MacOS High Sierra : comment réparer le bug du mot de passe

MacOS High Sierra : une mise à jour … poreuse

En effet poreuse, puisqu’une faille de sécurité assez importante a été découverte dans cette mise à jour MacOS High Sierra. Ainsi, n’importe qui pouvait ouvrir une session sur votre Mac sans avoir besoin du mot de passe. Et oui, il suffisait d’utiliser « root » comme nom d’utilisateur !
Ainsi, cette brèche de sécurité a été mise en lumière pour la première fois sur twitter. Et le bug de MacOS High Sierra se manifestait lorsque vous vous rendiez dans Préférences Système > Utilisateurs et groupes. Pour effectuer des changements dans ce menu, vous avez normalement besoin du mot de passe. En effet, vous devez cliquer sur l’icône cadenas en bas à gauche, ce qui vous amène à renseigner votre num d’utilisateur et votre mot de passe. Néanmoins, en renseignant simplement « root » comme nom d’utilisateur, on n’avait pas besoin de remplir la partie mot de passe !
Alors ça ne fonctionne pas forcément la première fois, mais en ré-essayant plusieurs fois le cadenas se déverrouille progressivement. Ainsi lorsque nous avons testé, il ne nous a fallu que deux tentatives pour déverrouiller l’appareil. Et accéder à un compte administrateur sans mot de passe. Donc après avoir utilisé ce « tour » dans Préférences Système, il nous a été possible de nous connecter dans un Mac en choisissant Autre dans l’écran de connexion. Et ensuite d’entrer « root » sans mot de passe, dans la version  MacOS High Sierra.

Le Patch MacOS High Sierra

Ainsi, mercredi 29 novembre, Apple a publié une mise à jour de sécurité pour patcher cette vulnérabilité MacOS High Sierra. Par conséquent, aller dans l’App Store Mac et cliquez sur Mises à jour pour installer la mise à jour de sécurité 2017-001.
Un porte-parole d’Apple a annoncé :

La sécurité est une des principales priorités pour tous les produits d’Apple. Et malheureusement nous avons trébuché avec la sortie de MacOS High Sierra.
Quand nos ingénieurs sécurité ont été mis au courant de la faille mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour pour combler la brèche. Ainsi ce matin, à 8h, la mise à jour a été disponible en téléchargement. Et plus tard dans la journée elle sera automatiquement installée sur tous les systèmes opérant la dernière version (10.13.1) de MacOS High Sierra.
Nous regrettons profondément cette erreur. Et nous nous excusons auprès de tous les utilisateurs de MacOS High Sierra. Premièrement pour avoir publié une mise à jour avec une telle vulnérabilité, et pour tous les soucis que cela a causé. Nos consommateurs méritent mieux. Donc nous sommes entrain d’auditer notre processus de développement pour éviter que cela ne se reproduise.

Réparer la faille MacOS High Sierra soi-même ?

Et oui : avant que cette mise à jour n’ait été publiée, il existait un moyen rapide (merci iMore !) pour résoudre cette vulnérabilité. Ainsi, il vous suffisait de définir un mot de passe pour l’utilisateur « root » sur votre Mac. Donc si cela devait se reproduire, voici comment faire :
MacOS High Sierra faille sécurité root

  • Cliquez sur le logo Apple dans la barre de menu et sélectionnez Préférences Système
  • Sélectionnez Utilisateurs et groupes
  • Cliquez sur l’icône cadenas en bas à gauche
  • Entrez le mot de passe pour votre identifiant
  • Options (la maison)
  • Puis Rejoindre
  • Ouvrir Utilitaire d’annuaire
  • Cliquez encore sur le cadenas et renseignez votre mot de passe
  • Editer (le crayon en bas à gauche) puis Activer Utilisateur Root. Et si l’utilisateur root est déjà activé, cliquez sur Modifier le mot de passe Root…
  • Renseignez un mot de passe sécurisé, puis une seconde fois pour vérifier
  • Cliquez sur OK pour finir

Ainsi, une fois que vous avez configuré un mot de passe root, la faille ne fonctionnera plus. Mais nous vous conseillons vivement de télécharger la mise à jour dans tous les cas.
 

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email