Une faille de sécurité dans Mac OS X Lion [MAJ]

Une faille importante a été découverte au niveau de la gestion du mot de passe des utilisateurs.

04446878-photo-logo-mac-os-x-lion.jpgDes chercheurs en sécurité informatique viennent de découvrir une faille importante dans la gestion des droits d'accès aux données dans Mac OS X Lion. N'importe quel utilisateur de la machine peut changer afin d'accéder aux données. Le problème, c'est que cette faille est très facile à exploiter. Il suffit de rentrer la commande suivante dans le terminal :

dscl localhost -passwd /Search/Users/USERNAME

En remplaçant bien évidemment "USERNAME" par le nom de l'utilisateur visé, il est alors possible de changer le mot de passe sans que le système d'exploitation ne demande l'authentification de l'administrateur. Bien sûr, l'exploitation de cette faille nécessite un accès physique à la machine ou bien encore via les commandes SSH. Pour se protéger, il faut limiter les droits des autres utilisateurs à l'aide du contrôle parental, désactiver l'authentification automatique, désactiver les comptes "invité" ou bien encore activer FileVault 2 qui permet de crypter l'ensemble des données d'un compte.

Cette faille devrait être logiquement corrigée avec une future mise à jour de Mac OS X Lion.

Mise à jour 23/09/11 à 8h30 : le site OSXDaily a publié une solution permettant de boucher cette faille en attendant une mise à jour d'Apple. Voici la marche à suivre. Il faut ouvrir le Terminal puis saisir cette commande :

sudo chmod go-x /usr/bin/dscl

Le Terminal vous demandera ensuite le mot de passe administrateur. Cette commande permet de modifier les droits d'accès à ce dossier et empêche donc la modification du mot de passe sans identification. Pour libérer l'accès au dossier, il suffit de rentrer cette commande :

sudo chmod go+x /usr/bin/dscl

Espérons tout de même qu'Apple ait corrigé la faille avec la prochaine version de Mac OS X 10.7.2.

Les commentaires sur ce document sont clos.

Publié le Modifié Par
Catégorie : Mac
Tags :
5 commentaires
POUR NOUS SUIVRE...
newsletter

ACTUALITÉS
Macworld
PCWorld