BUG - Au lendemain de la découverte d'une faille majeure au sein du nouveau système d'exploitation macOS High Sierra, la marque à la Pomme a présenté ses excuses et a déployé une mise à jour critique pour corriger la vulnérabilité. Il s'agit de la troisième grave faille de sécurité découverte dans le dernier OS d'Apple en moins de deux mois.
"Imaginez une porte verrouillée, mais qui vous laisse entrer sans la clé, si vous essayez simplement de tourner la poignée". Par cette métaphore, le lanceur d'alerte Edward Snowden a résumé l'ampleur de la faille de sécurité découverte sur les ordinateurs Mac fonctionnant avec la dernière version du système d'exploitation macOS High Sierra (10.13.1). Le bug, repéré par un développeur et divulgué publiquement mardi soir sur Twitter, permettait à quiconque d'obtenir les pleins pouvoirs sur d'un ordinateur Mac, sans taper le mot de passe de l'utilisateur. Ce mercredi, au lendemain de la découverte, un patch correctif a été déployé par Apple. Il sera automatiquement installé dans la soirée sur tous les ordinateurs équipés de la dernière version de macOS High Sierra, a précisé la marque à la Pomme.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs — Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
Pour exploiter cette vulnérabilité, qualifiée de "criminelle" par de nombreux experts en sécurité, pas besoin d'être un pirate informatique chevronné : sur un Mac allumé avec une session ouverte, il suffit de se rendre dans le menu "Préférences système", puis sur la page "Utilisateurs et groupes". En cliquant sur le cadenas situé en bas à gauche de la fenêtre, l'ordinateur demande de s'authentifier. En tapant le nom d'utilisateur "root" (sans les guillemets) puis laisser vierge la case destinée au mot de passe. En validant à plusieurs reprises, le système donne son feu vert et débloque les droits administrateurs qui permettent d'avoir un contrôle total sur l'ordinateur.
Plus grave encore, la manipulation peut être réalisée à distance, si le partage d'écran est activé. Une fois authentifié en tant que propriétaire de l’ordinateur, un usurpateur peut alors consulter tous les fichiers présents sur la machine, ou encore modifier les mots de passe de ses utilisateurs.
Apple déploie actuellement un patch correctif
En début de soirée ce mercredi 29 novembre, la marque à la Pomme a mis en ligne en urgence une mise à jour de MacOS High Sierra qui corrige la vulnérabilité. "Pour tout produit Apple, la sécurité est une priorité et nous avons y malheureusement failli avec cette version du système d'exploitation macOS. Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont constaté le problème ce mardi après-midi (mercredi dans la nuit en France) nous avons immédiatement commencé à travailler sur une mise à jour pour y remédier. Depuis 17h (heure française) la mise à jour est disponible au téléchargement, et plus tard dans la soirée, elle sera automatiquement installée sur tous les ordinateurs équipés de la dernière version de macOS High Sierra (10.13.1).
Pour s'en assurer, cliquez sur la Pomme (en haut à gauche de l'écran), puis sur "À propos de ce Mac". Ensuite, assurez-vous que la version de High Sierra installée est bien la "10.13.1, build '17B1002'". Si ce n’est pas le cas : rendez-vous dans l’App Store, puis cliquez sur "Mises à jour" dans la barre d’outils, puis installez la dernière mise à jour disponible de macOS High Sierra.
En cas de doute, vous pouvez également définir un mot de passe root, ce qui empêchera tout accès non autorisé à votre Mac. Pour ce faire, allez dans Préférences Système > Utilisateurs et groupes > Options de connexion > Joindre > Utilitaire de répertoire > Modifier. Ensuite, activez "Utilisateur root", puis saisissez un mot de passe. Si un utilisateur root est déjà activé, pour vous assurer qu'un mot de passe vide n'est pas défini, veuillez suivre les instructions de la section " Changer le mot de passe root". Pour en savoir plus sur la procédure à suivre, rendez-vous sur le site d'Apple.
Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d'avoir fourni une version incluant cette vulnérabilité mais aussi pour l'inquiétude que cela a causé.
Apple
La marque à la Pomme a tenu également à faire son mea culpa auprès de ses utilisateurs, dans un communiqué adressé ce mercredi aux rédactions du monde entier. "Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d'avoir fourni une version incluant cette vulnérabilité mais aussi pour l'inquiétude que cela a causé. Nos clients méritent mieux. Nous sommes en train de passer au crible nos processus de développement afin que cela ne se reproduise plus", poursuit la marque à la Pomme dans son communiqué.