Dans quelle mesure Apple surveille-t-il ce qui se dit sur ses forums destinés à la communauté des développeurs ?
La question se pose après un tweet qui a eu l’effet d’une bombe : un chercheur en sécurité informatique a publiquement interpellé la firme ce mardi en lui signalant la présence d’une grave vulnérabilité dans la dernière version de son système d’exploitation macOS (10.13 « High Sierra »).
Cette vulnérabilité permet de créer un compte d’utilisateur root (un « superutilisateur » doté de droits de lecture et d’écriture sur de nombreuses zones du système)… et de s’y connecter sans mot de passe.
Le chercheur ne précise pas comment il a découvert l’existence de la faille.
Peut-être a-t-il lu les forums d’Apple… et plus particulièrement cette conversation lancée par un utilisateur qui avait perdu ses droits d’administrateur après une mise à jour vers High Sierra.
Le 13 novembre, un autre membre lui avait suggéré deux méthodes pour réactiver un compte administrateur. L’une d’entre elles consistait à renseigner, dans la fenêtre de connexion, le login « root », puis à valider sans entrer de mot de passe.
Le problème se trouve dans le composant système com.apple.loginwindow, qui gère les fenêtres de connexion.
S’il ne semble concerner que macOS High Sierra, ses symptômes sont très différents selon la configuration des machines.
Quand certains disent être parvenus à exploiter la faille à distance, notamment via des clients VNC ou le partage d’écran du Finder, d’autres affirment n’y être arrivés qu’à condition d’avoir au préalable activé le compte root avec un accès physique au Mac.
Selon certains témoignages, un verrouillage sur l’écran de veille suffit à protéger de la faille. Pour d’autres, un terminal peut suffire à activer la faille.
Du côté d’Apple, on dit travailler sur un correctif, sans fixer d’échéance. Une solution palliative est proposée : activer le compte root si ce n’est pas déjà fait et définir un mot de passe suffisamment fort.
Ars Technica, qui a examiné le dossier, considère que pour trouver trace, chez Apple, d’une vulnérabilité d’une telle ampleur, il faut remonter à 2014, avec le « goto fail », qui permettait de contourner le chiffrement TLS. Il avait fallu quatre jours pour qu’un correctif soit publié.
Crédit photo : Spunkr. via Visualhunt / CC BY-SA
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…