Disponible en téléchargement gratuit sur le Mac App Store, le système d’exploitation MacOS 10.13 High Sierra avait été présenté à la conférence développeurs d’Apple en juin 2017. Selon le fournisseur, cette mise à jour vient améliorer les performances vidéo, activer les applications VR et ajouter quelques fonctionnalités aux applications natives comme Safari et Photos.

High Sierra utilise notamment le cadre Metal 2 pour améliorer les visuels et ajoute des fonctionnalités pour l'apprentissage machine. La mise à jour comprend également le support du codage vidéo HEVC, 40% plus rapide que le H.264 selon la firme. High Sierra apporte aussi le support du système de fichiers Apple File System - que la société a lancé en mars dernier pour iOS - en complément de HFS.

Plus de lecture vidéo automatique 

Il convient également de noter que Safari dispose désormais de fonctionnalités qui bloquent la lecture automatique des vidéos de lecture - Google Chrome le proposera l’année prochaine - et découragent la collecte de données de suivi multi-sites. L’app Photos reçoit quant à elle une détection de visage améliorée, une meilleure organisation des fonctionnalités et des outils d'édition Aperture-like. Siri obtient de son coté ce qu’Apple décrit comme « une voix plus naturelle ».

Mais l’inquiétude pointe avec la découverte de failles de sécurité dans High Sierra. Et notamment dans Secure Kernel Extension Loading, le système de sécurité mis en place pour éviter qu’un logiciel malveillant - du type rookit ou keylogger - ne s’installe à l’insu de l’utilisateur. Cet outil recèle une vulnérabilité de type zero day qui permet de facilement contourner son action pour installer n’importe quelle extension. Une autre faille, qui concerne High Sierra mais également les versions antérieures de MacOS, permet d’accéder à tous les mots de passe stockés dans le gestionnaire de MacOS Keychain. Patrick Wardle, chef de la recherche chez Synack, a publié une vidéo qui montre comment le code qu'il a écrit peut être utilisé pour obtenir les mots de passe conservés dans le trousseau de MacOS. Il faut généralement un mot de passe principal pour y accéder, mais le code du chercheur a pu accéder à Keychain et collecter des mots de passe. La vidéo ci-dessous est une démonstration publiée par Wardle.

 

Apple a publié une déclaration sur le problème : « MacOS est conçu pour être sécurisé par défaut, et Gatekeeper avertit les utilisateurs lors de l’installation d’applications non signées, comme celle présentée dans cette preuve de concept, et les empêche de lancer l'application sans approbation explicite. Nous encourageons les utilisateurs à télécharger des logiciels uniquement à partir de sources fiables comme le Mac App Store et à accorder une attention particulière aux dialogues de sécurité qu’affiche MacOS ». Une fois de plus la politique de l’autruche.

En ce qui concerne la pratique standard, ne téléchargez pas ou n’installez pas de logiciel qui vous semble suspect. Respectez les sources fiables. Et si vous n'avez pas effectué la mise à niveau vers High Sierra, il est préférable d’attendre qu’Apple corrige ces failles.