Une faille majeure du système d’exploitation High Sierra permettait à n’importe qui de se connecter en mode administrateur sans mot de passe. La firme de Cupertino a publié un patch en moins de 24 heures.

Fin septembre, Apple avait publié une nouvelle version de son système d’exploitation. Plusieurs failles de sécurité avaient été pointées du doigt très rapidement.
L’outil Secure Kernel Extension Loading, un système de sécurité mis en place pour éviter l’installation de keyloggers ou de rootkits, comportait une faille zero-day qui permettait de le contourner pour installer tout type d’extension.
Une autre faille, qui ne se limite pas à High Sierra cette fois-ci, permettait d’accéder aux mots de passe stockés dans le gestionnaire KeyChain.

Mardi 28 novembre 2017, un informaticien turc a publié un tweet informant Apple qu’il avait découvert une nouvelle faille.
Elle consiste à pouvoir se connecter en « root » sans mot de passe. Pour cela, il suffit de remplir le champ « utilisateur » avec l’identifiant « root » et de cliquer plusieurs fois sur « Déverrouiller ».

Il aura fallu 24 heures à Apple pour patcher la faille et s’excuser par la même occasion.
Un correctif est disponible sur le site de support d’Apple, intitulé « Security Update 2017-001 ».

Edward Snowden s’est fendu d’un tweet humoristique pour l’occasion :
« Imaginez une porte fermée à clé, mais si vous tournez la poignée suffisamment longtemps, la porte fini par s’ouvrir sans clé ».

Même si Apple a réagi rapidement, il est assez étonnant de découvrir des failles aussi basiques sur des systèmes d’exploitation normalement testés… Cette faille reste en risque élevé malgré tout, car l’installation du patch n’est pas imposée à l’utilisateur final…