Hier soir peu avant 22h, un tweet a semé le trouble dans la communauté #InfoSec en annonçant la possibilité de se connecter en tant que « root » sans indiquer de mot de passe sur tous les Macs équipés de MacOs High Sierra! C’est un bug à peine imaginable en fait, tellement c’est énorme. Et c’est pourtant vrai…
Sur n’importe quel Mac avec High Sierra, on peut ainsi devenir « root » et modifier les paramètres sensibles (désactiver le parefeu ou FileVault par exemple) ou créer un compte avec les privilèges « administrateurs » même si on ne possède qu’un simple compte sans droit.
Certains messages sur Twitter semblent dire que cela fonctionnerait également avec le partage d’écran (VNC, Apple Remote Desktop). Donc si votre Mac est atteignable depuis internet et que le partage d’écran est activé, il serait sage d’appliquer la méthode ci-dessous au plus vite. Ceci dit, je ne suis pas parvenu à reproduire ce comportement sur les 5 machines à disposition ici et il y a peut-être un contexte spécifique.
En attendant un correctif qu’Apple ne tardera certainement pas à fournir, voici le moyen très simple pour protéger votre machine et vous mettre à l’abri immédiatement :
- Ouvrez l’utilitaire d’annuaire qui se trouve dans le dossier « Applications/Utilitaires » ou directement depuis Spotlight (la loupe en haut à droite) en tapant « annuaire ». Cliquez sur le cadenas verrouillé en bas à gauche
- Indiquez votre mot de passe pour confirmer le déverrouillage (il est amusant de noter qu’ici aussi vous pouvez simplement indiquer « root » et laisser le mot de passe vide ; il faut cliquer plusieurs fois sur le bouton « Déverrouiller »)
- Vérifiez que le cadenas est bien « ouvert »
- Utilisez le menu « Edition » puis « Modifier le mot de passe root… »
- Saisissez un mot de passe deux fois et validez.
- Vous êtes protégés
Dès qu’un mot de passe est assigné à ce compte, votre machine ne risque plus rien. Mais comme le compte « root » équivaut à « Dieu » sur votre machine, il est très important de le choisir avec application. Je vous recommande l’article sur les mots de passe d’il y a quelques semaines, toujours à l’ordre du jour.
On ne devrait normalement jamais utiliser ce compte et il n’était pas activé par défaut dans les précédentes versions de MacOS, ce qui a maintenant changé.
Les avis divergent sur la façon de choisir ce mot de passe, certains préférant quelque chose de totalement aléatoire et qu’ils ne connaissent pas (et ne pourront pas retrouver). Je dirai que par mesure de précaution tant qu’on ne sait pas de quelle façon Apple va corriger le tir, il est probablement plus sain de confier ce mot de passe à votre gestionnaire de mot de passe, en attendant mieux.
Un message sur un forum des utilisateurs d’Apple a également été retrouvé ; il date de 15 jours et le commentaire indiquait la méthode de compte « root » sans mot de passe pour résoudre un autre problème, probablement sans en saisir la portée réelle. Le message était passé totalement inaperçu. Peut-être 😀
update : shodan.io trouve quand même plus de 80’000 Mac qui ont le partage d’écran activé et qui sont sur internet. La question est « combien tournent avec High Sierra » ?