macOS High Sierra : une nouvelle faille de sécurité toute bête avec les mots de passe
Une nouvelle faille de sécurité au niveau de la saisie d'un mot de passe utilisateur a été observée dans macOS High Sierra. Apple semble en avoir pris note puisqu'elle est absente dans l'actuelle bêta 10.13.3. Toutefois elle est parfaitement exploitable dans la 10.13.2 que tous les utilisateurs de High Sierra sont supposés avoir.
MacRumors a le premier remarqué le signalement de ce bug sur Open Radar et, effectivement, il est très facile à reproduire. Il permet de déverrouiller le contenu du panneau de préférences "App Store" en tapant n'importe quoi comme mot de passe.
Il convient d'abord d'avoir accès au compte utilisateur de la machine et que celui-ci soit de type administrateur. Des conditions indispensables mais qui n'exigent pas de gros efforts et, pour ainsi dire, aucune compétence technique particulière. Ceci fait, lorsqu'on clique sur l'icône du cadenas et qu'apparaît la fenêtre de saisie du mot de passe, on peut taper absolument n'importe quoi et le cadenas va s'ouvrir.
C'est d'une gravité bien moindre que les précédents cas avec la faille root et celle des volumes APFS. C'est aussi très ciblé, puisque d'autres panneaux de préférences, plus importants, qui ont aussi ce cadenas (comme "Sécurité et confidentialité") ne présentent pas ce défaut. Mais il y a comme une ritournelle inquiétante et déconcertante autour de la gestion des mots de passe depuis l'arrivée de macOS High Sierra. macOS Sierra n'étant pas touché apparemment.
@aventurier
Sic ou Sigh ?
Pas pressé de passer à High Sierra, avec tous les trous qu’il accumule...
C'est sympa de dévoiler une faille avant que la correction encore en test ne soit publiée !
Les malandrins de tout poil disent un grand merci.
@marc_os
Ils vont pouvoir dezinguer toute ta machine avec cette faille ! Ou pas, lisons plus en détail la news pour voir ce à quoi ils accèdent... Enfin pas moi, j’ai déjà lu la news avant de la commenter.
Docdav : pour qu ils puissent se marrer chez Windows faudrait déjà que leurs ordinateurs redémarrent après l application des mises à jour anti faille Intel. A priori il y a qq m... de ce côté là (article sur le monde). c est vrai que c est un beug qui fait un peu tache pour Apple. A priori c est déjà corrigé sur la prochaine version. Cette mouture d OS X est vraiment sortie trop vite
Depuis que j'ai installé high Sierra c'est..
1 minute de plus a l'allumage (35 secondes avant)
45 secondes pour l'extinction (8 avant)
En veille il se remet en route seul sans rien que je lui demande, la nuit, le jour...
La souris qui a la tremblote ....bref je n'avais jamais de problèmes sur Sierra.
@Ami74
Bug également présent sous Sierra chez moi.
Depuis que j’ai installé high Sierra tout est plus rapide chez moi
Pourquoi les gens installent des systèmes qui sont encore en développement ?
On reste gentiment sur la n-1 et on évite les problèmes..
Si j'ose dire, le bug ne fonctionne pas chez moi...
Le contrôle qualité c’est plus ce que c’était...
Ça fait vraiment beaucoup!
Bravo Apple ! Clap clap clap ...
Du calme les amis, ce n’est rien, il y a faille et faille :
1) L’auteur minimise la faiblesse de l’impact, mais il faut accéder à la session d’un utilisateur. Cela ne demande pas une expertise technique mais juste de trouver un mot de passe.
2) Plus important encore, cette faille donne accès à des réglages de l’app AppStore sans grande gravité.
Par contre, c’est embarrassant. Encore une fois, Apple devrait arrêter les mises jours annuelles, ça ne tient plus.
C’est sûr que depuis la faille root, Apple a établi une nouvelle référence indépassable en la matière.
Ca va être très dur de faire pire.
