Une autre faille de sécurité sérieuse a été découverte dans macOS High Sierra.
Le bogue, qui reste présent dans la version publique la plus récente d'Apple, permet à quiconque de modifier les paramètres de l'App Store dans les Préférences Système en entrant n'importe quoi comme mot de passe.
Il est difficile d'ignorer la baisse de la qualité des logiciels Apple. Il semble qu'à chaque mise à jour - pour iOS ou macOS - de nouveaux bogues soient introduits. Certaines sont de graves failles de sécurité, comme celle qui permettait à n'importe qui d'accéder à votre Mac en tant qu'administrateur en saisissant « root » comme mot de passe.
Une autre faille de sécurité est découverte
Le dernier en date entre également dans cette catégorie. Mis en évidence dans un rapport d'erreur sur Open Radar, la faille permet à quiconque de modifier les paramètres de l'App Store dans les Préférences Système. La saisie de quoi que ce soit dans le champ de mot de passe, qui nécessite normalement votre mot de passe de connexion, permet d'accéder au menu.
Une fois dans ce menu, l'utilisateur peut faire des choses triviales comme activer ou désactiver les mises à jour automatiques, y compris macOS mises à jour - et des choses plus sérieuses comme la modification du délai avant que votre mot de passe ne soit requis entre l'App Store achats.
Cependant, l'utilisateur doit être connecté à un compte administrateur, donc cela ne fonctionnera pas dans les comptes invités. Il convient également de mentionner que les autres menus des Préférences Système ne peuvent pas être déverrouillés avec la même astuce.
Apple peut avoir un correctif à portée de main
Selon MacRumeurs, qui a été le premier à remarquer le rapport de bogue, la faille est présente dans la dernière version 10.13.2 d'Apple, mais pas dans les versions Sierra de macOS. Le problème ne peut pas être reproduit dans les dernières versions bêta 10.13.3, il semble donc qu'Apple ait peut-être déjà un correctif prêt à l'emploi.
Si Apple est déjà au courant du problème, il aurait sûrement espéré pouvoir le résoudre avant que quiconque ne remarque le problème.
À ce stade, vous pensez peut-être: « Les préférences de l'App Store sont déverrouillées par défaut dans les comptes d'administrateur ». Mais comme MacRumeurs ajoute, "être capable de contourner l'invite de mot de passe d'un Mac avec n'importe quel mot de passe est évidemment inacceptable."
Quel est l'intérêt d'avoir l'invite du tout?
J'ai déjà longuement écrit sur la façon dont Apple doit faire quelque chose pour éliminer les bugs fréquents comme celui-ci, et a averti que l'entreprise pourrait éventuellement nuire à sa réputation. À mesure qu'un nombre croissant de bogues sont découverts dans les nouvelles versions, le potentiel pour cela augmente.
Mettre à jour: Une source proche du dossier insiste sur le fait que ce bogue ne crée aucune exposition pour les utilisateurs de High Sierra. Le menu des préférences de l'App Store est déverrouillé par défaut sur les comptes administrateur.
Cependant, si un administrateur serrures le menu des préférences de l'App Store, quelqu'un d'autre utilisant son compte peut le déverrouiller à nouveau sans entrer le mot de passe correct. Encore une fois, cela ne fonctionne pas si vous êtes connecté en tant qu'utilisateur normal ou invité sans privilèges d'administrateur.
Ce comportement n'autorise l'accès à aucune information utilisateur sensible sur le Mac. Les préférences utilisateur et autres système ne peuvent pas être modifiées sans le mot de passe administrateur des utilisateurs. On nous dit que la prochaine mise à jour High Sierra d'Apple, la version 10.13.3, éliminera le problème.
Apple a depuis publié une déclaration officielle sur le bogue, qui se lit comme suit :
Nous regrettons grandement cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac, à la fois pour la publication de cette vulnérabilité et pour l'inquiétude qu'elle a causée. Nos clients méritent mieux. Nous auditons nos processus de développement pour éviter que cela ne se reproduise.
