Une faille de sécurité permet de se connecter à un Mac High Sierra sans mot de passe
Si vous avez téléchargé la dernière version du système d’exploitation High Sierra sur votre Mac, faites attention aux mauvaises surprises. Et pour cause, Apple a tout simplement laissé une grande brèche ouverte dans son système d’exploitation pour que tout le monde puisse s’y connecter sans aucun mot de passe.
En effet, sur la version la plus récente de High Sierra (10.13.1), sortie le 31 octobre dernier, n’importe qui peut pénétrer dans le système d’exploitation en utilisant «root» comme identifiant et en laissant vide le champ dédié au mot de passe. Après plusieurs tentatives, l’identification finit par fonctionner. Dès lors, une fois que l’utilisateur est authentifié en tant que propriétaire de l’ordinateur, il peut procéder à plusieurs manipulations qui peuvent rapidement devenir problématiques pour les autres utilisateurs de l’ordinateur.
La faille détectée par un développeur turc
Ainsi, l’administrateur a la possibilité d’ajouter ou de supprimer d’autres administrateurs, de modifier les paramètres de sécurité, de verrouiller le compte du propriétaire actuel de l’ordinateur ou encore de changer le mot de passe de tous les utilisateurs et d’accéder à leurs fichiers. Cerise sur le gâteau, la manipulation peut être effectuée à distance si le partage d’écran est activé.
Cette faille de sécurité a été détectée par les équipes de Lemi Orhan Ergin, développeur et fondateur de Software Craftsman, une société basée en Turquie. Ce dernier a fait part de sa découverte sur Twitter en interpellant directement Apple via ses différents comptes sur le site de microblogging.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use « root » with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
La firme de Cupertino a réagi à ces révélations en annonçant qu’elle travaillait sur une mise à jour de High Sierra pour résoudre ce problème. En attendant cette correction, Apple a donné des instructions pour que ses clients puissent empêcher cette faille sur leur ordinateur. La marque à la pomme invite ses utilisateurs à rentrer manuellement un mot de passe «root» pour se protéger.
Voici le protocole à suivre :
- Aller dans les «Préférences Système» et cliquez sur «Utilisateurs et groupes» (ou «Comptes»)
- Cliquez sur le cadenas, puis saisissez un nom et un mot de passe d’administrateur
- Cliquez sur «Options d’ouverture de session», puis sur «Rejoindre» (ou «Modifier»)
- Cliquez sur «Ouvrir Utilitaire d’annuaire»
- Cliquez sur le cadenas dans la fenêtre «Utilitaire d’annuaire», puis saisissez un nom et un mot de passe d’administrateur
- Sur la barre des menus dans la fenêtre «Utilitaire d’annuaire», cliquez sur «Modifier»
- Activez l’utilisateur root, puis saisissez le mot de passe que vous souhaitez utiliser pour l’utilisateur root
- Débâcle dans la livraison express, Flink aussi abandonne le marché français - 19/04/2024
- Jeux de poupées russes entre ELAIA et LAZARD / ACTIONABLE, nouvelle aventure pour … / 100 millions de plus pour FLINK avant fusion? - 18/04/2024
- META: la protection des données n’est pas une option, juge le régulateur européen - 18/04/2024
Il convient d’être précis et dans ce cas cette faille *ne permet pas* de se « connecter à un Mac High Sierra sans mot de passe ».
Car pour exploiter cette faille, il faut avoir au préalable déverrouillé le mac avec votre mot de passe habituel.
Elle permet par contre à tout utilisateur, y compris ceux avec des privilèges réduits, d’utiliser le compte root sans mot de passe. Ce qui naturellement représente un risque.
Vous avez raison : “Se connecter” est un abus de langage pour “s’authentifier”.