Tu rigoles ou quoi. C’est une blague ? Par ailleurs, quelle était la conséquence de cette faille ? Bien aucune.
Là aussi, il faut tempérer un peu et pas faire de l’Apple bashing débile.
Euh non, je ne rigoles absolument pas..
Apple détient le record mondial du bug le plus dangereux et le plus con.
C’est un fait et c’est gravé dans le marbre.
Mais arrête tes conneries, le bug root demandait aussi une accès à la machine. Les failles que l’on trouve dans Windows et qui s’exploitent à distance engendrent des conséquences qui, elles, restent gravées dans le marbre (on se souvient de cette faille récente qui a mis à l’arrêt de nombreuses entreprises....une faille qui date de windows XP....et c’est pas con ça).
En même temps mon iMac est devenue plus réactif avec high Sierra là donc je remercie la maj annuelle pour le coup même si il y a ce genre de petits soucis.
Bien sur, un éditeur d’OS infoutu de gérer les mots de passes, la base quoi, mais c’est pas grave hein ...
Oui car les conséquences ne sont pas graves. LES CONSÉQUENCES.
@Doctomac
Si c’est extrêmement grave, car ça fait suite à une longue litanie de bug qu’aucun éditeur d’ OS ne peux sérieusement oser. Entre la clé file vault révélée ( pas grave ?) et le root ouvert à toutes les fenêtres ( pas graves non plus ? ) c’est le principe même de conception d’un OS qui est en vrac chez Apple. Mais encore une fois, c’est apple donc pas grave.
Ne généralise pas mon pauvre ami, je te parle de cette faille, CETTE FAILLE. Cette faille a des conséquences qui ne sont pas graves.
Ensuite, pas la peine de te la ramener, cela fait des mois que je critique le manque de finition dans les OS d’Apple qui se rapproche dangereusement de celle de Microsoft et de Google.
Je ne peux pas entendre l'argumentaire du meilleur client au monde de "CETTE FAILLE". Non le soucis c'est que "CETTE FAILLE" ne doit pas exister. Trouve moi UN OS au monde, même mineur, même obscure, tu peux même remonter à la préhistoire de l'informatique et me trouver un autre OS qui ne SAIT PAS gérer les mots de passe. Ça m'intéresse sincèrement. De plus avec l'historique que j'ai remonté rapidement précédemment, cette faille est mineure par CHANCE et non par design maitrisée et elle fait arbre qui cache la forêt des nombreuses failles non encore découvertes. Donc J'insiste c'est CATASTROPHIQUE.
C’est de la folie totale. Ce n’est pas une question de mauvaise gestion de mot de passe mais d’un bug et un bug ponctuel. Ce n’est pas vraiment de la chance car :
1) Cette faille ne touche QUE la session administrateur et de toute façon dans ce type de session, ce panneau de réglages est ouvert PAR DÉFAUT.
2) Cette faille (l’ouverture des préférences en insérant n’importe quel type de MP) ne marche dans QUE dans une session administrateur.
Comme je l’ai dit, cette faille ne touche pas un point sensible de l’OS, loin de là et par ailleurs, la prochaine version la corrige. Donc non, RIEN DE GRAVE, objectivement.
Donc j’insiste, ce n’est pas catastrophique (où sinon revoit dans un dictionnaire la signification de ce terme) mais c’est embarrassant dans la mesure où, après l’épisode de la faille root plus sérieuse, le moindre petit incident sera propice à des commentaires exagérés et exacerbés. En gros, ce que tu es en train de faire, là maintenant.
Apple te paie bien? Je l’espère Pour toi en tout cas. En ignorant dans pans entiers de mon message, tu nie le font même du message. Tu ne peux qu’être Payer pour défendre l’indéfendable.
Non même pas. Prends le temps de lire mon message, tu verras que je n’ai rien ignoré.
Encore une fois, cette faille ne fait pas sérieux suite à l’épisode de la faille root mais elle est mineure et sans gravité. C’est un fait. Où sinon, tu me démontres en quoi cette faille présente un gros problème.
