macOS High Sierra : une nouvelle faille de sécurité toute bête avec les mots de passe

Florian Innocente |

Une nouvelle faille de sécurité au niveau de la saisie d'un mot de passe utilisateur a été observée dans macOS High Sierra. Apple semble en avoir pris note puisqu'elle est absente dans l'actuelle bêta 10.13.3. Toutefois elle est parfaitement exploitable dans la 10.13.2 que tous les utilisateurs de High Sierra sont supposés avoir.

MacRumors a le premier remarqué le signalement de ce bug sur Open Radar et, effectivement, il est très facile à reproduire. Il permet de déverrouiller le contenu du panneau de préférences "App Store" en tapant n'importe quoi comme mot de passe.

Il convient d'abord d'avoir accès au compte utilisateur de la machine et que celui-ci soit de type administrateur. Des conditions indispensables mais qui n'exigent pas de gros efforts et, pour ainsi dire, aucune compétence technique particulière. Ceci fait, lorsqu'on clique sur l'icône du cadenas et qu'apparaît la fenêtre de saisie du mot de passe, on peut taper absolument n'importe quoi et le cadenas va s'ouvrir.

C'est d'une gravité bien moindre que les précédents cas avec la faille root et celle des volumes APFS. C'est aussi très ciblé, puisque d'autres panneaux de préférences, plus importants, qui ont aussi ce cadenas (comme "Sécurité et confidentialité") ne présentent pas ce défaut. Mais il y a comme une ritournelle inquiétante et déconcertante autour de la gestion des mots de passe depuis l'arrivée de macOS High Sierra. macOS Sierra n'étant pas touché apparemment.

avatar fte | 

@jazz678

"Je retiens le « potentiellement ». Ça ramène donc à ce que j’ai dit."

Ça ramène surtout à ce que j’ai dit. La gravité depend de ce qui en est fait, et on ne sait pas ce qui en est fait, donc on ne sait pas la gravité.

On peut spéculer sur les potentiels dans tous les sens. On ne sait pas, au final. Je ne disais rien d’autre.

avatar BeePotato | 

@fte :
« Ça ramène surtout à ce que j’ai dit. La gravité depend de ce qui en est fait, et on ne sait pas ce qui en est fait, donc on ne sait pas la gravité. »

La partie importante du commentaire de jazz678 n'était pas celle que tu as citée pour y répondre ça, mais celle que tu as ignorée (peut-être involontairement) et qui rappelait qu'on ne peut pas, via cette faille, donner les droits admin à un autre compte, activer SSH, etc.

Du coup, ce qui en est fait, on ne le sait effectivement pas, mais ce qui peut en être fait, on en devine rapidement les limites très restreintes.

Cette erreur n'est clairement pas quelque chose dont Apple peut être fière, mais la faille n'est tout de même pas grave.

avatar Doctomac | 

@fte

Bien là rien de rien. Donc ce n’est pas grave.

Pas la peine de tourner autour du pot.

avatar GtnDns | 

La honte

avatar Crkm | 

mdr
Allez dégage Cook espèce d’incapable. Il faudrait qu’il soit reconnu coupable par la justice dans l’affaire de l’obsolescence programmée : je jubile à l’idée de voir Tim enfiler sa petite tenue de prisonnier avant d’entrer dans la prison de Fleury Mérogis. Il passerait de bons moments dans les douches ! ?

avatar Ast2001 | 

En attendant, vous critiquez mais l’émoticon animé caca fonctionne très bien et il y a plein de zigouigouis rigolos dans iMessages. Il est normal pour une société de définir correctement ses priorités de développement.

avatar Frodon | 

Le véritable bug sur ce panneau de préférences du Mac AppStore, c'est l'existence même de ce cadenas, qui n'a strictement aucune raison d'être puisque tous les paramètres de sécurité de ce panneau exigent le mot de passe iCloud de toute façon.

avatar Moonwalker | 

Yep !

Enfin, une remarque sensée.

avatar zoubi2 | 

Suggestion : On vire tous les commentaires (ou presque) et on ne garde QUE celui de Frodon...

avatar en ballade | 

Juste la Honte

avatar Moonwalker | 

Mouai, un petit bug.

Et ça permet de… rien. Cocher quelques cases, en décocher d’autres.

Quant à modifier les réglages de l’appstore, il faut l’Apple ID.

Bref, c’est en 10.13.2 et c’est déjà corrigé pour 10.13.3.

Si c’est là tout le péril du monde. Bonne nuit.

avatar françois bayrou | 

Rien de grave effectivement, il y a suffisamment de barrières avant pour que ca soit anecdotique ... mais quand même : pouvoir taper n'importe quoi en mot de passe ca fait un peu tâche, non ?

