Hors-sujet
MàJ : correctif disponible, déclaration Apple – Faille de sécurité “Root” dans le dernier MacOS High Sierra : précautions à prendre avant correctif Apple
Mise à jour 17h : Apple a sorti un correctif pour le problème
décrit ci-dessous et s’exprime sur le bug. Détails en fin d’article
bug affichant le mot de passe des volumes APFS chiffrés sur MacOS High
Sierra et qui a été corrigé dans une précédente mise à jour, le système
d’exploitation du Mac est touché par une nouvelle faille de sécurité
"Root".
Celle-ci permet à un utilisateur avec un accès physique à
la machine avec le compte "Root", d’ouvrir une session et de modifier des
fichiers sans devoir rentrer un mot de passe. Apple est déjà
en train de préparer un correctif.
En attendant ce dernier voici comment tester cette faille sur sa
machine et se protéger :
Il suffit de se rendre dans les préférences système, puis dans l’onglet
"Utilisateurs et groupes", appuyer sur le cadenas pour pouvoir effectuer des
changements, à la place du nom d’utilisateur habituel entrer "root" et rien en
mot de passe puis valider pour démarrer une session.
Cette faille sérieuse ne touche que MacOS High sierra et est toujours active
dans la dernière beta de macOS 10.13.2, toutefois Apple a communiqué qu’un
correctif allait arriver très prochainement.
En attendant le correctif d’Apple, il est possible de créer ou activer un
compte d’utilisateur "root" et de renseigner un mot de passe
pour empêcher un accès non autorisé avec cette faille.
Vous pouvez retrouver les étapes détaillées sur la page de support d’Apple.
Mise à jour 17 h : Apple vient de publier un correctif
pour le problème vu ci-dessus, voir le "Security Update 2017-001" sur le
site d’Apple. Il arrive sur le Mac App Store et bien entendu il est
indispensable de l’installer au plus vite.
Apple s’est également exprimé sur le bug : " Pour tout produit
Apple, la sécurité est une priorité et nous avons y malheureusement failli avec
cette version du système d’exploitation macOS.
Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont
constaté le problème ce mardi après-midi (mercredi dans la nuit en France) nous
avons immédiatement commencé à travailler sur une mise à jour pour y remédier.
Depuis 17h (heure française) la mise à jour est disponible au téléchargement,
et plus tard dans la soirée, elle sera automatiquement installée sur tous les
ordinateurs équipés de la dernière version de macOS High Sierra
(10.13.1).
Nous regrettons profondément cette erreur et nous nous excusons auprès
de tous les utilisateurs Mac, à la fois d’avoir fourni une version incluant
cette vulnérabilité mais aussi pour l’inquiétude que cela a causé. Nos clients
méritent mieux. Nous sommes en train de passer au crible nos processus de
développement afin que cela ne se reproduise plus. "