MacOS High Sierra : faille de sécurité au niveau du mot de passe root

Protection des données

Dans MacOS High Sierra, la dernière version du système d’exploitation d’Apple, il semble que l’on puisse facilement deviner le mot de passe root, à savoir le compte Admin système tout-puissant, et ce après UNE tentative !

mot de passe root

Quelles sont les failles de sécurité les plus incroyables, les plus démentes, qui ont eu lieu récemment ?

Les entreprises en lice pour les trois premières places, concernant des failles ayant eu lieu au cours des trois derniers mois, sont sans aucun doute :

  • Uber : l’entreprise a été victime d’un piratage de données massif, a payé les hackers, a prétendu que rien ne s’était passé, mais a tout de même été démasquée.
  • Equifax : l’entreprise a permis à des cybercriminels d’avoir accès à des données personnelles, comme notamment les numéros de sécurité sociale, et ce concernant environ la moitié des américains adultes.
  • Apple : l’entreprise a autorisé l’accès au mot de passe actuel d’un périphérique chiffré, et simplement en cliquant sur [Afficher l'indice].

Et bien, Apple a récidivé, et cette nouvelle faille de sécurité est encore plus étonnante que les précédentes. Ainsi Cupertino pourrait bien ravir la première place de nouveau !

Le mot de passe root de connexion par défaut est …

Dans High Sierra, la dernière version de macOS (actuellement désignée par 10.13.1), vous pouvez facilement deviner le mot de passe root, le compte d’administration système tout-puissant.

Le nombre de tentatives dont vous avez besoin est…

…UNE !

En fait, à proprement parler, vous avez besoin de ZÉRO tentative, car vous CONNAISSEZ très certainement déjà le mot de passe.

Connectez-vous simplement en tant que root avec le mot de passe  » « , signifiant que vous n’avez renseigné aucun mot de passe donc qu’il est « vide », et appuyez simplement sur [Entrer] !

Nous supposons qu’Apple n’a pas pris la peine de définir un mot de passe root, car vous ne vous connectez ou ne vous identifiez généralement pas en tant que root.

Plus communément, vous spécifiez qu’un ou plusieurs comptes standards ont des pouvoirs d’administrateur, et peuvent ainsi effectuer des activités de type root, et ce les unes après les autres uniquement, suivant les besoins bien évidemment, en saisissant du coup leurs propres mots de passe.

En théorie, cette approche est efficace d’un point de vue de la sécurité car : vous n’êtes pas connecté en tant qu’administrateur tout le temps, vous n’avez pas besoin de partager un seul mot de passe root entre plusieurs administrateurs, et enfin il existe une réelle responsabilité car les activités de type Admin sont liées à l’utilisateur qui les a initiées.

En pratique, bien sûr, vous devez avoir un mot de passe root au niveau du compte concerné si celui-ci est actif, et idéalement, il doit être défini de manière aléatoire lorsque vous configurez le système, afin que personne ne le connaisse (il est beaucoup plus facile d’empêcher quelqu’un d’utiliser un mot de passe par erreur, ou contre la politique en place, si dès le départ il n’est pas en possession de ce mot de passe).

Si vous n’avez pas de mot de passe root de connexion au compte, vous devez configurer le compte afin qu’il ne puisse pas être utilisé pour vous connecter, et ce quel que soit le nombre de tentatives qu’une personne malveillante lancera afin d’obtenir une invite de connexion.

Il s’agit d’un échec retentissant pour Apple, et le monde entier est au courant à présent, parce cette faille a été divulguée publiquement sur Twitter, plutôt qu’en privé auprès d’Apple.

Quoi faire ?

Vous pouvez facilement définir un mot de passe root fort vous-même, de sorte que personne d’autre ne le connaisse ou ne puisse le deviner.

La bonne nouvelle est qu’il existe un moyen facile et fiable pour vérifier la situation et résoudre ce problème.

Ouvrez une invite de commande Windows et entrez la commande passwd root, qui vous permet de définir le mot de passe root au départ.

Ne vous inquiétez pas, vous pouvez définir un nouveau mot de passe, de cette manière, uniquement si vous connaissez déjà l’ancien, ensuite appuyez simplement sur [Entrée] trois fois :

$ passwd root
Old Password: [appuyez sur "entrer" en partant du principe qu’il est "vide"]
New Password: [appuyez sur "entrer" pour le laisser "vide" si c’est déjà le cas]
Retype New Password: [appuyez sur "entrer" une troisième fois]

Notez que si l’ancien mot de passe n’est pas « vide », vous n’obtenez pas de message d’erreur avant la fin de la manœuvre, donc si vous voyez une erreur comme celle-ci …

passwd: authentication token failure

… alors votre mot de passe root existe bel et bien, et vous pouvez baisser votre vigilance vis-à-vis de cette alerte.

Cependant, si vous ne voyez aucun message, alors votre mot de passe était, et est toujours « vide », et donc vous devez le changer.

Exécutez à nouveau la même commande, mais cette fois mettez [Entrer] comme ancien mot de passe et choisissez un mot de passe root correct :

$ passwd root
Old Password: [appuyez sur « entrer »]
New Password: **************
Retype New Password: ***************
$

Mission accomplie !

Techniquement, vous n’avez même pas besoin de conserver une copie du mot de passe que vous avez tapé (bien que vous ne puissiez pas simplement taper un charabia aléatoire car vous devez saisir deux fois le mot de passe).

Vous administrerez toujours votre Mac avec votre compte habituel, activé au niveau Admin, en tapant votre mot de passe habituel en cas de besoin, comme avant.

Vérifiez votre Mac et installez le correctif maintenant !

NB : Nous pensons que la configuration par défaut de macOS vous empêche d’utiliser cette astuce à distance. Vous devez avoir un accès physique à l’ordinateur. De plus, si FileVault (full disk encryption) est activé, et que le Mac est arrêté plutôt que déconnecté ou verrouillé, vous devez entrer le mot de passe du disque avant de pouvoir accéder à une invite de connexion.


Billet inspiré de Apple Macs have gaping root hole – here’s a superquick way to check and fix it, sur Sophos nakedsecurity.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s