3 min de lecture Connecté

Apple corrige la faille critique de macOS High Sierra

Apple a déployé un correctif pour corriger une vulnérabilité qui permettait d'obtenir aisément les pleins pouvoirs sur un Mac.

MacOS Sierra est le dernier système d'exploitation pour Macbook et Mac Pro
MacOS Sierra est le dernier système d'exploitation pour Macbook et Mac Pro
JulienAbsalon1
Julien Absalon
Journaliste RTL

"Imaginez une porte verrouillée, mais qui vous laisse entrer sans la clé si vous essayez simplement la poignée". Par cette métaphore très simple, le lanceur d'alerte Edward Snowden a résumé l'ampleur de la faille majeure de sécurité découverte sur les ordinateurs Mac fonctionnant avec la dernière version du système d'exploitation macOS High Sierra (10.13). Le défaut permettait d'obtenir les pleins pouvoirs d'une machine, sans taper le mot de passe de l'utilisateur. Un patch correctif a été déployé par Apple. Il sera automatiquement installée dans la soirée sur tous les ordinateurs équipés de la dernière version de macOS High Sierra.

La vulnérabilité est facilement exploitable sur un ordinateur qui n'a pas été mis à jour. Sur un Mac allumé avec une session ouverte, elle se situe dans les "préférences système", puis la page "utilisateurs et groupes". En cliquant sur le cadenas situé en bas de la fenêtre, l'ordinateur demande de s'authentifier. À la place de l'identifiant utilisé habituellement par le propriétaire ou l'utilisateur de la machine, il faut alors écrire "root" (sans les guillemets), puis laisser vierge la case destinée au mot de passe. Il suffit alors de valider plusieurs fois pour que le système donne son feu vert et débloque les droits administrateurs qui permettent d'avoir un contrôle total sur l'ordinateur.

Cette manipulation peut être réalisée à distance, si un logiciel de partage d'écran est préalablement installé. Écrire "root", sans renseigner de mot de passe, sur l'écran de connexion après démarrage de l'ordinateur, a les mêmes conséquences.

À lire aussi
Des logos du réseau social Facebook (Illustration) Connecté
Facebook offre un million de dollars aux Français de Wanted Community

La faille était connue

Obtenir les pleins pouvoirs sur un ordinateur permet d'accéder aux fichiers, de lire des données sensibles et d'installer des logiciels potentiellement malveillants. Il semble toutefois qu'il soit impossible de modifier les mots de passe des comptes d'utilisateurs existants.

C'est le tweet d'un développeur, posté mardi 28 novembre, qui a permis aux médias et au grand public de prendre connaissance de la faille. Des internautes l'avaient toutefois relevée dès la mi-novembre, comme le montrent des échanges sur les forums de discussion d'Apple.

Comment s'en protéger

Apple a réagi dans un communiqué, en affirmant qu'un correctif était en cours de développement, sans donner de date de disponibilité. La firme proposait, "en attendant", une solution temporaire pour colmater cette brèche : définir un mot de passe pour le "compte d'utilisateur root". Quelques heures plus tard, une mise à jour officielle (Security Update 2017-001) a finalement été déployée. Elle est disponible dans l'App Store. Mettre à jour son ordinateur équipé de macOS High Sierra permet ainsi de régler le problème.

La procédure permettant de protéger manuellement son Mac est disponible sur le site d'Apple. Elle consiste à aller dans le menu Pomme pour aller sur la page "préférences systèmes" puis sur "Utilisateurs et groupes". Cliquez sur le cadenas, afin de saisir l'identifiant administrateur et le mot de passe pour accéder à la suite des opérations (la technique décrite dans la faille fonctionne aussi). Cliquez ensuite sur "Rejoindre", puis "Utilitaire d'annuaire". À nouveau, le cadenas doit être déverrouillé. Enfin, sélectionnez "Modifier" pour changer le mot de passe du "compte utilisateur root".

Apple présente ses excuses

Fait rare dans la communication du groupe, Apple a reconnu une erreur. "Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d'avoir fourni une version incluant cette vulnérabilité mais aussi pour l'inquiétude que cela a causé. Nos clients méritent mieux. Nous sommes en train de passer au crible nos processus de développement afin que cela ne se reproduise plus", explique la marque à la pomme dans un communiqué, rappelant que "pour tout produit Apple, la sécurité est une priorité et nous avons y malheureusement failli avec cette version du système d'exploitation macOS". 

La rédaction vous recommande
Lire la suite
Connecté Apple Fil Futur
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants
article
7791198580
Apple corrige la faille critique de macOS High Sierra
Apple corrige la faille critique de macOS High Sierra
Apple a déployé un correctif pour corriger une vulnérabilité qui permettait d'obtenir aisément les pleins pouvoirs sur un Mac.
https://www.rtl.fr/actu/futur/apple-a-laisse-une-faille-dans-macos-high-sierra-comment-proteger-votre-mac-7791198580
2017-11-29 17:44:00
https://cdn-media.rtl.fr/cache/EHj2B64ouWq9dpbaJbBMGg/330v220-2/online/image/2016/0921/7784943574_macos-sierra-est-le-dernier-systeme-d-exploitation-pour-macbook-et-mac-pro.jpg