Il semble qu’Apple ne puisse pas faire une pause. iOS a eu sa part de bugs mais un un nouveau bug dans macOS High Sierra vient d’être découvert qui permet à quiconque d’accéder à l’utilisateur root sans avoir besoin du mot de passe du compte utilisateur actuel. Peu importe que le compte soit le compte administrateur ou non. Cet exploit donne un accès complet au système et permet à l’attaquant potentiel de créer et d’utiliser le compte root. La bonne nouvelle est qu’il est assez facile de corriger le bogue de connexion racine de macOS High Sierra.
Mise à jour: Apple a publié un correctif. Recherchez une mise à jour pour High Sierra et installez-la immédiatement.
Bogue de connexion à la racine High Sierra
Lorsque vous apportez des modifications dans les Préférences Système, vous devez parfois fournir un accès administrateur ou au moins saisir le mot de passe de votre utilisateur actuel. Ce bogue fait, lorsque vous accédez à la préférence Utilisateurs et groupes où vous pouvez créer et modifier des utilisateurs, il vous permet de déverrouiller l’utilisateur root. Vous n’êtes pas obligé de saisir votre mot de passe pour effectuer des modifications. Si à la place vous entrez «root» dans le nom d’utilisateur et laissez le champ de mot de passe vide, il sera accepté. Vous pourrez alors apporter des modifications à l’utilisateur et à peu près tout le reste sur le système. De plus, il ajoutera l’utilisateur «root» à l’écran des comptes où vous pourrez à nouveau vous y connecter sans mot de passe.
Le correctif
Le correctif est assez simple; activez vous-même l’utilisateur root et ajoutez-lui un mot de passe. En gros, vous accédez à l’utilisateur root avant que quiconque ne puisse l’utiliser pour exploiter votre système.
Ouvrez Préférences système et accédez à Utilisateurs et groupes. Cliquez sur l’icône de verrouillage en bas à gauche et entrez votre mot de passe lorsque vous y êtes invité. Ensuite, cliquez sur «Options de connexion» tout en bas du panneau de gauche. Cliquez sur «Rejoindre» à côté du serveur de compte réseau.
Un nouveau panneau s’ouvrira pour demander l’adresse du serveur. Cliquez sur le bouton Utilitaire Open Directory.
Encore une fois, cliquez sur l’icône de verrouillage et entrez votre mot de passe lorsque vous y êtes invité. Après cela, allez dans Modifier> Activer l’utilisateur racine.
Entrez un mot de passe pour l’utilisateur root et vous aurez un contrôle total dessus.
Une fois que vous avez activé l’utilisateur root et défini un mot de passe pour lui, vous devenez immunisé contre le bogue de connexion macOS High Sierra Root. Le correctif est aussi simple que l’exploit, mais Apple doit le corriger dès que possible. Ce bogue peut être exploité par quiconque accède à votre système déverrouillé, ou par quelqu’un qui est connecté à distance.