Dans quelle mesure Apple surveille-t-il ce qui se dit sur ses forums destinés à la communauté des développeurs ?
La question se pose après un tweet qui a eu l’effet d’une bombe : un chercheur en sécurité informatique a publiquement interpellé la firme ce mardi en lui signalant la présence d’une grave vulnérabilité dans la dernière version de son système d’exploitation macOS (10.13 « High Sierra »).
Cette vulnérabilité permet de créer un compte d’utilisateur root (un « superutilisateur » doté de droits de lecture et d’écriture sur de nombreuses zones du système)… et de s’y connecter sans mot de passe.
Le chercheur ne précise pas comment il a découvert l’existence de la faille.
Peut-être a-t-il lu les forums d’Apple… et plus particulièrement cette conversation lancée par un utilisateur qui avait perdu ses droits d’administrateur après une mise à jour vers High Sierra.
Le 13 novembre, un autre membre lui avait suggéré deux méthodes pour réactiver un compte administrateur. L’une d’entre elles consistait à renseigner, dans la fenêtre de connexion, le login « root », puis à valider sans entrer de mot de passe.
Le problème se trouve dans le composant système com.apple.loginwindow, qui gère les fenêtres de connexion.
S’il ne semble concerner que macOS High Sierra, ses symptômes sont très différents selon la configuration des machines.
Quand certains disent être parvenus à exploiter la faille à distance, notamment via des clients VNC ou le partage d’écran du Finder, d’autres affirment n’y être arrivés qu’à condition d’avoir au préalable activé le compte root avec un accès physique au Mac.
Selon certains témoignages, un verrouillage sur l’écran de veille suffit à protéger de la faille. Pour d’autres, un terminal peut suffire à activer la faille.
Du côté d’Apple, on dit travailler sur un correctif, sans fixer d’échéance. Une solution palliative est proposée : activer le compte root si ce n’est pas déjà fait et définir un mot de passe suffisamment fort.
Ars Technica, qui a examiné le dossier, considère que pour trouver trace, chez Apple, d’une vulnérabilité d’une telle ampleur, il faut remonter à 2014, avec le « goto fail », qui permettait de contourner le chiffrement TLS. Il avait fallu quatre jours pour qu’un correctif soit publié.
Crédit photo : Spunkr. via Visualhunt / CC BY-SA
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…