Un chercheur en sécurité turc a découvert une vulnérabilité majeure dans macOS High Sierra. Cette faille permet à un attaquant d'accéder à une machine sans mot de passe et d'obtenir des droits d'administrateur complets. Apple a déployé un correctif pour tous les systèmes macOS High Sierra affectés.
Les systèmes non mis à jour restent vulnérables.
Cette faille a été révélée par le développeur turc Lemi Orhan Ergan. Elle permettait à quiconque d'obtenir des droits d'administration complets sur un Mac sous macOS High Sierra en saisissant simplement "root" comme nom d'utilisateur dans la fenêtre d'authentification, en laissant le champ mot de passe vide, puis en cliquant deux fois sur "Déverrouiller".
Avant le correctif, laisser un Mac sans surveillance exposait à des risques graves : installation de malwares, vol de mots de passe via le trousseau d'accès, suppression ou compromission de l'identifiant Apple, etc.
Au moment de la rédaction, Apple avait publié une mise à jour de sécurité. Selon les notes de mise à jour d'Apple : "Une erreur logique existait dans la validation des informations d'identification. Ce problème a été résolu par une meilleure validation des informations d'identification."
Le correctif est disponible via le Mac App Store et s'installe automatiquement sur les Mac sous High Sierra 10.13.1 à partir du 29 novembre. Apple a réagi avec cette déclaration :
"La sécurité est une priorité absolue pour chaque produit Apple, et malheureusement nous avons trébuché avec cette version de macOS.
"Lorsque nos ingénieurs en sécurité ont pris connaissance du problème mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour qui comble la faille de sécurité. Ce matin, à partir de 8h00, la mise à jour est disponible en téléchargement, et à partir de ce jour automatiquement installée sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra.
"Nous regrettons vivement cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac, à la fois pour la publication de cette vulnérabilité et pour l'inquiétude qu'elle a causée. Nos clients méritent mieux. Nous auditons nos processus de développement pour éviter que cela ne se reproduise."
Malheureusement, cette vulnérabilité avait déjà été signalée sur le forum d'assistance Apple plus de deux semaines auparavant. Les réponses initiales la considéraient comme une fonctionnalité de dépannage plutôt qu'une menace critique.
Vérifiez immédiatement les mises à jour système. Apple déploie le correctif automatiquement dans les 24 heures suivantes. Sinon, ouvrez le Mac App Store et recherchez la mise à jour.
Installez-la sans délai une fois téléchargée.
Redémarrez votre Mac et réessayez. Sinon, pour une protection temporaire :
Ceci est une mesure provisoire : privilégiez la mise à jour officielle.
Tout en corrigeant la faille, l'attention s'est portée sur Lemi Orhan Ergan, critiqué pour ne pas avoir suivi la divulgation responsable. Celle-ci incite les chercheurs à informer les entreprises en privé avant publication publique.
Ergan s'est défendu sur Medium, affirmant ne pas être un expert en sécurité et que ses collègues chez Iyzico avaient alerté Apple le 23 novembre sans réponse. Le bug avait aussi été mentionné sur le forum Apple.
Apple semble avoir manqué cette alerte, surtout si elle était connue. Malgré deux mises à jour forcées en un an, sa réputation en sécurité reste excellente, avec un déploiement rapide des correctifs. Les malwares Mac augmentent mais restent rares comparés à Windows/Android.
Avez-vous été impacté par cette faille ? La mise à jour a-t-elle été rapide ? Partagez vos expériences en commentaires !
