Un chercheur en sécurité turc a révélé un bogue majeur dans macOS High Sierra. La faille permet à un attaquant d'accéder à une machine sans mot de passe, ainsi que d'accéder à de puissants droits d'administrateur. Apple a publié un correctif pour corriger la vulnérabilité affectant presque tous les systèmes macOS High Sierra.
Les systèmes non patchés restent cependant non sécurisés...
La faille a été découverte par le développeur turc Lemi Orhan Ergan. Il permettait à quiconque d'obtenir tous les droits d'administration sur une machine macOS High Sierra en tapant simplement "root" comme nom d'utilisateur dans la boîte de dialogue d'authentification. Ensuite, en laissant le champ du mot de passe vide et en cliquant deux fois sur le bouton "Déverrouiller", l'accès administratif complet est accordé.
En théorie, avant le patch, si vous laissiez votre Mac sans surveillance, quelqu'un pourrait facilement y accéder et détruire votre machine. Par exemple, ils peuvent installer des logiciels malveillants, capturer des mots de passe à l'aide du trousseau d'accès, supprimer ou ruiner votre identifiant Apple, etc.
Au moment où j'écrivais cet article, Apple a publié la mise à jour de sécurité pour corriger le problème. La déclaration de mise à jour du contenu de sécurité d'Apple indique "Une erreur logique existait dans la validation des informations d'identification. Ce problème a été résolu par une meilleure validation des informations d'identification."
Le correctif est déjà disponible sur le Mac App Store. De plus, la mise à jour s'appliquera automatiquement aux Mac exécutant High Sierra 10.13.1 à partir du mercredi 29 th Novembre. Apple a développé la situation avec la déclaration suivante :
"La sécurité est une priorité absolue pour chaque produit Apple, et malheureusement nous avons trébuché avec cette version de macOS.
"Lorsque nos ingénieurs en sécurité ont pris connaissance du problème mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour qui comble la faille de sécurité. Ce matin, à partir de 8h00, la mise à jour est disponible en téléchargement, et à partir de ce jour automatiquement installé sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra.
"Nous regrettons vivement cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac, à la fois pour la publication de cette vulnérabilité et pour l'inquiétude qu'elle a causée. Nos clients méritent mieux. Nous auditons nos processus de développement pour éviter que cela ne se reproduise ."
Malheureusement pour Apple, ce problème avait déjà fait surface - mais n'a reçu aucune action. Un membre du forum d'assistance d'Apple a publié les détails exacts du bogue il y a plus de deux semaines. Le message et les réponses d'origine semblent considérer le bogue majeur comme une fonctionnalité de dépannage potentielle, plutôt que comme une menace de sécurité critique.
Eh bien, la première chose à faire est de vérifier la mise à jour du système. Apple était sur le point de déployer la mise à jour automatique du correctif à un moment donné au cours des dernières 24 heures. Si la mise à jour automatique n'est pas apparue, vous devez vous diriger vers le Mac App Store et y rechercher la mise à jour. Vous pouvez également cliquer sur ce lien.
Une fois la mise à jour téléchargée, installez-la immédiatement.
Si la mise à jour ne s'installe pas pour une raison quelconque, éteignez et rallumez d'abord votre système, puis réessayez. Apple a automatisé le processus.
Sinon, suivez ces étapes pour sécuriser votre système en attendant :
Il s'agit toutefois d'un palliatif. Veuillez essayer d'installer la mise à jour officielle.
Alors qu'Apple corrige le bogue, les yeux se tournent vers Lemi Orhan Ergan. L'"artisan du logiciel" autoproclamé est critiqué pour ne pas avoir respecté les directives de divulgation responsable. La divulgation responsable demande aux chercheurs en sécurité d'informer les entreprises des menaces de sécurité afin de leur laisser le temps de corriger la faille. Une fois la faille corrigée, le chercheur est libre de présenter ses conclusions au public.
Bien sûr, ce système ne fonctionne pas toujours comme prévu. Les entreprises ne réagissent pas et les chercheurs en sécurité s'impatientent. Dans ces cas, la création d'un problème public force la main de l'entreprise, l'obligeant à corriger la menace de sécurité.
Après avoir reçu de nombreuses critiques, Ergan a publié une riposte sur Medium. Il explique qu'il "n'est ni un hacker, ni un spécialiste de la sécurité", continuant "Je me concentre uniquement sur les pratiques de codage sécurisé lors de la programmation, mais je ne peux jamais me qualifier de spécialiste de la sécurité."
En toute honnêteté, le bogue a été discuté sur le forum d'assistance d'Apple. En outre, Ergan affirme que ses collègues de la société de paiement Iyzico ont révélé la menace à Apple le 23 rd . novembre -- mais n'a jamais reçu de réponse.
De la source à l'entreprise. Apple a-t-il laissé celui-ci passer à travers le filet ? En un mot, oui :surtout s'ils étaient au courant du bug comme le prétend Ergan. Malheureusement, nous ne connaissons pas la vérité, nous ne pouvons donc pas faire une évaluation solide de la situation.
Même après avoir subi leur deuxième mise à jour forcée en un an (toujours seulement leur deuxième mise à jour de sécurité forcée), Apple ne devrait pas s'inquiéter. Les instances de logiciels malveillants macOS et iOS augmentent, mais Windows et Android restent les principales cibles. De plus, Apple a un dossier de sécurité stellaire pour la plupart, comme en témoigne le déploiement rapide et efficace de ses mises à jour pour réprimer la menace naissante.
Avez-vous été affecté par la faille de sécurité d'Apple ? Ou la mise à jour est-elle arrivée assez rapidement pour ne plus vous inquiéter ? Faites-nous part de vos réflexions ci-dessous !
