Comment protéger votre Mac du bug du mot de passe 'App Store'

Peu de temps après la découverte du bug “root” qui a sévit partout dans le monde, Apple est confronté à une autre faille embarrassante dans la dernière version de son macOS. Et c’est encore une autre vulnérabilité relative au mot de passe.

 

Une publication récente sur Open Radar révèle que le volet des préférences de l’App Store dans les Préférences Système peut être déverrouillé par un administrateur local avec un mot de passe aléatoire fictif, ou comme l’ont révélé nos propres tests, aucun mot de passe.

 

Les étapes pour reproduire le bug sont :

 

1) Connectez-vous en tant qu’administrateur local

2) Ouvrez le volet des préférences App Store à partir des Préférences Système

3) Verrouillez le cadenas s’il est déjà déverrouillé

4) Cliquez sur le verrou pour le déverrouiller

5) Entrez un mot de passe aléatoire (ou laissez le champ du mot de passe vide)

6) Appuyez sur Retour / Entrée

 

Si ces étapes reproduisent le bogue sur votre Mac, vous êtes affecté.

 

La faille n’est pas extrêmement dangereuse, mais elle n’est pas entièrement inoffensive non plus. Toute personne ayant un accès physique à la machine peut modifier les paramètres pour contrôler la façon dont ce Mac télécharge et gère les logiciels tiers. Une personne mal intentionnée pourrait (théoriquement) utiliser ce bug pour faciliter le déploiement de logiciels malveillants sur l’ordinateur de la victime qui, plus tard, ne se doutera de rien.

 

Les utilisateurs Mac qui exécutent macOS High Sierra 10.13.3 bêta seraient incapables de reproduire le bogue, ce qui porte à croire qu’Apple est au courant de la faille, ou que quelque chose de nouveau dans la version bêta « bloque » le bogue par inadvertance. Alors, que pouvez-vous faire en attendant qu’Apple délivre le correctif ? Pas grand-chose, à part renforcer les paramètres de sécurité existants sur votre Mac.

 

Vous pouvez tirer parti de la fonction « Coins actifs » pour activer rapidement un économiseur d’écran lorsque vous vous éloignez de votre bureau. Allez dans Préférences Système -> cliquez sur Bureau et éco. d’écran et recherchez le bouton Coins actifs (Hot Corners) dans le coin inférieur droit de la fenêtre.

 

Ensuite, vous devez configurer votre Mac pour qu’il demande un mot de passe immédiatement après l’activation de l’économiseur d’écran. Pour ce faire, consultez le module Sécurité et confidentialité sous Préférences Système.

 

Enfin, faites attention à la mise à jour 10.13.3 d’Apple et installez-la dès qu’elle sera disponible.