La réputation de forteresse numérique des Mac vient d'être sérieusement ébranlée. Des chercheurs en sécurité de la société Jamf ont mis au jour une nouvelle version du malware MacSync, un voleur d'informations redoutable. Sa particularité ? Il a réussi l'exploit de se déguiser en application parfaitement inoffensive, trompant l'un des piliers de la protection de macOS : Gatekeeper. Cette technique sophistiquée met en lumière une vulnérabilité dans le processus de vérification et expose les utilisateurs à un risque de vol de données massif.
Comment un logiciel malveillant peut-il obtenir une signature officielle ?
La stratégie des cybercriminels derrière MacSync, attribué à un acteur se faisant appeler « Mentalpositive », est aussi simple qu'efficace. Le malware est dissimulé au sein d'une application développée en Swift, le langage de programmation natif de l'écosystème d'Apple. Cette application a été soumise au processus de certification et a obtenu une signature associée à un identifiant de développeur, la faisant ainsi passer pour totalement légitime.
Aux yeux de Gatekeeper, dont le rôle est de vérifier la provenance et l'intégrité des logiciels, l'application semblait donc sûre. Lorsqu'un utilisateur téléchargeait le fichier .dmg depuis un site frauduleux, aucune alerte de sécurité n'était déclenchée. Le système considérait l'application comme fiable, car elle portait le sceau d'approbation d'un développeur identifié par Apple. Cette méthode souligne une tendance inquiétante : les pirates cherchent de plus en plus à infiltrer les systèmes en se faisant passer pour des développeurs de confiance.
Quelles sont les données ciblées par MacSync ?
Une fois que l'application infectée est installée, le véritable objectif de MacSync se révèle. Il ne s'agit pas d'un simple adware, mais d'un infostealer (voleur d'informations) particulièrement vorace. Le malware scanne activement le système pour siphonner un large éventail de données personnelles et sensibles. Sa liste de cibles est précise et lucrative, visant les informations à haute valeur ajoutée.
Il s'attaque en priorité aux mots de passe enregistrés dans les navigateurs web, aux identifiants stockés dans le trousseau iCloud, et même aux clés privées des portefeuilles de cryptomonnaies. De plus, MacSync est capable de rechercher et d'exfiltrer des fichiers spécifiques comme des documents, des images ou des archives, transformant l'ordinateur de la victime en une véritable mine d'or pour les attaquants.
Quelle a été la réponse de la firme et que risquent les utilisateurs ?
Alertées par les experts de Jamf, les équipes de Cupertino ont rapidement réagi en révoquant le certificat de développeur utilisé par les pirates. Cette action bloque toute nouvelle tentative d'installation du malware utilisant cette signature spécifique. Désormais, Gatekeeper identifiera toute application portant ce certificat comme non fiable et en bloquera l'exécution immédiate, protégeant ainsi les futurs utilisateurs potentiels.
Cependant, la menace n'est pas totalement écartée. Les Mac qui ont été infectés avant la révocation du certificat restent compromis. Le malware est toujours actif sur ces machines et continue de voler des informations si aucune mesure de nettoyage n'est prise par l'utilisateur. Cet incident démontre que si la réactivité des géants de la tech est cruciale, la vigilance reste la meilleure défense pour les utilisateurs face à des menaces en constante évolution.