Apple fait face à une grave vulnérabilité d’authentification dans macOS
La dernière version de macOS présente une faille de sécurité qui permet un accès root (compte utilisateur à privilèges étendus) sans mot de passe.
Dans quelle mesure Apple surveille-t-il ce qui se dit sur ses forums destinés à la communauté des développeurs ?
La question se pose après un tweet qui a eu l’effet d’une bombe : un chercheur en sécurité informatique a publiquement interpellé la firme ce mardi en lui signalant la présence d’une grave vulnérabilité dans la dernière version de son système d’exploitation macOS (10.13 « High Sierra »).
Cette vulnérabilité permet de créer un compte d’utilisateur root (un « superutilisateur » doté de droits de lecture et d’écriture sur de nombreuses zones du système)… et de s’y connecter sans mot de passe.
Le chercheur ne précise pas comment il a découvert l’existence de la faille.
Peut-être a-t-il lu les forums d’Apple… et plus particulièrement cette conversation lancée par un utilisateur qui avait perdu ses droits d’administrateur après une mise à jour vers High Sierra.
Le 13 novembre, un autre membre lui avait suggéré deux méthodes pour réactiver un compte administrateur. L’une d’entre elles consistait à renseigner, dans la fenêtre de connexion, le login « root », puis à valider sans entrer de mot de passe.
Comportements variables
Le problème se trouve dans le composant système com.apple.loginwindow, qui gère les fenêtres de connexion.
S’il ne semble concerner que macOS High Sierra, ses symptômes sont très différents selon la configuration des machines.
Quand certains disent être parvenus à exploiter la faille à distance, notamment via des clients VNC ou le partage d’écran du Finder, d’autres affirment n’y être arrivés qu’à condition d’avoir au préalable activé le compte root avec un accès physique au Mac.
Selon certains témoignages, un verrouillage sur l’écran de veille suffit à protéger de la faille. Pour d’autres, un terminal peut suffire à activer la faille.
Du côté d’Apple, on dit travailler sur un correctif, sans fixer d’échéance. Une solution palliative est proposée : activer le compte root si ce n’est pas déjà fait et définir un mot de passe suffisamment fort.
Ars Technica, qui a examiné le dossier, considère que pour trouver trace, chez Apple, d’une vulnérabilité d’une telle ampleur, il faut remonter à 2014, avec le « goto fail », qui permettait de contourner le chiffrement TLS. Il avait fallu quatre jours pour qu’un correctif soit publié.
Crédit photo : Spunkr. via Visualhunt / CC BY-SA