Dans un tweet posté hier, le développeur Lemi Orhan Ergin a révélé que n'importe qui pouvait se connecter à un Mac en entrant simplement le nom d'utilisateur root sans mot de passe. Comme il l’explique, la première tentative de connexion ne fonctionne pas, mais un second essai donne accès à l’ordinateur en mode racine.
Voici le tweet d'Ergin :
Cher @AppleSupport, nous avons remarqué un énorme problème de sécurité dans MacOS High Sierra. N'importe qui peut se connecter en mode « root » sans renseigner de mot de passe après avoir cliqué plusieurs fois sur le bouton de connexion. Êtes-vous au courant de ce problème @Apple ?- Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
Comme le précise le document d'assistance d'Apple, le mode root est un mode « superutilisateur » autorisant l'accès à des domaines du système normalement réservés aux administrateurs système.
Un test concluant
Nos confrères de Macworld on fait l’expérience sur un MacBook Pro de la rédaction tournant sous macOS 10.13.1 et ils ont pu se connecter en mode root comme le montre la vidéo ci-dessous. Cependant, la connexion semble fonctionner uniquement quand l’accès au Mac se fait sous un nom d'utilisateur différent de l’utilisateur courant. Il n’est pas possible d’ouvrir une session en mode root sans mot de passe en passant par l'écran de démarrage de l'utilisateur habituel du Mac.
Dans un communiqué adressé à Macworld, un porte-parole d'Apple a fait savoir que le constructeur préparait une mise à jour logicielle pour résoudre ce problème. Il précise qu’en attendant, la définition d'un mot de passe root empêche tout accès non autorisé à un Mac. La procédure permettant d’activer l’utilisateur Root et définir un mot de passe est expliquée à l’adresse suivante : https://support.apple.com/fr-fr/HT204012. Si l’utilisateur root est déjà activé, il est important de vérifier qu’un mot de passe a été défini. Pour cela, suivre les instructions de la section « Changer le mot de passe root »
Comment résoudre le problème de sécurité root
La prochaine mise à jour de macOS High Sierra corrigera probablement la faille. En attendant, le changement de mot de passe root permet de protéger son ordinateur. Voici la procédure.
1 - Dans le Finder, cliquez sur le menu « Aller » et sélectionnez « Aller au dossier »
2 - Entrez les éléments suivants : /System/Library/CoreServices/Applications/, puis cliquez sur OK.
3 -Cherchez l'application « Utilitaire de répertoire » et lancez là.
4 - Cliquez sur le verrou en bas à gauche pour autoriser les modifications. Dans la fenêtre contextuelle, entrez votre nom d'utilisateur et votre mot de passe, puis cliquez sur « Modifier la configuration ».
5 -Dans la barre de menu, cliquez sur « Modifier » et sélectionnez « Modifier le mot de passe root »
6 - Dans la fenêtre contextuelle, entrez un mot de passe et vérifiez-le. Cliquez sur OK.
7 - Dans la fenêtre principale de l’Utilitaire de répertoire, cliquez sur le verrou pour verrouiller l’application et empêcher d'autres modifications.
8 - Quittez l'Utilitaire de répertoire.
Après cela, si vous essayez d'entrer en mode root sans mot de passe, l'invite rejettera toute tentative de connexion. Il faudra taper le nouveau mot de passe pour obtenir un accès root.
MAJ : Apple vient de publier en urgence une mise à jour 2017-001 pour corriger cette faille. Elle est disponible via l'onglet A propos de ce Mac, Mise à jour de logiciels.