Apple corrige un problème de sécurité majeur macOS Vérifiez vos mises à jour maintenant
Un chercheur en sécurité turque a révélé un gros problème dans macOS High Sierra. Cette faille permet à un attaquant de pénétrer sur une machine sans mot de passe, ainsi que d'accéder à de puissants droits d'administrateur. Apple a publié un correctif pour corriger la vulnérabilité de presque tous les systèmes macOS High Sierra..
Les systèmes non corrigés restent cependant peu sûrs…
Quel est le bug?
Le développeur turc Lemi Orhan Ergan a découvert cette faille. Il permettait à quiconque d’obtenir des droits administratifs complets sur une machine macOS High Sierra en tapant simplement “racine” en tant que nom d'utilisateur dans la boîte de dialogue d'authentification. Ensuite, laissez le champ mot de passe vide et cliquez sur le bouton “Ouvrir” bouton deux fois, l'accès administratif complet est accordé.
Vous pouvez y accéder via Préférences Système> Utilisateurs et groupes> Cliquez sur le verrou pour effectuer des modifications. Ensuite, utilisez "root" sans mot de passe. Et essayez-le plusieurs fois. Le résultat est incroyable! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
En théorie, avant le correctif, si vous laissiez votre Mac sans surveillance, quelqu'un pourrait facilement accéder à votre ordinateur et le détruire. Par exemple, ils pourraient installer des logiciels malveillants. 5 manières simples d'infecter votre Mac avec des logiciels malveillants 5 manières simples d'infecter votre Mac avec des logiciels malveillants Vous pouvez penser qu'il est assez difficile d'infecter votre Mac avec des logiciels malveillants, mais il y a toujours des exceptions. Voici cinq façons de salir votre ordinateur. En savoir plus, capturer les mots de passe 5 façons simples d'infecter votre Mac avec des logiciels malveillants 5 façons simples d'infecter votre Mac avec des logiciels malveillants Vous pouvez penser qu'il est assez difficile d'infecter votre Mac avec des logiciels malveillants, mais il y a toujours des exceptions. Voici cinq façons de salir votre ordinateur. En savoir plus sur l'utilisation du trousseau Si vous utilisez iCloud Keychain pour synchroniser les mots de passe sur Mac et iOS? Devez-vous utiliser le trousseau iCloud pour synchroniser les mots de passe sur Mac et iOS? Si vous utilisez principalement des produits Apple, pourquoi ne pas utiliser le propre gestionnaire de mots de passe de la société, entièrement gratuit? Lire plus, supprimer ou ruiner votre identifiant Apple, et plus.
Mais Apple a résolu le problème, droit?
Au moment de rédiger cet article, Apple a publié la mise à jour de sécurité pour corriger le problème. La déclaration de mise à jour du contenu de sécurité Apple indique “Une erreur de logique existait dans la validation des informations d'identification. Ce problème a été résolu avec une validation améliorée des informations d'identification..”
Le correctif est déjà disponible sur le Mac App Store. De plus, la mise à jour s’appliquera automatiquement aux Mac exécutant High Sierra 10.13.1 à partir du mercredi 29.th Novembre. Apple a développé la situation avec la déclaration suivante:
“La sécurité est une priorité absolue pour tous les produits Apple. Malheureusement, nous sommes tombés sur cette version de macOS..
“Lorsque nos ingénieurs de sécurité ont pris conscience du problème mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour qui ferme la faille de sécurité. Ce matin, à partir de 8h, la mise à jour est disponible au téléchargement et, à compter de demain, elle sera automatiquement installée sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra..
“Nous regrettons beaucoup cette erreur et nous présentons nos excuses à tous les utilisateurs de Mac, à la fois pour la publication de cette vulnérabilité et pour les préoccupations qu’elle a suscitées. Nos clients méritent mieux. Nous auditons nos processus de développement pour éviter que cela ne se reproduise.”
Mais ils savaient déjà à ce sujet?
Malheureusement pour Apple, ce problème avait déjà été abordé, mais il n’a reçu aucune action. Un membre du forum d'assistance d'Apple a publié les détails exacts du bogue il y a plus de deux semaines. La publication et les réponses originales semblent considérer le bogue principal comme une fonctionnalité de dépannage potentielle plutôt qu'une menace de sécurité critique..
Qu'est-ce que je fais maintenant?
La première chose à faire est de vérifier la mise à jour du système. Apple était sur le point de lancer la mise à jour automatique des correctifs au cours des dernières 24 heures. Si la mise à jour automatique ne s'affiche pas, dirigez-vous vers le Mac App Store et recherchez la mise à jour sur celui-ci. Sinon, cliquez sur ce lien.
Une fois la mise à jour téléchargée, installez-la immédiatement.
Ça ne marche pas
Si, pour une raison quelconque, la mise à jour ne s’installe pas, éteignez et rallumez d'abord votre système, puis réessayez. Apple a automatisé le processus.
