve de la responsabilité de Ive.

Que ce soit au niveau du logiciel ou du materiel, rien n'est fait sans son accord ou sur ces ordres, il a une position centrale, incontournable et absolu.

Or, en plus de la charge inhumaine que seul un Jobs pouvait supporter, Ive n'a aucunement les competences pour la majorité de ces taches... et surtout ses idees sont l'antithese d'Apple. Avec lui on a des produits qui deviennent de plus en plus des iTunes, son bac a sable pendant des annees...

Le plus gros probleme de la realisation, hormis le poids de la dissolution du pole Mac, c'est le cycle de production. Si Samsung sait produire 1000 produits par an, c'est parce que c'est un geant qui est constitué de dizaines de sous unités... Apple c'est une startup, riche certes, mais une startup dont la finalité a toujours ete de produire un minimum et de prendre le temps de la faire... la il faut sortir 4 variantes de l'OS par an (MacOS, iOS, tvOS, plus les versions embarquées), sortir une serie d'iPhone dans le meme temps, plus des services pour faire vendre tout le bouzin, plus, plus...

Sous Jobs, il y avait une grille pour definir les produits, elle avait 6 cases...

avatar jazz678 | 

@C1rc3@0rc

« Apple c'est une startup, riche certes, mais une startup »

Tiens v’la aut’chose et il fallait la sortir...
Vous dites tout et son contraire dans la même phrase. La richesse n’est pas ce qui caractérise une startup qui par définition est généralement à la recherche de moyens de lever des fonds en se reposant sur des critères tels que l’innovation (tiens je me rappelle aussi que vous disiez qu’Apple était en panne d’innovation...si je me souviens). Faudrait savoir...
Seriez-vous en train de dire que l’avenir d’Apple est prometteur ?

Vous êtes sûr que ça va ?

avatar manu666 | 

@jazz678

Laisse le, il raconte n’importe quoi. Ça prose est digne d’une diarrhée verbale.

Bon j’avoue des fois j’aime bien le lire, il doit mettre tellement de temps et de biles à écrire ça que des fois ça en devient touchant.

avatar zoubi2 | 

@manu666

:-)

avatar Sokö | 

La réputation en prend encore un sacré coup !

avatar Rodney Jerkins | 

Mais qu'est ce qui se passe dans cette société ????

avatar TrollMan06 | 

@Rodney Jerkins

Voilà ce que ça fait d'acheter un iPhone X à la place d'un café par jour !

avatar Rodney Jerkins | 

@TrollMan06

Oui mais moi je ne me sens pas concerné vu que je suis resté au 7 plus

avatar TrollMan06 | 

@Rodney Jerkins

Je faisais allusion aux employés de la pomme. ?

avatar Rodney Jerkins | 

@TrollMan06

Oki Man ??

avatar jean512 | 

"compte utilisateur de la machine et que celui-ci soit de type administrateur"
Donc on est déjà en admin... Bref c'est du vent alors

avatar Florian Innocente | 

@jean512

Sauf quand je peux déverrouiller ce panneau sur la machine de mon collègue qui vient de s’absenter. C’est pas super grave comme panneau mais sur le principe c’est con.

avatar Nesus | 

@innocente

Oui, mais il faut avouer que c’est un cas très particulier. Normalement si tu as besoin de sécurité tu verrouilles l’écran ou ferme la session quand tu quittes ton poste de travail.
Après, oui, ça passe mal après toute la liste précédente. Et clairement ce n’est pas le niveau que nous attendons d’Apple. Après je me mets aussi à la place des devs qui ont bouché les failles d’intel et effectués le passage à APFS. Je pense que sur la prochaine version (qui arrive très vite), tout cela sera réglé.

avatar jean512 | 

oui bon si tu as une session admin d'ouverte c'est sur que c'est plus facile :)

avatar docdav | 

J’en connais chez Windows qui doivent bien se marrer. La campagne du pub va arriver...

avatar subsole | 

High Sierra => HS => Hors Service

Faut aussi relativiser, ça fait dix ans qu'on a le cul à l'air sur tous les ordi, smartphones et tablettes de la planète (failles de processeurs), on est plus à une connerie près .....

Apple ne devrait donner cet OS, mais nous payer pour l'utiliser. :)

avatar aventurier | 

C’est l’effet des nouveaux locaux ??

Le gars qui code mal ne discute plus avec le gars qui doit faire les tests, car il est de l’autre côté de l’anneau ?

Il est loin le temps où l’on pouvait dire que Mac OS X était sécurisé (ou presque).

Maintenant cela devient un gruyère.

Affligeant

Sic..

Pages

CONNEXION UTILISATEUR