Ce qui va suivre n’engage que moi, c’est une réflexion que je fais sur cet évènement, la faille Root, et consécutive à une série de phénomènes de ce genre depuis 33 ans qu’Apple fabrique des Mac et son OS.

Toute la presse et le Web se déchaînent contre Apple à propos d’une faille dans la dernière version publique de macOS 10.13.1.

Quand on regarde le patch et l’outil de vérification fournis par la firme à la pomme, il semble qu’en voulant réparer un problème empêchant de se connecter à un domaine Active Directory, les développeurs aient ouvert une autre brèche.

Quel danger représente cette faille ? Pouvoir obtenir les droits super administrateur.

Faille Root macoOS 10.13.1

La conséquence est qu’un utilisateur lambda puisse s’autoriser des opérations non permises et mettre en péril la consistance du socle macOS.

Effectivement c’est une énorme erreur de la part d’Apple, mais dont il faut quand même en limiter la portée.

Que risquent les utilisateurs en fonction de leur profil :

1) La majorité des utilisateurs de Mac sont seuls à utiliser leur Mac de façon personnelle ou dans un cadre familial (bien souvent même avec un seul et unique compte administrateur). Le danger est donc très limité de ce côté. En général ces utilisateurs sont prudents et ignorent jusqu’aux fondements de leur Mac. Du moment que cela fonctionne, pas besoin de plus. Comment le Mac et son système d’exploitation  fonctionnent ? Ils n’en ont pas la moindre idée. D’ailleurs, c’est quoi un système d’exploitation ? Alors les privilèges « root », ça ne leur parle pas, ils n’en voient pas l’utilisation potentielle.

2) Dans ce groupe d’utilisateurs, un certain nombre de geeks pourraient profiter de cette faille pour obtenir des accès interdits et faire des expériences malheureuses. Ils devraient pouvoir s’en sortir dans tous les cas. Ils ne sont pas geeks pour rien, leur fierté en prendrait un coup.

3) Dans un milieu « pro », le fait d’obtenir les privilèges « root » serait plus ennuyeux. Le fait de pouvoir modifier sa configuration pourrait permettre à certains d’installer des logiciels trop permissifs. Je ne pense pas que cela puisse nuire à la société pour laquelle ils travaillent, mais plutôt à leur propre environnement de travail. Obtenir des privilèges sur leur Mac ne leur permettra pas de modifier les privilèges d’accès aux autres ressources du Système d’Information. On pensera à juste titre que la prochaine mise à jour pilotée par la direction informatique fera plus que combler la faille.

4) Pour pouvoir utiliser le compte root sur un Mac équipé de macOS 10.13.1, il faut déjà pouvoir s’y connecter. S’il est réaliste de penser qu’en se connectant via le partage d’écran, un logiciel de prise en main à distance ou via VNC, on puisse profiter de cette faille, il est aussi réaliste de penser que les utilisateurs qui utilisent ces dispositifs en sont conscients. Et en laissant ces portes ouvertes, ils prennent des risques plus ou moins inconsidérés ou réfléchis. C’est à mon avis leur seul problème et ils doivent s’attendre à en subir les conséquences.

Peu de gens sont en fait concernés par cette faille, et d’autre part, ce n’est pas parce qu’Apple fournira un patch que les utilisateurs l’appliqueront. Il existe pléthore d’utilisateurs qui soit ne font pas de mises à jour, soit n’appliquent pas les patchs pour la simple raison qu’ils ne savent pas à quoi cela sert ou quel intérêt cela peut avoir.

Les gens avertis ont déjà depuis plusieurs années activé ce compte root, mis un mot de passe conséquent sur ce compte root pour éviter une utilisation frauduleuse et désactivé le compte étant donné le si petit nombre de fois où il est utile.

J’en viens à me demander si ce genre de nouvelles qui n’intéressent qu’une minorité n’est pas du bon pain à se mettre sous la dent pour les magazines, les journaux, les sites webs et les blogeurs afin de se faire mousser un peu. La mode des journaux à scandale pour avoir des lecteurs ou des auditeurs.