macOS High Sierra : un bug permet d’obtenir l’accès administrateur sans mot de passe
Apple se retrouve dans une situation extrêmement délicate. macOS High Sierra est en effet touché par un bug permettant d’obtenir un accès administrateur sur la machine sans avoir besoin de saisir un mot de passe. La firme travaille sur un correctif.
Le bug en question touche la toute dernière mouture du système et donc la version 10.13.1. Révélée publiquement sur Twitter hier soir, elle permet à quiconque d’obtenir un accès root sur l’ordinateur.
Extrêmement dangereuse, elle est en plus très facile à mettre en oeuvre et elle ne nécessite ainsi aucune connaissance technique.
macOS High Sierra touché par un bug critique
Pour se faire, l’utilisateur mal intentionné doit tout simplement se rendre dans le menu des préférences et plus précisément dans les options consacrées aux utilisateurs et aux groupes.
Là, il devra cliquer sur le verrou en bas à gauche de la fenêtre pour ouvrir la fenêtre de saisie du mot de passe et il ne lui restera ensuite plus qu’à saisir le nom d’utilisateur “root” sans mot de passe et renouveler l’opération à plusieurs reprises pour débloquer l’accès.
Lemi Orhan Ergin, un développeur turc, a directement interpellé la firme sur Twitter pour la prévenir de la dangerosité de la faille. Inutile de le préciser, mais son message n’est pas franchement passé inaperçu et il a ainsi été retweeté plusieurs milliers de fois depuis sa publication.
Apple lui a rapidement répondu en l’invitant à poursuivre l’échange en privé, à l’abri des regards indiscrets.
Apple prépare un correctif
Le découvreur de cette faille a été vivement critiqué par certains utilisateurs suite à la publication de son message. Beaucoup lui reprochent en effet d’avoir jeté en pâture la sécurité de millions de personnes pour se faire mousser sur les réseaux sociaux.
Habituellement, lorsqu’un curieux découvre une faille de sécurité aussi importante, il prend effectivement soin de contacter directement l’entreprise concernée pour lui faire remonter le problème et lui permettre de corriger la vulnérabilité.
Lemi a préféré pour sa part prendre un raccourci dangereux et son message a ainsi mis en danger tous les ordinateurs tournant sous macOS High Sierra et les données stockées dessus.
Apple, de son côté, prend en tout cas le problème très au séreux et la firme a ainsi fait savoir que ses ingénieurs travaillaient sur un correctif pour colmater cette brèche. En attendant, il faudra mieux définir un mot de passe pour l’utilisateur “root” (ou le créer) pour éviter de mauvaises surprises.
Note : La faille a été évoquée pour la première fois le 13 novembre sur le forum des développeurs de la firme par un certain chethan177.
MAJ : La faille a été corrigée, plus d’infos ici.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
