Apple corrige dans la précipitions une faille de sécurité jugée majeure dans la dernière version de macOS High Sierra. Le géant présente ses excuses.
En l’espace de quelques jours la dernière version du système d’exploitation d’Apple, macOS High Sierra a été à la une. Une faille de sécurité critique a été découverte. Son importance est telle que la firme a été victime de moquerie. La situation a obligé le géant à réagir en l’espace de 24 heures. Un patch est actuellement en cours de déploiement pour rectifier la situation tandis que des excuses sont présentées.
macOS High Sierra, une faille jugée “criminelle” par certains
La vulnérabilité a été divulguée au grand jour dès mardi soir sur le réseau social Twitter. Elle permettait de prendre les pleins pouvoirs sur n’importe quel Mac sous macOS High Sierra (10.13.1) sans avoir besoin d’un mot de passe.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use “root” with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
Edward Snowden a résumé la situation de cette manière
“Imaginez une porte verrouillée, mais qui vous laisse entrer sans la clé si vous essayez simplement la poignée”.
Plusieurs experts en sécurité ont été abasourdis de la « grossièreté » de cette faille au point de la qualifiée de « criminelle ». En effet monsieur tout le monde avait la possibilité de l’exploiter puisqu’il suffisait de se rendre dans le menu “Préférences système/Utilisateurs et groupes” pour sélectionner le cadenas. A la demande d’authentification un simple nom d’utilisateur « Root » sans mot passe accompagner de plusieurs validations permettait alors d’acquérir les pleins pouvoirs en clair les droits d’administrateurs. De là inutile de détailler ce qu’il est possible de faire avec ce « titre » sur un mac…en fait tout ce que vous voulez. Il n’était même pas nécessaire d’être physiquement présent. L’action pouvait être menée à distance au travers du service de partage d’écran.
Apple rectifie la situation et s’excuse.
Apple a réagi sur le qui-vive en déployant en urgence un correctif. Disponible depuis mercredi, il colmate la brèche et rétablit un contexte beaucoup plus sécurisé. La firme explique que cette mise à jour s’installe automatiquement sur les ordinateurs concernés.
La société prend très aux sérieux cette situation. Dans un communiqué, elle présente ses excuses en soulignant
« La sécurité est une priorité […] Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont constaté le problème […] nous avons immédiatement commencé à travailler sur une mise à jour pour y remédier. Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d’avoir fourni une version incluant cette vulnérabilité mais aussi pour l’inquiétude que cela a causé. Nos clients méritent mieux. Nous sommes en train de passer au crible nos processus de développement afin que cela ne se reproduise plus »