MacOS High Sierra frappé d’une vulnérabilité de sécurité embarrassante

La saisie de l’identifiant «root» dans les paramètres systèmes permet à un utilisateur d’accéder à une cession administrateur du Mac. Sans mot de passe.

MacOS 10.13 dit « High Sierra » est victime d’un bug pour le moins problématique. Il est possible d’accéder au compte administrateur de l’OS, avec tous les droits qui s’en suivent, simplement en utilisant l’identifiant « root ». Et sans même avoir besoin de saisir un mot de passe.

C’est le développeur Lemi Orhan Ergin qui, par tweet, a alerté Apple, hier, mardi 28 novembre. Et la planète Internet entière par la même occasion.

« N’importe qui peut se connecter en mode « root » sans renseigner de mot de passe après avoir cliqué plusieurs fois sur le bouton de connexion », écrit le développeur dans son message. Si la tentative ne fonctionne pas du premier coup, elle est validée la seconde fois.

Apple travaille à une mise à jour

En réponse à Apple, il indique la marche à suivre : il suffit de se rendre dans les Préférences systèmes, puis sur Utilisateurs et groupes et de cliquer sur le cadenas pour effectuer le changement.

La manœuvre crée un profil « super utilisateur » qui a accès à l’ensemble des fonctions et paramètres de l’OS normalement réservé aux administrateurs.

Selon MacWorld, l’astuce fonctionne parfaitement. Mais elle ne fonctionne qu’en passant par les paramètres système, et non depuis l’ouverture de cession, et seulement depuis un nom d’utilisateur différent de celui de la cession courante.

En réponse à nos confrères américains, Appel a déclaré travailler à une mise à jour pour corriger ce bug que l’on peut sans hésiter qualifier de faille de sécurité importante.

Et d’ici là, invite les utilisateurs à attribuer un mot de passe au compte Root (à partir des explications de cette page) afin d’éviter les risques d’intrusion. Sage recommandation.


Lire également
iOS 10 : quelques évolutions et un bug
Apple lance enfin son bug bounty sur iOS et iCloud
Les utilisateurs de macOS High Sierra privés d’Office for Mac ?