Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Apple lance la première Root Party grâce à MacOS High Sierra

Coup de tonnerre hier soir sur la toile, le développeur Lemi Ergin a débusqué un énoooOOOOooorme bug de sécurité dans Mac OS High Sierra, le système d’exploitation Apple.

Il permet à partir de n’importe quel compte user, de choper un accès Root et donc de se créer un profil avec droits admin ou supprimer / éditer des profils existants.

Alors comment ça se passe ? Et bien pas besoin de code ou de manip complexe, il suffit de vous rendre dans les préférences système -> utilisateurs et groupes. Cliquez ensuite sur le petit cadenas en bas à gauche.

Et lorsque vous voyez la fenêtre d’authentification, mettez comme login « root » et laissez le champ mot de passe vide. Cliquez ensuite 2 fois de suite sur le bouton « Dévérouiller » et taaadaaaa, vous aurez l’accès root aux préférences d’utilisateurs et de groupes et vous pouvez faire toutes les modifs.

H-A-L-L-U-C-I-N-A-N-T

Eh oui, Apple n’a pas jugé utile de demander à l’utilisateur lors de l’installation de l’OS de paramétrer un mot de passe root. Donc le mot de passe root par défaut est vide.

Cela pourrait permettre à quelqu’un qui a un accès temporaire ou limité à un Mac de se créer discrètement un compte Admin sans aucun problème.

A ma connaissance, il n’y pas de bug bounty sur MacOS mais uniquement un bug bounty sur iOS. Dommage, ça aurait pu être malin de l’étendre à l’ensemble des produits Apple.

Alors pour patienter jusqu’à ce qu’Apple réagisse en dégainant un patch, vous pouvez « corriger » le souci en mettant un mot de passe au compte root de votre machine. Pour cela, ouvrez le terminal et entrez la commande suivante :

sudo passwd -u root

Et en attendant, n’abusez pas trop sur les blagues faites aux copains / collègues 😉

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Partenaire


Les articles du moment