Apple comble la faille majeure de macOS

Le correctif de la dernière version de macOS High Sierra est désormais accessible. Il permet de se protéger contre une usurpation du compte root du système.
Mise à jour du 30 novembre
Apple a sorti rapidement une mise jour des versions 10.13.1 et 10.13.2 de son système d'exploitation macOS High Sierra, mis en cause par un chercheur en sécurité informatique. Il était en effet possible d'accéder à une machine tournant sous cet OS et d'en prendre le contrôle comme administrateur sans même posséder le mot de passe.
Apple résume l'affaire dans cette page et invite ses utilisateurs à télécharger le correctif qui est disponible dans l'AppStore.
Première version de l'article le 29 novembre
Utilisateurs de macOs, tremblez ! Le chercheur turc Lemi Ergin a révélé hier une faille béante dans la dernière version de macOS High Sierra (10.13.1 et la bêta 10.13.2) :
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
« N'importe qui peut se connecter en tant que "root" avec un mot de passe vide après avoir cliqué plusieurs fois sur le bouton de connexion », indique alors le développeur. Le "root" est une sorte de super utilisateur pouvant accéder à des fonctions avancées du système, « y compris sur des fichiers stockés dans d’autres comptes utilisateur macOS », explique Apple sur son site officiel. Ce qui signifie que si quelqu'un a un accès physique à votre machine, il peut se connecter sans mot de passe en tant qu'administrateur et en obtenir ainsi le contrôle au bout de plusieurs tentatives. Mais ce n'est pas tout. Il est aussi en mesure d'exploiter la faille à distance en passant par la fonction d'écran partagé.
De nombreux utilisateurs ont ensuite reproduit la manipulation, filmée et postée sur les réseaux sociaux :
Huge security bug on MacOS High Sierra revealed. Anyone can login as root with a blank password if you click on the login button several times.pic.twitter.com/bXES0HmyVn
— iAfrikan (@iafrikan) 28 novembre 2017
La marche à suivre pour se protéger
Apple a réagi avec une diligence extrême en mettant en ligne dans différentes langues une page support et en communiquant le message suivant à la presse américaine :
« Nous travaillons sur une mise à jour logicielle pour résoudre ce problème. En attendant, la définition d'un mot de passe root empêche tout accès non autorisé à votre Mac. Pour activer l'utilisateur racine et définir un mot de passe, suivez les instructions ici. Si un utilisateur root est déjà activé, , veuillez suivre les instructions de la section Changer le mot de passe root pour vous assurer qu'un mot de passe vide n'est pas défini ».
En attendant une mise à jour imminente, la société propose donc une solution pour se protéger. Comme l'utilisateur root est désactivé par défaut, il s'agit de créer un compte root, ainsi qu'un mot de passe. Ce qui évitera à toute personne extérieure de pouvoir se connecter avec un mot de passe vide.
-
Pierre ORY
Je ne trouve pas de trace de l'article officiel Apple qui conseille d'activer l'utilisateur root.
L'article que vous mettez en lien est un article standard datant un peu qui explique juste comment activer le compte root (mais ne conseille pas de faire!)
Les conseillers Apple que j'ai eu en ligne démentent vos affirmations (mettons qu'ils ne sont peut être pas encore informés...)
Pouvez-vous publier les lien vers l'article officiel Apple qui valide cette faille et leur conseil?
Le problème est suffisamment grave pour être très méticuleux dans l'annonce (surtout sur 01net.com ou Le Monde qui ne fait pas mieux)
Votre opinion