Un développeur a déjoué les systèmes de sécurité et de certification d’Apple en cachant son malware dans une fausse mise à jour d'Adobe Flash Player.
au sommaire
AppleApple s'est forgé la réputation de ne rien laisser passer en matièrematière de sécurité vis-à-vis des applicationsapplications pour macOS. Depuis l'arrivée de macOS Mojave, il y a deux ans, pour se faire une place sur un Mac -- en plus de la certification Developer ID --, il faut passer par un processus baptisé Apple Notary Service, autrement dit, une sorte d'acte « notarié » qui renforce la sécurité. L'application doit faire ses preuves sur un banc d'essais, où l'on va rechercher d'éventuelles failles ou soucis de sécurité et, potentiellement, la présence de code malveillant.
Dès que l'application est approuvée, le cerbère du Mac baptisé Gatekeeper, autorise l'application à s'exécuter. Si elle provient du Web au lieu de l'App StoreStore, un simple message d'alerte s'affiche et c'est à l'utilisateur d'approuver ou non son ouverture. Un système qui semblait infaillible jusqu'à ce que des chercheurs en sécurité soient parvenus à dénicher un exemple de malware certifié et notarié par Apple. Peter Dantini et Patrick Wardle ont ainsi découvert du code malicieux bien connu, appelé Shlayer et déguisé en installateur Adobe Flash.
Le jeu du chat et de la souris
Rien que l'utilisation de Flash comme container d'un malware est un indice, puisque ce composant est progressivement abandonné en raison de ses nombreuses vulnérabilités. Cela ne l'a pas empêché de passer sous les radars d'Apple qui l'a approuvé pour fonctionner sur Mac.
Dans son fonctionnement, Shlayer est une sorte de malware publicitaire qui intercepte, reroute le trafic et remplace les sites Web et les résultats de recherche par ses propres publicités afin de se rémunérer. Prévenu par les chercheurs, Apple a précisé au site TechCrunch que le compte développeur de l'application et les certificats associés ont été révoqués. La marque en a également profité pour souligner l'efficacité de son système de notarisation. Malheureusement pour Apple, l'affaire ne s'est pas arrêtée là. Patrick Wardle a identifié dans la foulée un nouveau malware notarié par Apple. Là encore, la firme a révoqué immédiatement les certificats. Reste à savoir qui va se lasser le premier.