MàJ : correctif disponible, déclaration Apple – Faille de sécurité “Root” dans le dernier MacOS High Sierra : précautions à prendre avant correctif Apple
Mise à jour 17h : Apple a sorti un correctif pour le problème
décrit ci-dessous et s’exprime sur le bug. Détails en fin d’article
Après un
bug affichant le mot de passe des volumes APFS chiffrés sur MacOS High
Sierra et qui a été corrigé dans une précédente mise à jour, le système
d’exploitation du Mac est touché par une nouvelle faille de sécurité
"Root".
Celle-ci permet à un utilisateur avec un accès physique à
la machine avec le compte "Root", d’ouvrir une session et de modifier des
fichiers sans devoir rentrer un mot de passe. Apple est déjà
en train de préparer un correctif.
En attendant ce dernier voici comment tester cette faille sur sa
machine et se protéger :
Il suffit de se rendre dans les préférences système, puis dans l’onglet
"Utilisateurs et groupes", appuyer sur le cadenas pour pouvoir effectuer des
changements, à la place du nom d’utilisateur habituel entrer "root" et rien en
mot de passe puis valider pour démarrer une session.
Cette faille sérieuse ne touche que MacOS High sierra et est toujours active
dans la dernière beta de macOS 10.13.2, toutefois Apple a communiqué qu’un
correctif allait arriver très prochainement.
En attendant le correctif d’Apple, il est possible de créer ou activer un
compte d’utilisateur "root" et de renseigner un mot de passe
pour empêcher un accès non autorisé avec cette faille.
Vous pouvez retrouver les étapes détaillées sur la page de support d’Apple.
Mise à jour 17 h : Apple vient de publier un correctif
pour le problème vu ci-dessus, voir le "Security Update 2017-001" sur le
site d’Apple. Il arrive sur le Mac App Store et bien entendu il est
indispensable de l’installer au plus vite.
Apple s’est également exprimé sur le bug : " Pour tout produit
Apple, la sécurité est une priorité et nous avons y malheureusement failli avec
cette version du système d’exploitation macOS.
Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont
constaté le problème ce mardi après-midi (mercredi dans la nuit en France) nous
avons immédiatement commencé à travailler sur une mise à jour pour y remédier.
Depuis 17h (heure française) la mise à jour est disponible au téléchargement,
et plus tard dans la soirée, elle sera automatiquement installée sur tous les
ordinateurs équipés de la dernière version de macOS High Sierra
(10.13.1).
Nous regrettons profondément cette erreur et nous nous excusons auprès
de tous les utilisateurs Mac, à la fois d’avoir fourni une version incluant
cette vulnérabilité mais aussi pour l’inquiétude que cela a causé. Nos clients
méritent mieux. Nous sommes en train de passer au crible nos processus de
développement afin que cela ne se reproduise plus. "
Poussin17 (posté avec l'app i-nfo.fr V2)
29 novembre 2017 à 23 h 13 min
Bonjour, pour appuyer sur le cadenas il ne faut pas commencer par saisir un
mot de passe administrateur ?
Maay (posté avec l'app i-nfo.fr V2)
29 novembre 2017 à 22 h 42 min
@Raymond ouaip, tellement gros qu’ils allaient presque pas le voir dis donc.
Faut que t’aille leur dire bonhomme ! Vas y Raymond, cours, cours leur dire
qu’ils ont un gros problème ! Sauve les ! Apple a besoin de toi ! Y s’en
sortiront pas tellement qu’il est gros le problème ! Va leur dire viiiiiiite !
Adieu et revient victorieux !
lunggom (posté avec l'app i-nfo.fr V2)
29 novembre 2017 à 20 h 26 min
Wow ! Apple qui présente ses excuses !! C’est assez rare pour le noter dans
le calendrier.
Faut dire que là, ils y sont allés un peu fort dans le bug.
vincent (posté avec l'app i-nfo.fr V2)
29 novembre 2017 à 18 h 49 min
Et dire qu’on a vécu des années sous Windows98, XP… avec de failles bien
pire mais aujourd’hui « grâce » à internet le moindre écart prend des
proportions hallucinantes.
iStaff (posté avec l'app i-nfo.fr V2)
29 novembre 2017 à 18 h 05 min
@Lecteur-1510388398 le compte le plus important, celui qui a tous les droits
…
Lecteur-1510388398 (posté avec l'app i-nfo.fr V2)
29 novembre 2017 à 16 h 53 min
C’est quoi le Root?