Une mise à jour urgente pour combler une faille de sécurité dans macOS

Par posté le 1 décembre 2017

Le bug de mot de passe root est désormais corrigé.

Crédit photo : AFP

Crédit photo : AFP

Il est vivement recommandé de faire la dernière mise à jour pour macOS High Sierra. Celle-ci corrige en effet la faille de sécurité qui permettait à n’importe qui d’accéder à l’ordinateur avec le statut d’administrateur. Il suffisait de passer par le panneau des préférences système, section utilisateurs et groupes, puis de taper « root » en nom d’utilisateur et de laisser le champ de mot de passe vide. Ainsi, le statut d’administrateur était automatiquement accordé.

Il était ainsi possible de contourner le mot de passe qui donne le droit de modifier à l’envie tous les programmes de la machine en question. Pire, depuis l’écran d’accueil, si un compte Autre était disponible, la même manipulation déverrouillait l’ordinateur et permettait d’accéder aux autres utilisateurs du système. Jusqu’à présent, la seule parade était de donner un mot de passe au compte root.

Apple s’excuse publiquement

Face à la bourde, Apple s’est immédiatement excusée via un communiqué : « Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d’avoir fourni une version incluant cette vulnérabilité mais aussi pour l’inquiétude que cela a causé. Nos clients méritent mieux ». La marque américaine a prévu d’installer le correctif automatiquement sur tous les ordinateurs équipés de la dernière version de macOS High Sierra, la 10.13.1.

Pour rappel, ce n’est pas l’unique faille du genre qui touche le système d’exploitation de la marque à la pomme. Un bug découvert le mois dernier permettait d’afficher en clair tous les mots de passe des disques cryptés en APFS, le nouveau système de fichier Apple introduit sur High Sierra et iOS 10.3, en cliquant simplement sur Indice. Au lieu de donner l’indice préalablement enregistré, l’ordinateur donnait directement le bon mot de passe.

Un commentaire

  1. Camille

    2 décembre 2017 at 20 h 30 min

    Bof, dans les deux cas pour la plupart des utilisateurs les failles étaient minimes car il fallait déjà avoir un accès physique à la bécane. Par contre en cas de vol ça aurait pu être gênant, ou dans les Apple Stores sur les Macs de démonstration ça aurait pu être rigolo de démontrer que quand Apple a une motivation personnelle à déverrouiller une machine elle le fait sans problème.

Réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>