Le bug de mot de passe root est désormais corrigé.

Crédit photo : AFP
Crédit photo : AFP

Il est vivement recommandé de faire la dernière mise à jour pour macOS High Sierra. Celle-ci corrige en effet la faille de sécurité qui permettait à n’importe qui d’accéder à l’ordinateur avec le statut d’administrateur. Il suffisait de passer par le panneau des préférences système, section utilisateurs et groupes, puis de taper « root » en nom d’utilisateur et de laisser le champ de mot de passe vide. Ainsi, le statut d’administrateur était automatiquement accordé.

Il était ainsi possible de contourner le mot de passe qui donne le droit de modifier à l’envie tous les programmes de la machine en question. Pire, depuis l’écran d’accueil, si un compte Autre était disponible, la même manipulation déverrouillait l’ordinateur et permettait d’accéder aux autres utilisateurs du système. Jusqu’à présent, la seule parade était de donner un mot de passe au compte root.

Apple s’excuse publiquement

Face à la bourde, Apple s’est immédiatement excusée via un communiqué : « Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d’avoir fourni une version incluant cette vulnérabilité mais aussi pour l’inquiétude que cela a causé. Nos clients méritent mieux ». La marque américaine a prévu d’installer le correctif automatiquement sur tous les ordinateurs équipés de la dernière version de macOS High Sierra, la 10.13.1.

Pour rappel, ce n’est pas l’unique faille du genre qui touche le système d’exploitation de la marque à la pomme. Un bug découvert le mois dernier permettait d’afficher en clair tous les mots de passe des disques cryptés en APFS, le nouveau système de fichier Apple introduit sur High Sierra et iOS 10.3, en cliquant simplement sur Indice. Au lieu de donner l’indice préalablement enregistré, l’ordinateur donnait directement le bon mot de passe.