Oups ! Dans macOS High Sierra, le "root" n'a pas de mot de passe ! (+ une solution)

Décidément, les bugs de sécurité autour de macOS High Sierra s'accumulent... à tel point que cela ne fait pas très sérieux.

Après un accès un peu trop facile aux mots de passe du trousseau ou encore le mot de passe des disques dur chiffrés affiché en clair en APFS, voilà que l'utilisateur root... peut déverrouiller une session, sans aucun mot de passe :

Pour tester la chose, il suffit d'aller dans les préférences système, onglets Utilisateurs et Groupes, et de cliquer sur le petit cadenas. Là, au lieu de votre compte habituel, vous entrez simplement root en login et rien dans le mot de passe (mais cliquez dedans). Et comme par magie... vous avez accès à la machine.

Lemi Ergin, à l'origine de la découverte, n'a semble-t-il pas trouvé utile de prévenir Apple, alors que la faille apparait désormais sur tous les sites spécialisés (et bientôt un peu partout)... Un peu dommage, d'autant que ça fonctionne pour accéder à un Mac en veille par exemple !

Pire, le bug est toujours présent dans les dernières betas...

En attendant un correctif, il suffit d'activer l'utilisateur Root et de changer son mot de passe.

Via