Sale temps pour la sécurité sur macOS. Le dernier bug de sécurité en date n’est pas du niveau des précédents mais fait malgré tout un peu tache sur le CV d’Apple. Un utilisateur d’Open Radar, une communauté de rapporteurs de bugs, a révélé un petit souci dans macOS High Sierra 10.13.2, la dernière version officiellement disponible.
Ainsi, selon lui, n’importe quel utilisateur administrateur local sur la machine peut ouvrir le panneau des Préférences Système du Mac App Store et déverrouiller le cadenas qui empêche les modifications de ces réglages en saisissant n’importe quel mot de passe. Si le cadenas est déjà ouvert et que cet utilisateur souhaite tenter sa chance, c’est possible. Il suffit de le refermer, de l’ouvrir à nouveau et de taper n’importe quelle suite de lettres ou chiffres.
L’utilisateur d’Open Radar qui a levé ce bug indique qu’il n’a pas réussi à obtenir ce résultat avec un compte non administrateur. Nous avons tenté l’expérience pour nous assurer de la véracité de ces propos et avons fait les mêmes constats. Nous avons réussi à obtenir l’accès aux Préférences Système sans saisir le bon mot de passe. Le problème est donc réel. Mais il est corrigé dans la version 10.13.3, actuellement en bêta, que nous utilisons sur une autre machine.
Par ailleurs, ce bug n’a pas une énorme incidence en termes de risques. Il est possible d’altérer les réglages qui n’impliquent pas vraiment des risques de sécurité, comme l’installation automatique des mises à jour ou le téléchargement des app achetées sur d’autres Mac.
En revanche, dès que les réglages sont importants : faire en sorte que le mot de passe ne soit plus demandé pour les téléchargements d’applications gratuites ou qu’il ne le soit que toutes les 15 minutes et pas systématiquement, il est nécessaire de saisir le mot de passe lié au compte utilisé dans le Mac App Store. En l’occurrence, taper n’importe quoi ne fonctionnera pas.
C’est donc bel et bien un bug mineur mais réel auquel on a à faire. Veillez à appliquer la prochaine mise à jour de macOS dès qu’elle sera disponible pour vous en débarrasser. Si ce n’est pas déjà le cas, vous pouvez automatiser son installation en vous rendant dans les préférences système du Mac App Store, si le cadenas est verrouillé, vous pourrez certainement taper n’importe quel mot de passe pour l’activer, et la boucle sera bouclée.
Sources :
OpenRadar
MacRumors
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.