Une très grave faille de sécurité a été découverte par un spécialiste en informatique qui s’est attardé sur le dernier système d’exploitation d’Apple. Sorti fin septembre 2017, macOS High Sierra a déjà bénéficié de plusieurs mises à jour de sécurité mais une importante brèche reste pour l’instant sans solution.
Le 28 novembre 2017, Lemi Orhan Ergin a remarqué qu’il n’était pas nécessaire de spécifier le bon mot de passe d’un compte Apple puisqu’il suffit de remplacer le nom d’utilisateur par « root » et de laisser le champ « mot de passe » vide pour s’octroyer un accès administrateur à la machine, c’est-à-dire pour disposer des pleins pouvoirs sur un Macbook, iMac, Mac Pro ou Mac mini qui fonctionne avec macOS High Sierra 10.13.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Cela signifie donc que votre ordinateur Apple n’est pas en sécurité s’il tourne sous High Sierra 10.13. Cette quatorzième version du système d’exploitation a beau porter le nom de la plus haute montagne de Californie, c’est un grave trou de sécurité qui fait défaut à la réputation a priori fiable des environnements Apple.
Concrètement, une mise à jour d’application, l’installation d’un logiciel, la modification de paramètres du système ou la remise à zéro complète d’un Mac peut être faite sans posséder le mot de passe qui sécurise le compte de la machine.
Cette faille de sécurité concerne tous les Macbook (normal, Air et Pro), iMac, Mac mini et Mac Pro qui tournent avec macOS High Sierra 10.13. Les utilisateurs des versions précédentes (Sierra 10.12 ou antérieures) ne sont pas touchés par ce bug.
Les administrateurs de réseau utilisant les services de macOS Server seront donc vigilants avec leurs utilisateurs en entreprise et dans l’éducation.
La société américaine a réagi en annonçant qu’une prochaine mise à jour corrigera ce problème mais il est possible de se protéger avec cette manipulation. On peut supposer que la mise à jour de version 10.13.2 apportera le correctif de sécurité adéquat. Quoi qu’il en soit, la notoriété de l’entreprise Apple va prendre un coup et les haters s’en donneront à coeur joie pour argumenter sur la fausse sécurité infaillible des systèmes d’exploitation macOS.