Le correctif pour High Sierra est disponible dans le Mac App Store. Il est chaudement recommandé de l'appliquer aussi rapidement que possible (sur macOS 10.13.1). Apple s'excuse également, un évènement rare : « Nous regrettons profondément cette erreur et présentons nos excuses aux utilisateurs de Mac, pour la sortie d’une version boguée et pour les soucis causés. Nos clients méritent mieux. Nous procédons à un audit de nos processus de développement pour empêcher une telle erreur de se reproduire ».
Une très importante faille de sécurité existe actuellement dans macOS High Sierra. En passant par le panneau des réglages, il est possible d’obtenir les droits administrateurs sans avoir à entrer le moindre mot de passe. En attendant le correctif promis par Apple, on peut s'en protéger.
Pour une société évoquant régulièrement la sécurité de ses produits et en vantant les mérites sur son site officiel, on peut dire que la découverte fait tache. C’est Lemi Orhan Ergin, développeur chez Iyzico, qui a mis le doigt dessus : en passant par la section « Utilisateurs et groupes » du panneau des Préférences système, on peut court-circuiter la demande de mot de passe et obtenir les droits administrateurs.
Une manipulation très simple, y compris depuis l'écran d'accueil
La faille peut être exploitée de plusieurs manières. La plus simple – et on pourrait dire la plus dangereuse – passe par l'écran de connexion. Si un compte « Autre » est disponible, il suffira alors d'entrer « root » dans la case d'identifiant et de laisser le mot de passe vide. On valide puis on arrive sur un bureau : une session aux droits administrateurs permettant d'accéder aux autres comptes présents sur la machine.
Si « Autres » n'apparaît pas mais que vous arrivez sur une machine où une session est déjà ouverte, vous pourrez également acquérir ces droits. La démarche est on ne peut plus simple :
- Ouvrir les Préférences puis Utilisateurs et groupes
- Cliquer sur l’icône de cadenas en bas à gauche de la fenêtre
- Dans la fenêtre qui surgit, remplacer l’identifiant par root
- Répéter l’opération dans la nouvelle fenêtre apparue
Emballez, c’est pesé : High Sierra ne bronche pas devant une manipulation aussi grossière. On entend le son caractéristique du cadenas déverrouillé, le système vous faisant signe que les droits administrateur sont activés.
La technique permet donc de contourner complètement une demande ordinaire de mot de passe. macOS le réclame normalement pour toute opération un peu « sérieuse », comme la gestion des comptes, l’installation de certains logiciels, etc.
La situation est donc préoccupante, car n’importe quelle personne ayant accès au Mac peut obtenir ces droits et faire ce que bon lui semblera : accéder à des données masquées, installer un malware et ainsi de suite. La faille peut en outre être exploitée à distance via l’écran partagé.
Notez que des utilisateurs évoquaient déjà ces manipulations il y a plusieurs semaines dans les forums officiels d'Apple.
Une seule parade : imposer un mot de passe au compte root
Pour se protéger, il n’existe actuellement qu’une seule solution efficace. Retournez dans Utilisateurs et groupes, puis dans Options. Pour dégriser le panneau, il faudra cliquer sur le cadenas et saisir votre mot de passe (ou passer par l’astuce du root). Cliquez ensuite sur Rejoindre puis sur « Ouvrir Utilitaire d’annuaire ».
Dans ce dernier, il faudra à nouveau déverrouiller le cadenas. Ensuite, il suffira de se rendre dans le menu Edition et de cliquer sur « Modifier le mot de passe root ». Si le compte n’existe pas, il faudra le créer. Suite à quoi toute tentative d’utilisation de root réclamera le mot de passe que vous aurez choisi. Notez que désactiver le compte root ne supprime pas le problème.
Apple, de son côté, a pris connaissance du problème. La firme l’a donc reconnu et a indiqué qu’une solution était en préparation. Au vu de la dangerosité du problème et surtout son extrême facilité d’utilisation, on espère que le correctif sera déployé très rapidement. Sur notre machine, la manipulation a en effet fonctionné du premier coup avec trois comptes utilisateur différents. Le problème semble toutefois cantonné à High Sierra, soit la dernière révision de macOS.
On pourra regretter également que Lemi Orhan Ergin ait fait directement part de sa découverte sur Twitter sans en informer Apple discrètement dans un premier temps. La technique s’est de fait répandue comme une trainée de poudre, même si la parade l’a suivie très peu de temps après.