@DeaDPooL
Ce qui est catastrophique et surtout navrant c’est justement le catastrophisme quasi-pavlovien de beaucoup d’intervenants dès l’instant où on on aborde un sujet dans lequel Apple prête le flanc.
La capacité de discernement et la hauteur (qui serait franchement bienvenue) ont disparues au profit de cette volonté de simplement « basher » en espérant se donner le beau rôle (en gros ceux qui ont tout compris et qui regardent de très haut les autres se faire entub... par Apple).
Bon..c’est vrai que le contexte n’est pas en faveur d’Apple en ce moment mais il y’a un peu d’objectivité à avoir.
Cette faille est-elle grave? Absolument pas pour les raisons que @doctomac explique très bien.
HSierra est-elle truffée de failles ou l’est-elle plus que les OS précédents ? Je n’en sais rien. Ce qui est sûr c’est que je l’utilise sur un iMac 27 et que je n’ai pas cette impression.
Par contre HS est le candidat désigné pour que les bidouilleurs et autres fouille-m... de tous poils lui cherchent continuellement des poux. Et quand on cherche on finit par trouver
High Sierra : un os Alzheimer friendly.
Ah! Ah! Ah!
Trop vrai.
Ça devient inquiétant. High Sierra a plein de failles de sécurité et Sierra et autres versions inférieures ont le problème de Meltdown et Spectre.
Apple a intérêt a vite corriger le tir ou c’est la crédibilité de la marque qui va en pâtir.
Crédibilité qui peut influencer le cours de la bourse d’Apple qui lui même peut provoquer une nouvelle crise économique type Lehman Brothers.
@konoplyanka06
Tiens un adepte de la théorie du chaos. Manquait plus que ça.
Faire le lien entre la faille HSierra et LBrother il fallait chercher.
Vous savez que les battements d’ailes d’un papillon peuvent provoquer une tornade mais peuvent aussi l’empêcher ?
Ha la vache... La grosse honte quoi :/
Ça commence à faire un peut amateur
Bon maintenant j'en ai marre je vais rétrograder... C'est une faille de trop...
Espérons que ce brave Timmy en tire les leçons... ➡️?
D’ailleurs, avant cette série de déconfitures, certains n’hésitaient pas à préconiser ouvertement son départ d’Apple :
http://crn.com/blogs-op-ed/mobility/300083965/why-its-time-for-tim-cook-to-step-down.htm
De mieux en mieux chez Apple ! Il serait temps que quelqu'un sonne la fin de la récréation dans cette maison !!!!
Avec Apple Mac depuis 2000 et iPhone depuis sa sortie octobre 2007
C’est dingue depuis moins de deux ans le nombres de failles qu’il y a sur ce produit
Mais toujours plus fiable que Windows à mon avis
Il est quand même GRAND temps que tout cela se termine avec Max une voir trois mises à jour par an
Encore une fois, rien a voir avec la frequence des MAJ... Le problème n'est pas la fréquence, mais la priorité...
Au contraire, partir du principe d'une MAJ tous les jours interdirait ce type de bug et stabiliserait l'OS et ses nombreux logiciels.
Et cela diminuerait aussi le temps de la correction d'un bug (entre le dev et la présence sur le poste des clients).
Bref...
@Un Type Vrai
Bien justement, il y a trop de priorités.
Pourquoi ça a mis quatre mois à être découvert??
Non mais je ne comprends pas pourquoi, a chaque refonte d’os, on touche a ce qui marchait avant...
Typiquement, ça ça marchait avant et ça marche plus.
Et puis ça sert a quoi d’optimiser el capitan aux petits oignons si c’est pour nous refiler cette bouse de High Sierra après, ça ne sert à rien...
Feraient mieux de faire MacOs tout court avec des mises a jour regulieres qui ameliorent l’existant comme windows 10, mais plus de nouvelle version de zéro, c’est débile...
