Une nouvelle faille de sécurité au niveau de la saisie d'un mot de passe utilisateur a été observée dans macOS High Sierra. Apple semble en avoir pris note puisqu'elle est absente dans l'actuelle bêta 10.13.3. Toutefois elle est parfaitement exploitable dans la 10.13.2 que tous les utilisateurs de High Sierra sont supposés avoir.

MacRumors a le premier remarqué le signalement de ce bug sur Open Radar et, effectivement, il est très facile à reproduire. Il permet de déverrouiller le contenu du panneau de préférences "App Store" en tapant n'importe quoi comme mot de passe.

Il convient d'abord d'avoir accès au compte utilisateur de la machine et que celui-ci soit de type administrateur. Des conditions indispensables mais qui n'exigent pas de gros efforts et, pour ainsi dire, aucune compétence technique particulière. Ceci fait, lorsqu'on clique sur l'icône du cadenas et qu'apparaît la fenêtre de saisie du mot de passe, on peut taper absolument n'importe quoi et le cadenas va s'ouvrir.

C'est d'une gravité bien moindre que les précédents cas avec la faille root et celle des volumes APFS. C'est aussi très ciblé, puisque d'autres panneaux de préférences, plus importants, qui ont aussi ce cadenas (comme "Sécurité et confidentialité") ne présentent pas ce défaut. Mais il y a comme une ritournelle inquiétante et déconcertante autour de la gestion des mots de passe depuis l'arrivée de macOS High Sierra. macOS Sierra n'étant pas touché apparemment.