Mise à jour du 30 novembre
Apple a sorti rapidement une mise jour des versions 10.13.1 et 10.13.2 de son système d’exploitation macOS High Sierra, mis en cause par un chercheur en sécurité informatique. Il était en effet possible d’accéder à une machine tournant sous cet OS et d’en prendre le contrôle comme administrateur sans même posséder le mot de passe.
Apple résume l’affaire dans cette page et invite ses utilisateurs à télécharger le correctif qui est disponible dans l’AppStore.
Première version de l’article le 29 novembre
Utilisateurs de macOs, tremblez ! Le chercheur turc Lemi Ergin a révélé hier une faille béante dans la dernière version de macOS High Sierra (10.13.1 et la bêta 10.13.2) :
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
« N’importe qui peut se connecter en tant que “root” avec un mot de passe vide après avoir cliqué plusieurs fois sur le bouton de connexion », indique alors le développeur. Le “root” est une sorte de super utilisateur pouvant accéder à des fonctions avancées du système, « y compris sur des fichiers stockés dans d’autres comptes utilisateur macOS », explique Apple sur son site officiel. Ce qui signifie que si quelqu’un a un accès physique à votre machine, il peut se connecter sans mot de passe en tant qu’administrateur et en obtenir ainsi le contrôle au bout de plusieurs tentatives. Mais ce n’est pas tout. Il est aussi en mesure d’exploiter la faille à distance en passant par la fonction d’écran partagé.
De nombreux utilisateurs ont ensuite reproduit la manipulation, filmée et postée sur les réseaux sociaux :
Huge security bug on MacOS High Sierra revealed. Anyone can login as root with a blank password if you click on the login button several times.pic.twitter.com/bXES0HmyVn
— iAfrikan.com (@iafrikan) November 28, 2017
La marche à suivre pour se protéger
Apple a réagi avec une diligence extrême en mettant en ligne dans différentes langues une page support et en communiquant le message suivant à la presse américaine :
« Nous travaillons sur une mise à jour logicielle pour résoudre ce problème. En attendant, la définition d’un mot de passe root empêche tout accès non autorisé à votre Mac. Pour activer l’utilisateur racine et définir un mot de passe, suivez les instructions ici. Si un utilisateur root est déjà activé, , veuillez suivre les instructions de la section Changer le mot de passe root pour vous assurer qu’un mot de passe vide n’est pas défini ».
En attendant une mise à jour imminente, la société propose donc une solution pour se protéger. Comme l’utilisateur root est désactivé par défaut, il s’agit de créer un compte root, ainsi qu’un mot de passe. Ce qui évitera à toute personne extérieure de pouvoir se connecter avec un mot de passe vide.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.