La marque à la pomme vient de démontrer sa capacité à bannir un jeu de sa boutique applicative pour des motifs purement financiers et dans le même temps à valider un malware sur macOS. L'affaire fait jaser et rappelle que, non, les Mac ne sont pas des bastions impénétrables.
Depuis février, les logiciels pour macOS distribués en dehors de l'AppStore doivent être examinés et validés par Apple. Une procédure qui n'est pas sans rappeler celle réalisée pour l'accès des applications iOS à la boutique applicative de la marque à la pomme. Ce processus de vérification, ou "notarization" dans la langue de Tim Cook, contraint les développeurs à soumettre le code de leurs logiciels à Apple, afin que ce dernier les analyse.
Le système est automatisé et cherche aussi bien des bouts de code malveillant que des problèmes de signature. Une fois l'analyse effectuée et en l'absence de problème, le logiciel reçoit le "deal of approval" de Cupertino, sous la forme d'un petit message apparaissant sur l'écran de l'internaute le prévenant que le programme a été vérifié par Apple en personne et qu'il n'est pas malveillant. Une procédure censée garantir la sécurité des Macs et chasser de l'OS les applications vérolées... et surtout vaut patte blanche pour Gatekeeper, l'outil de sécurité par défaut de macOS, qui autorise alors l'exécution d'un programme vérifié et validé sur le terminal.
Oups
Mais visiblement cette vérification n'est pas sans défaut, le principal étant de laisser passer des programmes malveillants. Pire encore, des programmes malveillants qui seront vérifiés par Apple et en qui les utilisateurs pourront, a priori, avoir confiance. C'est ainsi que des chercheurs ont découvert la semaine dernière que la marque à la pomme avait été abusée. Le coupable : Shlayer (voire plus bas). Peter Dantini et Patrick Wardle, deux chercheurs en sécurité, ont découvert que des programmes d'installation du malware pouvaient être diffusés et exécutés sans être bloqués automatiquement dès leur lancement. Et pour cause, Apple avait vérifié et validé le code du programme. Une énorme bourde due, selon les chercheurs, à une "notarization" un brin trop légère, permettant au malware de passer entre les mailles du filet.
Averti par Patrick Wardle, Apple ne s'est pas fait prier pour retirer les certificats accordés à Shlayer et révoquer les droits de l'identifiant développeur associé. Voilà donc que le malware devrait désormais être bloqué par Gatekeeper et l'affaire s'arrêter là. Toutefois, ce week-end, le chercheur a constaté que Shlayer était toujours là et qu'il continuait de distribuer ses charges utiles sur Mac. Les attaquants seraient en effet passés par un autre compte développeur, et que vogue la galère. Prévenue, la marque à la pomme a répété l'opération, mais on peut gager que le malware refera surface dans les mêmes conditions et que ce jeu du chat et de la souris continuera encore un certain temps.
Shlayer, c'est quoi ?
Shalyer est un malware détecté pour la première fois en 2018, niché dans de faux exécutables d'installation de Flash Player poussés sur des sites de Torrents, et désormais dans des fenêtres pop-up sur des sites fallacieux ou compromis. Une fois sur le Mac, Shalyer y installe un proxy et un certificat de confiance de sorte à pouvoir surveiller et modifier le trafic HTTPS. L'attaquant est ainsi en mesure d'espionner la navigation de sa victime, injecter des scripts malveillants aux sites visités et surtout injecter des pages de pub. Il déploie en outre, en charge secondaire, un adware mais pourrait être utilisé pour déployer des malwares autrement plus nocifs. Selon Kaspersky, Shlayer est présent sur 10% des Macs.