Ordinateur Mac : Gatekeeper d'OS X est troué

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Ordinateur Mac : Gatekeeper d'OS X est troué

Publié le 18 janvier 2016 à 18:50 par Jérôme G.

Lire sur mobile

Deux tentatives de correction d'Apple n'auront pas suffi. La protection de sécurité Gatekeeper est encore vulnérable sur les ordinateurs Mac.

Gatekeeper est une technologie de sécurité intégrée au système d'exploitation OS X et introduite en 2012 par Apple. Pour protéger l'ordinateur Mac, elle contrôle les applications qui peuvent être téléchargées et installées en s'appuyant sur les tests d'identification de logiciels malveillants d'OS X.

Oui… les malwares pour OS X, cela existe.L'année dernière, le chercheur en sécurité Patrick Wardle - Directeur de Recherche chez Synack et qui a travaillé par le passé pour la NSA - a mis au jour une vulnérabilité (connue en tant que CVE-2015-7024) permettant à un malware de contourner les vérifications de Gatekeeper.

En exploitant cette vulnérabilité, des fichiers exécutables signés par Apple peuvent être utilisés afin de charger des fichiers arbitraires et potentiellement malveillants. Gatekeeper n'y voit que du feu, et cela même avec le paramétrage le plus strict pour n'autoriser que les applications du Mac App Store.

Dans une preuve de concept, Patrick Wardle avait trompé Gatekeeper en liant à une application légitime d'Apple du code caché et non signé dans le même répertoire. Gatekeeper n'effectuait une vérification que pour le fichier parent, soit celui de l'application signée. Après l'exécution de l'application, le code non signé pouvait l'être à son tour, sans le blocage par Gatekeeper.

À deux reprises, Apple a publié un correctif afin de combler la vulnérabilité dans Gatekeeper mais Patrick Wardle a encore réussi à l'exploiter sur un système OS X 10.11.2 à jour. Pour lui, Apple s'est contenté de bloquer les exploits de sa preuve de concept, puis d'implémenter cette solution via XProtect (l'anti-malware intégré à OS X). En somme, pas de patch générique.

Selon le chercheur, le contournement de Gatekeeper est " trivial ". Il conseille de ne télécharger des applications que depuis le Mac App Store ou depuis des sources sûres qui utilisent HTTPS. En filigrane, c'est la crainte d'attaques de type man-in-the-middle. Il a publié un outil Ostiarius pour OS X El Capitan qui bloque l'exécution de fichiers binaires non signés émanant d'Internet, ce que Gatekeeper est censé faire sans faille.

L'outil est cependant publié avec un avertissement : " Ostiarius utilise des aspects non documentés du système d'exploitation pour fournir une protection globale. Bien que conçu soigneusement pour ne pas casser une quelconque fonctionnalité légitime, il n'a pas été testé sur tous les systèmes et pour tous les scénarios possibles ". À vos risques et périls.