macOS High Sierra : une énorme faille donne un accès root à n’importe qui, comment se protéger ? Par Romain Bonnemaison le 29 novembre 2017 macOS High Sierra, le système d’exploitation le plus récent pour mac est touché par une faille de sécurité aussi énorme qu’étonnante. Il est possible pour n’importe qui d’obtenir un accès root (le niveau d’accès le plus élevé dans les systèmes Unix) sans aucun mot de passe. La faille, signalée sur Twitter, est en cours de correction et fera l’objet d’une mise à jour de sécurité. Il existe néanmoins une astuce pour se protéger dès maintenant.Les systèmes UNIX dont Linux et macOS font partie reposent sur un système de privilèges et de permissions complexe censé garantir leur sécurité. Un utilisateur peut ainsi avoir plusieurs niveau d’accès, mais il existe un compte particulièrement utile pour les administrateurs système, mais aussi potentiellement très dangereux pour la machine : le compte root. On parle de danger, car ce compte donne accès à tous les autres comptes, et peut permettre de modifier tous les fichiers système.C’est pour cette raison que le compte est désactivé par défaut – un compte administrateur plus restreint, permet de toute façon de réaliser l’essentiel des tâches permises par le compte root, tout en garantissant un certain niveau de sécurité. Or, visiblement les développeurs d’Apple ont fait une grosse boulette en laissant n’importe qui se connecter au compte root. Alors que celui-ci n’est même pas censé être activé ! Si vous avez un mac sous macOS High Sierra, vous pouvez le constater par vous-même :Allez dans le menu > Préférences Système… > Utilisateurs et groupesCliquez sur ? en bas à gaucheDans la fenêtre qui demande vos identifiants, remplacez le login par root et laissez le champ du mot de passe videCliquez sur DéverrouillerEntrez à nouveau root et tentez de déverrouiller plusieurs foisAu bout de trois ou quatre tentatives, vous serez authentifiés comme un utilisateur root ! De là vous pourrez facilement créer un compte administrateur qui vous donnera des privilèges élevés. Alors comment se protéger ? Il faut en fait activer le compte root et définir un mot de passe :Dans Utilisateurs et groupes cliquez sur Options puis sur le bouton Rejoindre…Cliquez sur ? en bas à gauche et connectez-vous avec un compte administrateurAllez dans Édition > Désactiver l’utilisateur root (il semble en effet activé, mais c’est un bug)Allez dans Édition > Activer l’utilisateur rootChoisissez un mot de passe complexeNormalement si vous réessayez d’exploiter cette faille de sécurité ça ne fonctionnera plus ! Bien sûr on attend une correction rapide de cette faille qui pourrait avoir des conséquences catastrophique sur des systèmes sensibles. Article précédentWindows 10 : comment activer la protection anti-ransomwarenovembre 27, 2017 Article suivantmacOS High Sierra : Apple pousse une mise à jour contre l’énorme faille root et provoque un autre bug !novembre 30, 2017
iPhone 12 : il n’y aurait ni chargeur, ni d’écouteurs dans la boîteL’iPhone 12 serait livré sans écouteurs EarPods et sans chargeur secteur, une première pour la firme de Cupertino dont les motivations seraient doubles : économiques d’une part, mais aussi environnementales.…
iPhone 12 : il sortirait avec quelques semaines de retardLa rumeur d’un lancement retardé de l’iPhone 12 semble être confirmée par l’un des fournisseurs d’Apple. Broadcom indique en effet dans ses prévisions financières que l »s prochains iPhone n’auront un…
iOS 14 : la liste des iPhone compatiblesiOS 14 qui est actuellement en bêta sera disponible en version stable à l’autonome. Et comme chaque année, de nombreux possesseurs d’un iPhone se demandent si leur appareil sera compatible.…
iPhone 12 : pas de port USB-C mais 2020 marquerait la fin du LightningL’iPhone 12 resterait bien sur le port Lightining propriétaire. Il est désormais quasi certain que le port USB-C ne sera pas présent sur le prochain iPhone et ses différentes déclinaisons.…