Faille critique de macOS : Apple corrige, s'excuse platement et essuie les moqueries de Snowden

 |   |  595  mots
(Crédits : Aly Song)
Apple a laissé passer un bug majeur, permettant à n'importe qui de prendre la main sur votre ordinateur en se connectant en mode administrateur sans avoir besoin d'un mot de passe. La firme de Cupertino mettait à disposition un correctif hier soir, moins de 24 heures après le signalement de la bourde via les réseaux sociaux.

Apple a annoncé mercredi qu'il reverrait les processus de développement de ses logiciels après avoir été contraint de corriger en urgence une faille critique sur la toute dernière version de son nouveau système d'exploitation macOS, celle baptisée macOs High Sierra qui porte le numéro de version 10.13.1.

Cette faille majeure a d'abord été signalée par un informaticien turc, Lemi Orhan Ergin en ces termes :

"Cher Support d'Apple, nous avons détecté une GROSSE faille de sécurité sur MacOS High SIerra3

L'auteur de la découverte est passé outre les mesures de sécurité habituelles

Cette faille pouvait permettre à des utilisateurs d'obtenir un accès administrateur à une machine sans mot de passe en passant par la session Root. Lemi Orhan Ergin expliquait dans un tweet suivant la manip extrêmement simple pour prendre la main sur un mac doté de la version 10.13.1.

Soit dit en passant, la manière de procéder de Lemi Orhan Ergin n'est pas conforme aux usages : habituellement, celui qui découvre une faille de sécurité doit d'abord contacter l'éditeur du logiciel afin de lui laisse le temps de développer et de diffuser le correctif, avant de prévenir le grand public. Cette démarche de discrétion permet d'éviter d'augmenter fortement le nombre des attaques informatiques si la faille a déjà été découverte par d'autres - sous-entendu, malveillants. Ici, l'auteur de la découverte a prévenu le public en même temps que l'éditeur, ce qui pose problème pour l'avenir.

Le patch de sécurité est disponible

Apple a annoncé qu'un correctif serait disponible en téléchargement à partir de 16heures GMT mercredi, et que ce patch serait automatiquement installé en cours de journée sur les ordinateurs utilisant la dernière version de son système macOS.

De fait, un correctif est disponible sur le site de support d'Apple, intitulé "Security Update 2017-001" (daté 29.11.2017). Le site précise, entre autres, que les versions macOS Sierra (10.12.6) et inférieures ne sont pas affectées par ce bug.

Le document général (daté du 30 novembre) propose aussi un mode d'emploi pour vérifier que la mise à jour de la version précédemment buguée a bien été installée.

Plates excuses

Apple n'avait pas d'autre choix que de présenter ses excuses les plus plates à ses clients et utilisateurs :

"Nous regrettons infiniment cette erreur et présentons nos excuses à tous les utilisateurs de Mac, pour avoir laissé passer cette faille et pour l'inquiétude qu'elle a provoquée", a déclaré la société américaine dans un communiqué.

Ajoutant :

"Nos clients méritent mieux. Nous revoyons nos processus de développement pour empêcher que cela ne se reproduise."

Snowden ironise sur la sécurité chez Apple

Apple n'a donc donné aucune explication pour l'instant sur les circonstances ayant conduit à un tel oubli chez un leader mondial de l'informatique.

Edward Snowden a ironisé mardi sur la légèreté de la situation :

"Imaginez une porte fermée, mais il suffit d'essayer de tourner la poignée et oh, la porte s'ouvre."

(Avec Reuters)

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 30/11/2017 à 13:12 :
"Nos clients méritent mieux"

Tu m'étonnes vu le prix qu'ils payent leurs ordinateurs, tablettes et téléphone, le minimum serait quand même qu'ils ne risquent pas trop de se faire piquer leurs données.

La marge bénéficiaire de l'actionnaire n'apporte rien à la demande.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :