Posté le juin 27, 2019 à 13:58

LES HACKERS EXPLOITENT LA FAILLE DE MACOS QU’APPLE A NÉGLIGÉE

Contrairement aux logiciels Android, ceux d’Apple sont généralement considérés comme beaucoup plus sécurisés, avec beaucoup moins de problèmes de sécurité, de failles et de vulnérabilités. Bien que cela ait été vrai pendant longtemps, les choses ont commencé à changer ces dernières années, lorsque les pirates ont commencé à se concentrer davantage sur iOS et macOS. En conséquence, les failles de ces systèmes ont également commencé à apparaître, et une vulnérabilité majeure a été signalée à Apple plus tôt cette année, le 22 février.

La faille a été découverte par Filippo Cavallarin, chercheur en cybersécurité, qui a signalé qu’une vulnérabilité pourrait permettre aux logiciels malveillants de passer au-delà de la fonctionnalité de sécurité de Gatekeeper, si rien n’est fait. De plus, il ne serait probablement pas détecté sur l’appareil.

Cavallarin a déclaré qu’Apple a reconnu sa découverte et que la société a déclaré qu’elle réglerait le problème d’ici la mi-mai. Cependant, ils ne l’avaient toujours pas fait et, après l’expiration du délai de divulgation de 90 jours, Cavallarin décida de le rendre public. Le 24 mai, il a publié la description complète de ses trouvailles, ainsi que le code de preuve de concept. Cela fait maintenant plus d’un mois qu’Apple n’a toujours pas corrigé la faille. Toutefois, si l’entreprise l’ignore, les hackers font le contraire, et beaucoup en ont apparemment pris connaissance.

Gatekeeper

Des entreprises de cybersécurité, telles qu’Intego, ont déjà signalé des créateurs de logiciels malveillants testant leurs nouvelles créations. Selon les chercheurs, ils ont effectué des tests sur OSX/Linker, qui utilise la preuve de concept publiée pour infecter macOS de logiciels malveillants. Il semble que la nouvelle menace en soit encore à la phase de test et qu’elle n’a pas encore été utilisée dans la nature. Cependant, le fait même qu’il existe signifie que les utilisateurs de Mac auront bientôt un problème assez grave. Pendant ce temps, Apple ne fait toujours rien pour résoudre le problème.

Son Gatekeeper a été introduit en 2012 et faisait partie du système d’exploitation OS X Mountain Lion. Depuis lors, cela fait partie de la sécurité sur les appareils Mac, analysant les applications téléchargées et vérifiant si elles étaient signées par code. En d’autres termes, il vérifie si le logiciel téléchargé a été publié ou non par des développeurs vérifiés, ou si quelqu’un l’a modifié. Il possède également une base de données contenant des logiciels malveillants connus, afin de pouvoir reconnaître et signaler ceux qui pourraient tenter d’envahir l’appareil.

Cependant, le problème réside dans le fait que tous les fichiers ne sont pas traités de manière égale par Gatekeeper. Par exemple, les applications provenant de lecteurs externes ou de réseaux partagés sont considérées comme sûres. Selon Cavallarin, si quelqu’un devait tromper l’utilisateur Mac pour qu’il ouvre des fichiers .zip contenant un lien symbolique vers le serveur NFS que le hacker contrôle, le hacker pourrait infecter le Mac avec n’importe quel logiciel malveillant, sans même que Gatekeeper essaie de vérifier ces fichiers.

Des moments difficiles pour les utilisateurs de Mac arrivent

Quant à Intego, ils n’ont pas signalé les fichiers .zip, mais plutôt les créateurs de logiciel malveillant essayant d’altérer les programmes d’installation d’Adobe Flash qui seraient liés à une application trouvée sur un système de fichiers NFS. Jusqu’à présent, il semble que les hackers procèdent à des essais et perfectionnent la menace.

Un chercheur en sécurité de Malwarebytes, Adam Thomas, a également déclaré que le NFS pouvait contenir une application Placeholder, et non le logiciel malveillant lui-même. Cependant, dès que les tests seront terminés et que la campagne aura lieu, ces applications inoffensives seront sans aucun doute remplacées par des applications malveillantes.

En ce qui concerne la preuve de concept qu’Intego a elle-même découverte, il est probable qu’elle provienne du même groupe que celui qui était à l’origine d’une famille de logiciels de publicité OSX / Surfbuyer. Ce n’est pas une menace particulièrement grave, mais la faille pourrait conduire à des problèmes plus graves. Le groupe utilisait autrefois les adwares, mais avec une faille comme celle-ci, ils pouvaient tout installer, et cela comprenait des choses bien pires que les adwares.

La faille est de taille et il peut être utilisé pour infecter n’importe qui avec n’importe quoi. Cela rend d’autant plus inquiétant qu’Apple ne semble rien faire pour y remédier, même après quatre mois depuis que le défaut a été signalé. Tant qu’un correctif n’est pas publié, il n’y a aucun moyen de savoir ce que les hackers pourraient trouver. Jusqu’à présent, un seul groupe a été surpris en train de faire ce genre d’expériences. Et, selon les chercheurs, si l’un d’entre eux était pris à expérimenter, nombreux sont ceux qui ont réussi à rester sous le radar.

Quant à Apple, il est compréhensible que la résolution des problèmes demande du temps et beaucoup de travail. Toutefois, la société disposait de plus de 90 jours avant la publication de la vulnérabilité et n’a toujours rien fait pendant plus de 30 jours après la publication des informations sur la faille. C’est également assez inhabituel pour Apple, qui respecte généralement ses contraintes de délais. En d’autres termes, quelque chose à propos du Gatekeeper doit causer des problèmes à l’entreprise, ce qui rend ce cas d’autant plus curieux.

Et, puisque la société n’a publié aucun avertissement officiel, mise à jour ou quoi que ce soit d’autre pour remédier à la faille, personne ne sait vraiment s’ils envisagent de le réparer, et dans le cas où ils le feront, personne ne sait aussi quand.