Skip to content
Un chercheur turc a trouvé une faille permettant d’accéder au compte root sans mot de passe sur MacOS High Sierra. Cette faille est extrêmement critique car facilement exécutable. Elle peut être utilisée localement ou à distance si l’appareil a un protocole VNC actif (partage d’écran activé). De plus, cette faille donne accès à toutes les permissions de l’appareil. L’attaquant peut faire absolument ce qu’il veut.

Surface d’attaque

Il suffit d’avoir accès au panneau d’authentification qui permet de taper le mot de passe administrateur. Ce panneau est accessible depuis n’importe quel compte sur l’appareil (en local ou à distance avec des protocoles de prise en charge comme VNC). La faille provient de l’activation par erreur du compte root sur la version MacOS High Sierra. Ce compte root est un héritage du système UNIX sur lequel MacOS est développé. Il est présent et utilisé dans le monde Linux mais est normalement désactivé (présent mais désactivé) sur Mac au profit de comptes administrateurs spécifiques qui ne peuvent pas changer les fichiers du système.

Comment se protéger

Il suffit de donner un mot de passe à ce compte root. Ne perdez pas ce mot de passe.

En lignes de commandes depuis n’importe quel compte administrateur de l’appareil

  1. Ouvrez votre terminal. L’application est présente dans votre dossier Applications > Utilitaires.
  2. Tapez la ligne de commande suivante puis faites Entrée: sudo passwd -u root
  3. Un mot de passe vous sera demandé, tapez le mot de passe de votre compte root puis faites Entrée.
  4. Tapez le même mot de passe pour le confirmer et faites Entrée à nouveau.
  5. Votre compte root est configuré avec un mot de passe.

Par l’interface graphique

  1. Allez au menu Pomme > Préférences système.
  2. Cliquez sur Utilisateurs et Groupes (ou Comptes).
  3. Cliquez sur le cadenas, puis entrez un nom et son mot de passe administrateur.
  4. Cliquez sur Options d’ouverture de session.
  5. Cliquez sur Rejoindre ou Modifier.
  6. Cliquez sur Utilitaire d’annuaire.
  7. Cliquez sur le cadenas dans la fenêtre de l’utilitaire, puis entrez un nom et mot de passe administrateur.
  8. Dans la barre de menu de cet Utilitaire d’annuaire, choisissez Édition > Modifier le mot de passe root…
  9. Entrez un mot de passe root quand demandé.
Publié le
Modifié le
Cette semaine des chercheurs belges ont publié un moyen de percer la protection offerte par WPA2, le protocole ...
Publié le
Modifié le
Nos sites web sont sécurisés en https. C’est à dire qu’ils utilisent SSL/TLS. Mais qu’est ce que c’est ? Et quelle est cette ...
Publié le
Modifié le

Aide

Règles de signalement des failles de sécurité

Si vous pensez avoir trouvé une faille de sécurité sur Limawi ou sur un de nos services, nous vous invitons à nous contacter immédiatement. Si vous souhaitez nous contacter pour toute autre chose, veuillez utiliser notre page de contact générale. Merci. Nous sommes engagés dans un partenariat constant avec la communauté pour procéder aux vérifications, reproduire, et bien réagir aux failles de sécurité fondées. Nous encourageons vivement la communauté à participer à notre programme de signalement. Si vous désirez signaler une faille de sécurité, vous pouvez nous contacter sur la page de contact du DPO. Voici la clé PGP/GPG du DPO. Vous pouvez l’utiliser pour envoyer directement votre signalement par courriel. Merci d’indiquer votre nom, vos informations de contact ainsi que le nom de votre entreprise (le cas échéant), avec chaque signalement. Si vous utilisez la clé PGP/GPG du DPO, n’oubliez pas de fournir également votre clé publique PGP/GPG avec votre signalement, si vous en avez une.

Règles de divulgation responsable

Nous examinerons attentivement tous les signalements et ferons tous nos efforts pour corriger rapidement toute vulnérabilité. Pour encourager le signalement responsable, nous nous engageons à ne jamais intenter d’action judiciaire contre vous ou demander aux autorités une quelconque enquête vous concernant, si vous vous conformez entièrement aux règles de divulgation responsable suivantes :
  • Indiquer tous les détails de la faille signalée, y compris les informations nécessaires pour reproduire et mettre en évidence la faille et sa « démonstration d’existence » (« Proof of Concept (POC) » ;
  • Faire, de bonne foi, tous efforts pour éviter les violations de la vie privée, la destruction de données et l’interruption ou la dégradation de nos services ;
  • Ne pas modifier, supprimer ou accéder aux données qui ne vous appartiennent pas ;
  • Nous laisser un délai raisonnable pour corriger la difficulté avant de délivrer la moindre information publique.
Nous nous efforcerons de répondre à votre signalement dans le délai d’un ou deux jours ouvrables.
Publié le
Modifié le
Les sessions de Limawi sont utilisées avec des sous domaines Limawi. Elles peuvent être révoquées par une interface centralisée.
Publié le
Modifié le
La qualité des mots de passe, sur Limawi, est vérifiée en utilisant une bibliothèque d’entropie.
Publié le
Modifié le
Pour activer l’authentification à deux facteurs, allez sur le site Limawi, sur « Votre profil », « Sécurité », ...
Publié le
Modifié le
Informations techniques sur les sites web.
Publié le
Modifié le
Legal informations about firms, data protection officer, domains and cookies.
Publié le
Modifié le
Nous suivre
© 2018 Coppint Market Place Ltd, All rights reserved.