OS X : la protection GateKeeper peut être aisément contournée
Ce n'est pas un antivirus, mais quand même
Le 01 octobre 2015 à 07h00
4 min
Logiciel
Logiciel
Alors même qu’Apple vient de lancer la nouvelle mouture majeure de son OS X, El Capitan, un chercheur en sécurité indique avoir trouvé une manière très simple de contourner la protection GateKeeper. Cette dernière a été intégrée il y a plusieurs années pour repérer à l’exécution certains malwares courants.
GateKeeper est une fonctionnalité ajoutée par Apple dans OS X à partir de la version Lion. Son mécanisme d’action est assez simple : il vérifie la signature électronique d’un binaire pour en valider ou pas l’exécution. Par défaut, seuls les logiciels issus du Mac App Store ou récupérés chez des éditeurs disposant d’un certificat reconnu peuvent être lancés. Dans les réglages de sécurité d’OS X, on peut désactiver complètement GateKeeper, ou le rendre encore plus strict pour ne laisser passer que les applications du Store.
GateKeeper n’est cependant pas un antivirus, même si Apple a ajouté à plusieurs reprises des éléments de reconnaissance des principales menaces. Ce mécanisme de sécurité est pourtant simple à contourner, si simple en fait que la méthode est surprenante. La technique, détaillée par Ars Technica, s’appuie sur les travaux du chercheur Patrick Wardle et met en scène deux binaires, A et B. GateKeeper ne vérifiant que le binaire qui correspond à l’action de l’utilisateur (le double clic) il devient alors simple d’appeler le binaire B.
Faire passer un premier binaire reconnu, puis tracter un second
Pour faire exécuter un ou plusieurs malwares, il suffit en fait que le binaire A soit équipé d’un certificat déjà reconnu par GateKeeper. Le pirate n’a qu’à préparer une image disque (fichier DMG) contenant les deux binaires pour que le premier passe la barrière puis, une fois cette dernière franchie, y « tracte » le second. Ce dernier peut contenir tout le code malveillant nécessaire, GateKeeper n’aura plus son mot à dire.
La technique est simple, mais redoutable. Il devient par exemple aisé de préparer une version vérolée d’un installeur d’application connue. C’est potentiellement une technique utilisée dans le cas récent des environnements Xcode frelatés qui ont été téléchargés par des développeurs chinois. L’utilisateur double-clique, lance l’installation, voit éventuellement une fenêtre réclamant les droits administrateur et valide, pensant que le logiciel est authentique.
Ce qui ne veut pas dire évidemment qu’il faut tout à coup se méfier de tous les téléchargements. Comme toujours, la prudence reste de mise sur les sources, mais il n’y a pas de raison de craindre le moindre danger si on a l’habitude d’utiliser des applications provenant du Store ou de site officiel d’une entreprise connue comme Google, Microsoft, Dropbox et ainsi de suite.
Un correctif est en préparation
Pour Patrick Wardle, cette technique de contournement n’est pas étonnante et réside dans la manière dont GateKeeper a été conçu, non dans une faille à proprement parler. Son rôle n’est après tout que de vérifier la signature électronique de l’exécutable lancé par l’utilisateur. Il a d’ailleurs indiqué à Ars Technica qu’il avait averti Apple il y a un peu plus de deux mois et que la société travaillait sur un correctif, ce qu’elle a confirmé à nos confrères. Le chercheur ne sait cependant pas si les ingénieurs pourront régler la cause même du problème, ou devront se contenter de limiter les dégâts.
Patrick Wardle présentera dans tous les cas les résultats de ses travaux aujourd'hui lors de la Virus Bulletin Conference qui se tiendra à Prague. Car une constatation s’impose pour lui : « Si je peux le trouver, vous pouvez être sûrs que des groupes de pirates ou supportés par des États ont trouvé des faiblesses similaires ».
OS X : la protection GateKeeper peut être aisément contournée
-
Faire passer un premier binaire reconnu, puis tracter un second
-
Un correctif est en préparation
Commentaires (21)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 01/10/2015 à 07h30
Je trouve ça plutôt intéressant comme façon de procéder.
Le chercheur reste en plus modeste et pragmatique, s’il y a pensé, d’autres aussi.
Erreur de conception de la part de la pomme ?
Le 01/10/2015 à 07h33
Par contre il faut toujours faire signer le binaire A, non ?
C’est possible ça ? Apple accepte de signer en sachant que le binaire A sert à aller installer un malware ?
Le 01/10/2015 à 07h41
Ton binaire A est une voiture avec boule d’attelage. Le malware c’est la caravane que tu accroches derrière.
Le 01/10/2015 à 07h45
You should not pass… Oups.
Le 01/10/2015 à 07h46
Les mauvaises langues diront que ce n’est pas un “bug/faille” mais une fonctionnalité
" />
Le 01/10/2015 à 07h47
Le 01/10/2015 à 07h48
En continuant l’image, si je ne me trompe pas (je ne connais pas le mécanisme de vérification des binaires); cela voudrait dire que la voiture a été contrôlée, et que la boule d’attelage sans remorque n’a pas été vue
(mais j’ose imaginer qu’il doit être facile pour un code de cacher la boule d’attelage lorsqu’il n’y a pas la caravane,
sans caravane, il suffit de le faire fonctionner comme le vérificateur l’attends).
Le 01/10/2015 à 07h48
Le 01/10/2015 à 07h51
Le 01/10/2015 à 07h52
ca ressemble presque à la méthode du disk swap de la première playstation
" />
Le 01/10/2015 à 08h19
C’est un peu comme la méthode de “piratage” de Windows qui permet de lancer “cmd.exe” avec les droits administrateur depuis l’écran de login en copiant/renommant l’exécutable pour le faire passer pour l’utilitaire d’accessibilité
" />
Le 01/10/2015 à 08h21
Considère plutôt un utilitaire avec boule d’attelage systématique même si pas utilisée. On voit la boule d’attelage mais c’est normal c’est une fonctionnalité qui peut être utile.
Le 01/10/2015 à 08h34
Vieille technique utilisée sur Windows depuis la nuit des temps. Prendre un executable signé (de préférence Microsoft ^^ ) et mettre dans le même dossier une fausse DLL utilisé par l’executable. Et boum le code malveillant se retrouve avec les droits admin.
D’ailleurs pour avoir l’élévation automatique, Windows oblige d’être lancé dans %windows%.
Le 01/10/2015 à 09h20
Et Apple distribue des certificats sans vérifier que l’app ne télécharge pas du code malveillant ? oO Étonnant.
Le 01/10/2015 à 10h18
Faut lire la news et les commentaires en fait…
Le 01/10/2015 à 10h47
Situation similaire sur Android si je me souviens bien. La possibilité de télécharger du code externe depuis une application signée.
Dans le cas du GateKeeper je vois pas bien comment bloquer tout ça sans blocage draconien…
Le 01/10/2015 à 12h16
De toute façon il n’y a pas de virus/malware sur Mac
" />
" />
Pareil sur Linux
Le 01/10/2015 à 13h11
De si bon matin? (oui je suis aux US, j’ai 7h de moins ^^)
Le 01/10/2015 à 13h16
Le souci va être réglé sous peu : encore une preuve de plus qu’Apple se soucie vraiment de notre sécurité, comme étant sa priorité number one of the world.
Le 01/10/2015 à 14h20
Oui oui :p
" />
Et je suis à l’heure UTC+0 donc ca ne nous fait que 5h de différence
Le 01/10/2015 à 14h27