Ca, plus le bug sur le password root
https://arstechnica.com/information-technology/2017/11/macos-bug-lets-you-log-in-as-admin-with-no-password-required/

Plus le mot de passe affiché à la place de l'indice pour les volumes APFS
https://support.apple.com/fr-fr/HT208168

Sans oublier les connexions SSL non chiffrés
https://www.numerama.com/magazine/28547-apple-securite-goto-fail-ios-macosx-securetransport-tls-ssl.html

Ca commence à faire beaucoup tu crois pas ? Niveau sécurité, sur une échelle de 1 à 10, tu donnes combien à Apple ? supérieur à 5 ?

avatar Moonwalker | 

Tout cela est aujourd’hui comblé.

Si le décompte des failles d’OS te concerne tant, je t’invite à consulter ces pages :

https://support.apple.com/en-au/HT201222
https://support.apple.com/fr-fr/HT205762
https://support.apple.com/fr-fr/HT205759
https://support.apple.com/fr-fr/HT204611
etc

Ça remonte jusqu’à Mac OS X 10.0.1.

Quelle merde ce système ! Ils ont bien fait ceux qui sont restés sur Windows 2000.

Plus sérieux : on est en 10.13.2. Laissez ce système grandir. Si toutes ces histoires vous inquiètent, restez sur Sierra.

avatar fte | 

@Moonwalker

"Plus sérieux : on est en 10.13.2. Laissez ce système grandir."

Tellement vrai. Ce n’est qu’une bêta après tout, ce n’est pas comme si c’était la troisième livraison "finale". Purée.

avatar fepalcho | 

Cela implique de connaître le mot de passe admin et d’avoir accès à un mac laissé sans surveillance par son possesseur donc au final ... a lire la news on dirait qu’il est facile de cracker un mdp admin sur Osx pour utiliser une faille qui ne demande pas de pass ?! cela n’a aucun sens mis à part si quelqu’un de mal intentionné se sert de notre session ouverte sans notre autorisation ?!

avatar kazoe | 

C'est pour cela qu'il vaut mieux avoir un compte admin ET un compte principal sans droits admin sur son mac.

À l'installation du Mac, le premier compte créé sera un compte admin (par défaut), Une fois le mac installé complètement avec ce compte, créer un deuxième compte avec les droits admin et supprimer les droits admin sur le premier compte.

Ça permet d'éviter beaucoup de problèmes de ce type...

avatar gude59 | 

Je trouve qu'on fait beaucoup de bruit pour pas grand chose !!
En vérifiant, c'est vrai pour les paramètres de AppStore, mais cela nécessite toujours un mdp pour aller sur AppStore ET les autres paramètres à mdp : paramètres système, etc....sont tjrs actif avec le vrai mdp
Je suis sur HS et .....très satisfait....tout va bene !

avatar hogs | 

Le problème n'est pas que cette faille donne accès à des éléments mineurs, ce qui est grave, c'est le disfonctionnement dans la chaine de développement amenant à rendre défaillante une chaine de sécurité.
L'utilisateur s'attend à ce que ce qui doit être protégé le soit avec les moyen adéquats, que ce soit une protection de faible résistance pour les éléments anodins à une protection pointue pour des informations très sensible. Le problème n'est pas la faiblesse de la protection mais le fait que la mission première allouée à celle-ci soit défaillante. Dès lors se pose des questions sur les processus de validation et de développement et leur fiabilité. La même erreur aurait pu se porter sur un composant crucial si c'est le processus qui est défaillant. Seule la recherche des causes premières peut en déterminer la gravité et amener les mesures correctives.

avatar SyMich | 

@hogs
Ah merci! Enfin un qui a compris ! Merci, merci,merci.

On m'avait conseillé ce site d'info comme l'un des meilleurs sites francophones pour tout ce qui touche au Mac et aux iPhones ou iPad, franchement c'est à désespérer... je vais retourner sur les sites US :(

avatar Issou la chancla | 

Eh mais ils se foutent de la gueule du monde ces incompétents de Cupertino.
A moins qu'ils aient confié le développement de MacOS a des enfants Chinois, comme pour la fabrication des machines?
Au vu de la politique mercenariale de l'entreprise, ça serait pas étonnant.

avatar DarthThauron | 

Pour moi Apple 2018 = Microsoft 1995.

avatar titi95 | 

Faites le test, le problème n est pas que l on puisse taper n importe quoi, le déverrouillage se fait aussi en laissant le cadre vide. Le verrouillage n est pas activé du tout, il n y a que l animation. Ça sent le boulot fait trop vite

avatar DarthThauron | 

Avec tous ses trous, on va finir par trouver macOS à côté de l'emmental en fromagerie...

avatar zearnal | 

Au fil du temps, mois après mois, année après année, Apple devient pour moi moins une société high-tech qu’une compagnie vendant du luxe ! Une étape supplémentaire dans ma démarche de switch !

Pages

CONNEXION UTILISATEUR