Dans quelle mesure Apple surveille-t-il ce qui se dit sur ses forums destinés à la communauté des développeurs ?
La question se pose après un tweet qui a eu l’effet d’une bombe : un chercheur en sécurité informatique a publiquement interpellé la firme ce mardi en lui signalant la présence d’une grave vulnérabilité dans la dernière version de son système d’exploitation macOS (10.13 « High Sierra »).
Cette vulnérabilité permet de créer un compte d’utilisateur root (un « superutilisateur » doté de droits de lecture et d’écriture sur de nombreuses zones du système)… et de s’y connecter sans mot de passe.
Le chercheur ne précise pas comment il a découvert l’existence de la faille.
Peut-être a-t-il lu les forums d’Apple… et plus particulièrement cette conversation lancée par un utilisateur qui avait perdu ses droits d’administrateur après une mise à jour vers High Sierra.
Le 13 novembre, un autre membre lui avait suggéré deux méthodes pour réactiver un compte administrateur. L’une d’entre elles consistait à renseigner, dans la fenêtre de connexion, le login « root », puis à valider sans entrer de mot de passe.
Le problème se trouve dans le composant système com.apple.loginwindow, qui gère les fenêtres de connexion.
S’il ne semble concerner que macOS High Sierra, ses symptômes sont très différents selon la configuration des machines.
Quand certains disent être parvenus à exploiter la faille à distance, notamment via des clients VNC ou le partage d’écran du Finder, d’autres affirment n’y être arrivés qu’à condition d’avoir au préalable activé le compte root avec un accès physique au Mac.
Selon certains témoignages, un verrouillage sur l’écran de veille suffit à protéger de la faille. Pour d’autres, un terminal peut suffire à activer la faille.
Du côté d’Apple, on dit travailler sur un correctif, sans fixer d’échéance. Une solution palliative est proposée : activer le compte root si ce n’est pas déjà fait et définir un mot de passe suffisamment fort.
Ars Technica, qui a examiné le dossier, considère que pour trouver trace, chez Apple, d’une vulnérabilité d’une telle ampleur, il faut remonter à 2014, avec le « goto fail », qui permettait de contourner le chiffrement TLS. Il avait fallu quatre jours pour qu’un correctif soit publié.
Crédit photo : Spunkr. via Visualhunt / CC BY-SA
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…