Alors que les piratages de comptes sont de plus en plus fréquents (Yahoo!, LinkedIn, Uber, etc.) on est en droit d’attendre que les développeurs fassent leur maximum pour sécuriser nos ordinateurs.
Malheureusement cette série noire n’est pas prête de s’arrêter alors qu’une faille critique de sécurité vient d’être découverte dans le dernier OS d’Apple.
Une faille de sécurité digne d’un élève de CE2
Cette nouvelle faille a été révélée par le chercheur en sécurité Lemi Ergin sur son compte twitter, et elle est tellement simple à exploiter que l’on se demande comment les développeurs d’Apple ont pu passer à coté.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Via son tweet, Lemi explique que n’importe qui ayant un accès physique à un Mac sur lequel cet OS est installé peut s’y connecter via une manipulation très simple.
Pour ce faire, il suffit à n’importe qui ayant accès à votre ordinateur d’aller dans le panneau Utilisateurs et Groupe de préférence système puis de cliquer sur le cadenas qui empêche les modifications.
Une fenêtre apparaîtra alors, vous demandant de saisir un identifiant. Entrez root comme nom de compte et vous voilà désormais administrateur du Mac !
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Quand on vous a dit que la manipulation est simplissime !
Vous l’avez déjà deviné, le pire reste à venir : à partir de ce compte root il est possible d’accéder à la totalité des fichiers du Mac, d’y glisser un malware par exemple ou d’ailleurs de faire tout ce qui vous passera par la tête…
Une faille prise très au sérieux par Apple
Avec plus de 12.000 retweets, sans compter le partage de l’information par de nombreux média, l’information est très vite arrivée aux oreilles d’Apple qui a tenu à rassurer ses utilisateurs en promettant de corriger le problème via une mise à jour dans les heures qui suivent.
À l’heure où j’écris ces mots, j’espère que cette mise à jour a bien été déployée…
Critical Security Update for macOS High Sierra Released to Fix Root Bug, Download & Install Now https://t.co/sni8szWwwI
— Apple News (@applenws) December 2, 2017
Une solution de secours pour contourner cette faille
En attendant qu’Apple règle le problème, les développeurs de la firme à la pomme on publié un didacticiel pour corriger cette faille vous-même.
Pour cela il vous suffit de créer vous même ce fameux compte root et de le sécuriser par un mot de passe que vous serez seul à connaitre.
Espérons que macOS High Sierra ne contienne pas d’autre faille aussi facile à exploiter…