macOS High Sierra : une grave vulnérabilité permet de prendre le contrôle

Apple a laissé ouvert, béant, le portail devant l’allée royale qui mène tout droit au cœur de macOS High Sierra, la dernière version de son système d’exploitation client. Comme le dévoilait Lemi Orhan Ergin, ce mardi 28 novembre en début de soirée, il est possible d’ouvrir une session avec les droits les plus élevés – en tant que root – sans fournir de mot de passe. 

Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?

— Lemi Orhan Ergin (@lemiorhan) November 28, 2017

La situation est d’autant plus ironique que le compte root est désactivé par défaut dans macOS afin d’éviter que ses super-pouvoirs ne tombent entre de mauvaises mains. Mais dans le cas présent, une tentative d’ouverture de session en tant que root permet de forcer l’activation de ce compte – dépourvu alors de mot de passe – pour ensuite l’utiliser sans limite. Apple prévoit un correctif logiciel contre cette vulnérabilité. Mais dans l’attente, le groupe recommande d’activer manuellement le compte root et de lui attribuer un mot de passe aussi robuste que possible.

Reste que cette vulnérabilité n’est pas uniquement exploitable avec un accès physique au Mac équipé de macOS High Sierra : elle affecte également les machines exposant certains services réseau, comme le partage de fichiers et surtout le partage d’écran, ainsi que Patrick Wardle, d’Objective-See, en a fait la démonstration. 

If certain sharing services enabled on target - this attack appears to work 💯 remote 🙈💀☠️ (the login attempt enables/creates the root account with blank pw) Oh Apple 🍎😷🤒🤕 pic.twitter.com/lbhzWZLk4v

— patrick wardle (@patrickwardle) November 28, 2017

Le risque concerne là les utilisateurs de Mac laissant actifs des services de partage réseau. C’est tout particulièrement le cas de ceux qui utilisent des points d’accès Wi-Fi dans des lieux publics ou sur des conférences. Mais cela peut également valoir en entreprise, voire dans la sphère privée… Et c’est sans compter avec tous les Mac exposant des services réseau sur Internet ! Ils seraient plusieurs dizaines de milliers à travers le monde à présenter ainsi leur service d’accès distant VNC… Dès lors, il apparaît particulièrement urgent de doter le compte root d’un mot de passe robuste. 

Mise à jour (29/11/2017 @ 17h55) : Apple propose désormais un correctif et invite les utilisateurs de macOS High Sierra affectés à l'installer au plus vite. Le groupe exprime ses regrets et présente ses excuses.