Je comprends pas trop les commentaires. Je n'ai pas de Mac, je n'utilise qu'ios. Mais je me dit qu'Apple fait correctement son taff : il met à jour son système. Le monde informatique c'est rempli de bug et faille. Normal c'est des humains derrière (même avec les meilleurs technique de management pour les coordonnées et reverifier derrière).
Au moins sur Mac os vous avez un système rapidement à jour sur chaque failles découvertes.
Et plus il y aura de macuser plus le système sera testé pour fragilisé Apple et récolter la reconnaissance (et des ?). L'important c'est que les Maj soient rapidement mise en place.
Quoi que Windows aussi fait pas mal d'effort depuis la 10.
@hish
« Au moins sur Mac os vous avez un système rapidement à jour sur chaque failles découvertes. »
Malheureusement cela n'est pas vrai. Nous avons un système rapidement mis à jour à partir du moment où la faille est RENDUE PUBLIQUE. Il y a de nombreux exemples où des trous de sécurité ont été identifiés et communiqués à Apple, qui n'a rien fait tant qu'ils n'ont pas été divulgués publiquement. Cela démontre que la Pomme n'a pas une approche orientée sécurité, mais marketing.
Cordialement,
HAL1
https://media0.giphy.com/media/lByVz72SFffyM/giphy.gif
Apple = Priorité aux $$$ = Priorité à l'iPhone/iOS
Apple 2018 me rappelle trop le Microsoft des années 90. Les $$ qui tombent à foison, la grosse tête, on est les meilleurs…
La gamme est illisible, le matériel est de conception défaillante (MB sans ports essentiels, Mac Pro…, souris rechargeable par le dessous etc…), les prix sont ultra-premium, les OS accumulent les màj annuelles sans intérêts et bugués…
Pourquoi? Tout simplement parcequ'il faut faire renouveler le matériel. Les positions sont assez figées et les ventes sont en majorités des ventes de renouvellement. Alors, et bien on rends le matériel obsolète grace à l'OS.
J'avais oublié le Smart Keyboard des iPad Pro
Cà fait un peu beaucoup non?
Comme avec toutes les failles, ce qui en détermine la gravité, ce n’est pas la faille, c’est ce qui en est fait.
Comme avec presque toutes les failles, on ne sait pas la gravité effective parce qu’on ne sait pas ce qui en est effectivement fait.
Grave ? Pas grave ?
Personne ne sait.
@fte
« Comme avec toutes les failles, ce qui en détermine la gravité, ce n’est pas la faille, c’est ce qui en est fait.
Comme avec presque toutes les failles, on ne sait pas la gravité effective parce qu’on ne sait pas ce qui en est effectivement fait. »
Pas d’accord
Ce qui fait la gravité d’une faille ce sont les conséquences potentielles de son exploitation. Pas besoin qu’elle soit effectivement exploitée.
On connaissait les conséquences potentielles de l’exploitation de la faille root. Potentiellement très grave
On connaît les conséquences de l’exploitation potentielle de la faille sur le panneau de préférences de l’app store. Potentiellement beaucoup moins grave.
@jazz678
"Potentiellement beaucoup moins grave."
Pas d’accord. On peut discrètement en moins de 15 secondes promouvoir un autre compte admin, ou en créer un, activer ssh, puis on a un accès complet à distance sudo compris.
Contrôle total.
Potentiellement gravissime.
Comme je le disais, une faille n’est grave que de part ce qui en est fait. Et on ne sait pratiquement jamais ce qui en est fait.
@fte
« Pas d’accord. On peut discrètement en moins de 15 secondes promouvoir un autre compte admin, ou en créer un, activer ssh, puis on a un accès complet à distance sudo compris.Contrôle total. »
Vous savez faire tout ça à partir du panneau préférences de l’appstore ? Chapeau..
« Potentiellement gravissime. »
Je retiens le « potentiellement ». Ça ramène donc à ce que j’ai dit.
Pages