Une énorme faille de sécurité a été découverte sur le système d’exploitation MacOS High Sierra. Dernière en date, cette version 10.13.1 laisserait n’importe qui se connecter à votre ordinateur.
Pire, la pratique est plus qu’enfantine. Lorsque vous souhaitez vous connecter à une session, pas besoin de connaître le nom d’utilisateur, ni même le mot de passe. Il suffira d’inscrire « root » à la place du nom d’utilisateur, et voilà.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Ce cas de figure est plus facilement accessible depuis les préférences système, puis dans une fenêtre où les paramètres sont verrouillés grâce au petit cadenas en bas à gauche. Si vous cliquez dessus, votre Mac vous demandera d’inscrire votre mot de passe pour pouvoir modifier ces paramètres. À ce moment-là, il suffira d’inscrire « root » à la place du nom d’utilisateur et les paramètres seront déverrouillés.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
En France, et probablement dans le reste du monde, Apple a d’ores et déjà réparé ce problème. Nous avons essayé sur plusieurs appareils étant sur la version 10.13.1 (17B48), sans succès.
Il reste néanmoins important de souligner que la marque à la pomme a laissé un trou béant de sécurité sur sa version la plus à jour. Dans une agence, dans des hôtels, ou dans un tas d’autres structures d’entreprise, n’importe qui a pu être en mesure d’accéder aux paramètres d’administration d’iMac ou de MacBook.
MISE À JOUR 30/11/17
Apple propose désormais une mise à jour permettant de corriger le bug « root ». Nous vous conseillons de l’installer de ce pas.