Si d’autres failles très importantes ont été repérées concernant par exemple le Bluetooth ou le protocole Wi-Fi, la dernière en date est plutôt surprenante. Bien que des failles concernant Apple soient dévoilées de temps en temps, l’entreprise a plutôt une bonne réputation en matière de sécurité informatique. Dur retour à la réalité pour Apple aujourd’hui, car c’est la firme elle-même qui n’a pas repéré une faille grossière présente dans le sytème d’exploitation de macOS qu’elle propose à ses utilisateurs.
C’est le développeur turc Lemi Orhan Ergin qui a repéré la faille et qui en a informé l’entreprise à la pomme directement via Twitter. Il écrit : « cher SAV Apple, nous avons remarqué un énorme problème de sécurité sur macOS High Sierra. N’importe qui peut se connecter en tant que ‘root’ avec le champ du mot de passe vide après avoir cliqué plusieurs fois sur le bouton de connexion. En êtes-vous conscient Apple ? ». Il continue plus spécifiquement : « Vous pouvez y accéder via Préférences système > Utilisateurs et groupes > Cliquez sur le cadenas pour effectuer des modifications. Ensuite, utilisez ‘root’ sans mot de passe. Et essayez-le plusieurs fois. Le résultat est incroyable ! ». Si la dernière phrase du développeur peut prêter à sourire, ce n’est pas le cas de cette faille béante qu’Apple a laissé trainer là.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Pour développer ce qu’a expliqué succinctement Lemi Orhan Ergin, la faille en question permet n’importe qui de prendre le contrôle entier sur votre ordinateur utilisant macOS High Sierra. Il suffit que vous vous absentiez quelques minutes et toute personne présente sur place pourrait s’attribuer les pleins pouvoirs. Et ce, sans avoir de compétence technique particulière ! Comme l’explique Lemi Orhan Ergin, il suffit de se connecter à une session, d’écrire « root » à la place du nom d’utilisateur et de laisser le mot de passe vide. Même pas besoin de taper un mot de passe, cela suffit pour prendre entièrement le contrôle sur l’ordinateur. Comme sous les systèmes d’exploitation de Linux, « root » signifie que vous avez accès à toutes les permissions que pourrait demander la machine pour faire des modifications sur le système.
Just tested the apple root login bug. You can log in as root even after the machi was rebooted pic.twitter.com/fTHZ7nkcUp
— Amit Serper (@0xAmit) November 28, 2017
En plus de ce problème majeur, cette faille permet aussi de prendre le contrôle de l’ordinateur à distance, en fonction de certaines conditions. Dans le cas où le partage d’écran est activé ou si des configurations ou logiciels (tels que Remote Desktop, VNC Viewer) ont été configurés, il n’y a même pas besoin d’être sur place pour prendre le contrôle.
Numerama précise que Snowden s’est exprimé sur Twitter afin de faire comprendre l’ampleur du problème : « Imaginez une porte fermée à clé, mais si vous continuez à appuyer sur la poignée, elle dit ‘bon, très bien’ et vous laisse entrer sans clé ». « C’est vraiment grave, mais ça sera résolu. Souvenez-vous de ce bug la prochaine fois que le FBI et le ministère de la justice demanderont un chiffrement ‘raisonnable’. C’est à ça que ressemble ce monde chaque jour ».
Apple est au courant de la faille et travaille sur un correctif afin que le problème soit réglé rapidement.
Actuellement, Apple est au courant de la faille et travaille sur un correctif afin que le problème soit réglé rapidement. La firme a déclaré dans un communiqué : « Nous travaillons sur une mise à jour logicielle pour résoudre ce problème. En attendant, la définition d’un mot de passe root empêche tout accès non autorisé à votre Mac. Pour activer l’utilisateur racine et définir un mot de passe, suivez les instructions. Si un utilisateur root est déjà activé, veuillez suivre les instructions de la section Changer le mot de passe root pour vous assurer qu’un mot de passe vide n’est pas défini ». Le instructions à suivre sont disponibles sur le support d’Apple.
Il est aussi possible de définir un mot de passe via le terminal. Vous n’avez qu’à écrire la ligne de commande suivante : sudo passwd -u root. Le fait de définir un mot de passe ne permettra plus à un utilisateur malveillant de s’octroyer les pleins pouvoirs.
Une erreur qu’Apple ne risque pas d’oublier de si tôt.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
