FYI.

This story is over 5 years old.

Tech

Un bug "stupide" de MacOS permet de devenir admin sans mot de passe

Une faille dans la dernière version du système d'exploitation d'Apple permet de s'octroyer des droits d'administrateur à l'aide d'un seul mot : "root".
Image : John Bumstead

Tout logiciel souffre de bugs. Notez le présent de vérité générale : cette affirmation sera toujours vraie. Ceci dit, certains bugs sont pires que d’autres. Certains peuvent même être incroyablement bêtes.

Un nouveau bug dans MacOS, le système d’exploitation d’Apple, permet à n’importe qui de s’autoproclamer administrateur d’une machine : il suffit de taper “root” dans la fenêtre de login et d’appuyer sur entrée.

Publicité

Vous avez bien lu. Regardez cette vidéo.

Maintenant, vous avez bien vu.

Comme beaucoup d’entre nous, vous n’avez sans doute pas tous les droits sur votre ordinateur professionnel. Ce bug vous donne une occasion inespérée de changer ça. Dépêchez-vous d’installer Counter Strike ! Au cas où vous auriez encore un doute, l’authentification, ça ne fonctionne pas comme ça.

“C’est tellement stupide, lance Jay Little, un chercheur en sécurité informatique pour l’entreprise Trail of Bits, dans un chat avec Motherboard. Ce comportement est nouveau, il est apparu à cause d’un changement. Cette régression montre que le changement n’a pas été testé convenablement, voire qu’il n’a jamais été testé. Cela signifie qu’il est possible d’appliquer de gros changements au système à partir d’un compte utilisateur pour enfant ou étudiant.”

"C'est tellement stupide."

Plusieurs spécialistes de la sécurité informatique ont confirmé l’existence de la faille à Motherboard. Tous sont parvenus à reproduire le bug sur MacOS 10.13, la dernière version du système d’exploitation. Le bug peut également être utilisé pour valider des modifications des paramètres système, ont-ils indiqué.

Apple n’a pas donné suite à nos demandes de commentaire.

Grâce à ce bug, n’importe quel individu connecté à MacOS peut s’identifier comme “root” sans entrer de mot de passe. Si l’ordinateur concerné a plus d’un utilisateur, c’est encore pire : l’attaque fonctionne même si la machine est verrouillée. Les disques durs chiffrés à l’aide de FileVault ne sont pas concernés par le bug.

Le chercheur en sécurité informatique Pedro Vilaca affirme que le bug permet de changer les mots de passe des comptes présents sur l’ordinateur visé.

Lemi Orhan Ergin, le développeur qui a évoqué le bug sur Twitter en premier, nous a expliqué en DM qu’il avait entendu parler de la faille par l’un de ses collègues. “Ils ont utilisé le même truc sur ma machine et ça a fonctionné. Ça nous a beaucoup effrayés. Ma boîte a assigné de nouveaux mots de passe à tous nos Macs pour combler la faille dans les 24 heures.”

Il y a une “bonne” nouvelle : il semble que ce bug ne puisse pas être exploité à distance. Par contre, si vous craignez que l’un de vos proches ne s’empare de votre ordinateur grâce à lui, vous devriez créer un mot de passe root.

Edit : Apple vient a lancé un correctif, Security Update 2017--001, le mercredi 29 novembre. Vous devriez l'installer immédiatement, évidemment.