Mac : et si un malware se cachait dans votre ordinateur ?

Un Mac pas si sûr ?

Les malware sur les Mac Book et les iMac sont plus répandus qu’on ne le pense. Mais les défenses plutôt performantes de MacOS rendent la tâche plus difficile aux hackers de s’installer durablement sur les appareils d’Apple. Même s’ils peuvent y parvenir. De plus, les moyens de s’implanter sur MacOS sont aujourd’hui bien connus. À tel point que techniciens et scans de malware peuvent rapidement repérer ces derniers. C’est pourquoi les approches plus « subtiles » sont en nette augmentation.
À la conférence de sécurité Virus Bulletin ce mois-ci, le chercheur en sécurité Thomas Reed a justement présenté ce qui pourrait être une brèche potentielle. En effet, lorsque vous lancez un utilitaire d’installation d’application sur macOS, un programme appelé Gatekeeper vérifie la provenance de l’application. Ou bien si elle a été cryptographiquement signée par un développeur enregistré par Apple. Ainsi, tous les programmes légitimes doivent être « code signed » pour pouvoir établir leur validité et leur intégrité. Donc en vérifiant la signature du code d’un fichier, Gatekeeper vous prévient si un programme est un malware. Ou si quelqu’un a altéré le programme d’installation.

Contournement de vérification

Ces vérifications sont une étape vitale de votre cybersécurité. Mais Reed, le directeur des plateformes Mac et mobiles à Malwarebytes, a observé qu’une fois qu’un programme franchit une vérification de signature du code et est installé, macOS ne le re-vérifie plus jamais. Cela signifie que les hackers qui achètent un certificat légitime d’Apple (ou en volent un) peuvent potentiellement piéger les utilisateurs Mac en installant leur malware. Et s’il réussit à infiltrer d’autres programmes légitimes après avoir été téléchargé… Alors il pourrait échapper définitivement à la détection.
En effet, une fois que vous avez ouvert une application, elle ne se fera plus jamais re-vérifier sur macOS. Donc même si elle a été modifiée ou endommagée et que la signature est invalide, l’OS ne le vérifiera jamais. C’est une grande fenêtre ouverte pour l’implantation du malware ! Si ce dernier peut infecter d’autres applications déjà installées sur votre disque alors ça veut dire qu’il peut s’y rendre et rester caché. Vous ne penserez jamais à aller le chercher là. Et il pourra s’exécuter en background sans que vous ne vous en rendiez compte.
Dans certains cas, mettre à jour une application peut provoquer une vérification du code, ou écraser la modification. Mais il ne vaut mieux pas compter dessus. En effet, la plupart des développeurs n’incluent la vérification de signature du code que pour la mise à jour, non pour l’application de base elle-même.

Pas de panique

Et ce problème existe depuis OS X Leopard, sorti en 2007 ! Néanmoins, les avancées en matière de gestion des permissions et de sécurisation des différentes couches du système d’exploitation de macOS pourraient permettre à Apple d’implémenter plus facilement la validation de signature du code. Ainsi, l’entreprise pourrait réduire la nombre de validation que le système d’exploitation doit effectuer. Par exemple, en ignorant les processus système inaltérables. Même avec un root access à l’appareil.
Pour l’instant, les malwares n’ont pas encore profité de la brèche. Ainsi, c’est une bonne opportunité de sensibiliser aux besoins de vérifications volontaires de code. Dans le cadre de ses recherches, Reed a voulu tester si coder des malwares qui manipulent d’autres programmes pour s’y cacher serait très compliquer. Et bien pas vraiment : il n’a eu besoin que de quelques outils de développement en ligne.
Il déclare : « personne n’a encore connecté les points, mais c’est plutôt facile. Le fait que j’ai pu le faire en quelques heures signifie qu’un amateur pourrait le faire ». « Et ce n’est pas seulement le fait qu’il y ait une vulnérabilité dans ces applications. C’est simplement que si elles ne passent pas la vérification de signature, ce que la plupart ne font pas, alors vos pouvez y insérer votre code ».

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email