Sinon, procédez comme suit pour sécuriser votre système entre-temps:
- Ouvrez Spotlight, recherchez Utilitaire d'annuaire, sélectionnez l'option correspondante
- Cliquez sur le verrou pour apporter des modifications. entrez votre nom d'utilisateur et mot de passe pour le compte administratif
- Se diriger vers Menu> Modifier
- Sélectionner Activer l'utilisateur racine; créer un mot de passe et vérifier
C’est cependant un palliatif. S'il vous plaît essayer d'installer la mise à jour officielle.
Les yeux sur la source
Alors que Apple corrige le virus, les yeux se tournent vers Lemi Orhan Ergan. L'auto-décrit “artisan logiciel” reçoit des critiques pour ne pas avoir adhéré aux directives de divulgation responsable Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Des vulnérabilités de sécurité dans des progiciels courants sont découvertes à tout moment, mais comment sont-elles rapportées aux développeurs, et comment les pirates informatiques découvrent-ils les vulnérabilités qu’ils peuvent exploiter? Lire la suite . La divulgation responsable demande aux chercheurs en sécurité d'informer les entreprises des menaces à la sécurité afin de leur laisser le temps de réparer leur faille. Une fois la faille corrigée, le chercheur est en mesure de présenter ses conclusions au public..
CECI N'EST PAS UNE DIVULGATION RESPONSABLE. C'est extrêmement irresponsable, en particulier pour une vulnérabilité de cette ampleur. Apple dispose d'un excellent système de divulgation d'informations et son équipe est extrêmement réactive. S'IL VOUS PLAÎT ne faites pas des choses comme ça. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28 novembre 2017
Bien sûr, ce système ne fonctionne pas toujours comme prévu. Les entreprises ne réagissent pas et les chercheurs en sécurité s'impatientent. Dans ces cas, créer un problème public force la main de la société et la contraint à résoudre le problème de la sécurité..
Après avoir reçu de nombreuses critiques, Ergan a publié une riposte sur Medium. Il explique qu'il “n'est ni un pirate informatique, ni un spécialiste de la sécurité,” continuant “Je me concentre uniquement sur les pratiques de codage sécurisé lors de la programmation, mais je ne peux jamais m'appeler spécialiste de la sécurité..”
Cher @AppleSupport, nous avons remarqué un problème de sécurité * ÉNORME * chez MacOS High Sierra. Tout le monde peut se connecter en tant que "root" avec un mot de passe vide après avoir cliqué plusieurs fois sur le bouton de connexion. Êtes-vous au courant @ Apple?
- Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
En toute justice, le bogue a été discuté sur le forum d'assistance Apple. En outre, Ergan affirme que ses collègues de la société de paiement Iyzico ont révélé la menace à Apple le 23rd Novembre - mais n'a jamais reçu de réponse.
Les yeux sur le ballon
De la source à l'entreprise. Est-ce que Apple a laissé celui-ci glisser à travers le filet? En un mot, oui: surtout s’ils étaient au courant du bogue, comme le prétend Ergan. Malheureusement, nous ne connaissons pas la vérité et ne pouvons donc pas faire une évaluation solide de la situation..
Même après avoir subi leur deuxième mise à jour forcée en un an (toujours leur deuxième mise à jour de sécurité forcée), Apple ne devrait pas s’inquiéter. Augmentation du nombre de logiciels malveillants ciblés par Apple - Voici ce qu'il faut surveiller en 2016 L'augmentation des programmes malveillants ciblée par Apple - Ce qu'il faut surveiller en 2016: le matériel Apple n'est plus un refuge contre les pirates, les logiciels malveillants et les ransomwares et autres cybermenaces. La première moitié de 2016 prouve que sans les précautions adéquates, vos appareils peuvent devenir des risques… En savoir plus, mais Windows et Android restent les cibles principales Quel est le système d'exploitation mobile le plus sécurisé? Quel est le système d'exploitation mobile le plus sécurisé? Luttant pour le titre de système d'exploitation le plus sécurisé pour mobile, nous avons: Android, BlackBerry, Ubuntu, Windows Phone et iOS. Quel système d'exploitation est le mieux à même de résister aux attaques en ligne? Lire la suite . De plus, Apple a pour la plupart un record de sécurité stellaire. Le Guide de sécurité Mac ultime: 20 façons de vous protéger Le Guide de sécurité Mac ultime: 20 façons de vous protéger Ne soyez pas une victime! Sécurisez votre Mac aujourd'hui avec notre guide de sécurité exhaustif High Sierra. En savoir plus, comme en témoigne leur déploiement rapide et efficace pour mettre fin à la menace naissante.
Avez-vous été affecté par la faille de sécurité Apple? Ou bien la mise à jour est-elle arrivée assez rapidement pour que vous ne vous inquiétiez plus? Faites-nous savoir vos pensées ci-dessous!
En savoir plus sur: Sécurité informatique, macOS High Sierra.