BFM Business
Services

Panique chez Apple: une faille permettait d’accéder aux Mac sans mot de passe

VIDÉO - Aussi surprenant que cela puisse paraître, Apple a laissé passer une faille sur la dernière version de MacOS. Celle-ci permettait d'obtenir un accès administrateur, sans mot de passe. Les développeurs du groupe ont développé une mise à jour en seulement 24 heures.

Les Mac sont-ils vulnérables? Jusque-là, pas vraiment, mais les temps changent. Une faille critique a été découverte par un chercheur, Lemi Erginsur, et concerne les Mac équipés de l’OS High Sierra (MacOS 10.13.1).

Cette nouvelle a créé un vent de panique chez les utilisateurs, les experts en sécurité informatique, mais surtout chez Apple qui n'a mis que 24 heures à réparer la faute avec une mise à jour qui vient d'être publiée. Tim Cook a aussi présenté des excuses. "Nous regrettons grandement cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac pour cette vulnérabilité et pour l'inquiétude qu'elle a causé", a déclaré le dirigeant dans un communiqué.

Le problème était effectivement d'une extrême gravité. La faille permettait d’accéder au contenu d’un Mac en utilisant un compte administrateur générique (Root) et sans avoir besoin d’entrer un mot de passe. Pire qu’un utilisateur qui choisirait son nom comme login et 123456 ou abcdef comme mot de passe. De quoi faciliter des actes malveillants en modifiant les accès aux Mac et bloquer leur accès.

L'expert du cabinet Wavestone Gérôme Billois, qui estime que cette affaire est à la fois "incroyable" et "inadmissible", a été l'un des premiers à réagir. "Qui aurait mis ce scénario dans un cahier de test? Même des auditeurs sécu ne l’auraient pas imaginé en rêve" a-t-il notamment commenté.

Apple lance la première "Root Party"

Pour le blogueur Korben, Apple a lancé la première "Root party". "Apple n'a pas jugé utile de demander à l'utilisateur lors de l'installation de l'OS de paramétrer un mot de passe root. Donc le mot de passe root par défaut est vide". Ce spécialiste des technologies habitué aux méthodes de hacking les plus originales, estime que cela est tout simplement "H-A-L-L-U-C-I-N-A-N-T".

Apple n’a pas mis longtemps à réagir devant la gravité de la situation. Reste aux utilisateurs de faire la mise à jour afin d'éviter que des cybercriminels l'utilisent pour entrer dans un Mac.

Pascal Samama
https://twitter.com/PascalSamama Pascal Samama Journaliste BFM Éco