Patrick Wardle, chercheur en sécurité pour la société Synack a profité de la conférence RSA de San Francisco pour présenter les résultats de son travail. Le chercheur s'est ainsi particulièrement intéressé aux mécanismes de protection sur lesquels Apple appuie Mac OS X, Gatekeeper et XProtect. Résultat : les deux systèmes sont de véritables passoires.
"Il est facile pour n'importe quel attaquant de contourner les outils de sécurité d'Apple" indique Wardle, ajoutant " Si les Macs étaient totalement sécurisés, je ne serais pas ici en train d'en parler."
Gatekeeper a été ajouré dans OS X 10.8 Mountain lion afin de restreindre l'ouverture et le lancement de certaines applications sur l'ordinateur de l'utilisateur. Le système vérifie ainsi les applications validées par l'App Store ou vérifiées par les développeurs. Si une application ne montre pas patte blanche, son installation est simplement refusée...
Le problème ici, c'est que Gatekeeper n'effectue qu'une simple vérification sur le fichier exécutable. Il est donc relativement simple de polluer un fichier vérifié par l'App Store qui se chargerait, une fois installé, d'aller récupérer du code externe et d'installer des malwares sur la machine.
Xprotect se présente quant à lui comme un scanner à malwares rudimentaire, il a été intégré à OS X depuis la version 10.6 snow leopard. Il se charge de bloquer certaines applications et plug-ins reconnus pour comporter des vulnérabilités.
Dans ce cas, il suffirait de recompiler un malware ou d'en changer simplement le nom et le hash pour lui permettre de passer au travers du scanner.
Finalement, Apple ne fait pas mieux que les autres fabricants ni même éditeurs de solutions de protection, puisque la conférence a démontré que la plupart des outils de protection pouvaient être contournés. Apple reste toutefois moins sujet aux attaques pour l'instant, mais les choses pourraient changer à l'avenir.
