macOS High Sierra : mise à jour en urgence après une boulette
Pour macOS 10.13 High Sierra, Apple livre une mise à jour supplémentaire. Elle corrige deux bugs de sécurité, dont un assez déstabilisant qui rendait en quelque sorte caduc le chiffrement d'un volume APFS ajouté.
L'affichage en clair du mot de passe au lieu du seul indice pour un volume APFS chiffré… c'est une nouveauté macOS High Sierra en plus du système de fichiers lui-même. Même s'il n'était heureusement pas généralisé, cet étonnant bug de sécurité est corrigé par une mise à jour supplémentaire de macOS 10.13.
Permettant à un attaquant local d'accéder au volume chiffré, le gros souci a été découvert par le chercheur en sécurité Matheus Mariano de Leet Tech qui avait alerté Apple à se sujet. Il était en rapport avec l'utilitaire de disque, et pour des ordinateurs Mac avec SSD.
Le problème se manifestait avec l'ajout par l'utilisateur d'un nouveau volume APFS chiffré, et s'il optait pour un indice de mot de passe servant ultérieurement d'aide à retrouver le mot de passe. Sauf que ce n'était pas cet indice qui était affiché, mais le mot de passe en clair.
La mise à jour supplémentaire est en outre également l'occasion pour Apple de corriger la faille affectant macOS et pouvant permettre le vol d'identifiants et mots de passe en clair stockés dans Keychain (Trousseaux d'accès), via une application non signée téléchargée depuis le Web. La vulnérabilité avait été mise au jour par Patrick Wardle de Synack.
-
![Apple : macOS High Sierra 10.13.6 avec AirPlay 2]()
Pour l'ordinateur Mac, Apple publie la mise à jour macOS 10.13.6 (High Sierra). Elle arrive avec AirPlay 2 pour iTunes. -
![macOS : High Sierra en version finale 10.13.4]()
Apple publie également une mise à jour macOS 10.13.4. Elle est annoncée avec le support des processeurs graphiques externes.
Vos commentaires Page 1 / 2
Faut qu'on m'explique la, comment Apple récupère le mot de passe en clair ? (indépendamment du bug qui fait qu'il soit affiché)
car Kaspersky est caché dedans ....
Il n'y a aucun dysfonctionnement, c'est Apple, tout est parfait
La preuve, c'est que l'utilisateur peut demander à avoir un indice pour se rappeler du mot de passe, et l'indice, c'est le mot de passe, donc tout marche nickel, pas de soucis
Je me mords les doigts d’iOS 11 et les retours sur High Sierra semble moyen. Les volumes en APFS semblent provoquer une baisse de réactivité de l’OS.
Mon MBPr mi-2012 va rester sagement sous Sierra ...
Quelle clé ?
Le mot de passe pour se connecter sur l’iPhone ?
...j'avoue que j'en reste sans voix (pas tant sur le problème, que sur l'explication donnée ci-dessus)... WTF?
ce qui se conçoit bien... tout ça...
Oui mais cette clé se trouve dans «Reglages ->Partage de connexion », donc dans les menus de ton iPhone qui, lui, se doit d’être verrouillé à M.Toutlemonde ... Cette clé a été faite pour être changée à la volée.
Là, pour le coup, ils ont fait une belle bourde avec le chiffrement des partitions. Après, on ne peut pas dire que OSX et iOS sont des passoires à mots de passe, faut pas exagerer.
Il m’est déjà arrivé de perdre mon mot de passe iCloud, faut vraiment être titulaire du compte pour valider la procédure de récupération / changement. Au passage, on est alors bien content d’avoir un service client digne de ce nom
C'est subjectif, mais pour moi un mot de passe ne devrais pas être affiché en clair mais au dela de ce bug, le mot de passe ne devrais pas non plus être récupérable, juste "resettable".
Je pense que seul les hashs des mots de passe (et réponse aux questions secrètes) devraient être stockés.
Mon Macbook 2012 fonctionne très bien avec High Sierra.