Des pirates ont exploité une faille jusqu'alors inconnue, qui leur permettait de contourner la plupart des mécanismes de sécurité sous macOS, afin de pirater un nombre inconnu d'ordinateurs Mac, souligne MotherBoard.
Le bogue leur permettait de créer des logiciels malveillants susceptibles de prendre le contrôle de l'ordinateur d'une victime, en contournant les protections telles que Gatekeeper, File Quarantine et les exigences de notarisation des applications.
Ces mécanismes empêchent en théorie les fichiers téléchargés à partir d'Internet d'accéder aux fichiers utilisateur à moins qu'ils ne soient signés par des développeurs connus et qu'ils n'aient été vérifiés par Apple pour détecter les logiciels malveillants.
Une victime potentielle devait toujours double-cliquer sur un fichier malveillant, mais macOS n'affichait aucune alerte, aucune invite ni n'empêchait l'exécution de l'application.
Le bogue a été découvert par le chercheur en sécurité Cedric Owens, qui a déclaré l'avoir signalé à Apple le 25 mars. Lundi, Apple a publié un correctif dans la dernière version (11.3) de macOS Big Sur.
« Cette charge utile est la plus dangereuse que j'ai personnellement rencontrée sur macOS, étant donné qu'elle contourne Gatekeeper, n'est pas en bac à sable, et tout ce que l'utilisateur aurait à faire est de double-cliquer », a expliqué Owens.
« Une analyse plus approfondie nous porte à croire que les développeurs du malware ont découvert la faille zero day, et ajusté leur malware, au début de 2021 », précise Jaron Bradley, de la société de cybersécurité Jamf Protect, spécialiste d'Apple.
Dans son analyse technique, Jamf explique qu'il avait été conçu pour se propager via « les résultats des moteurs de recherche empoisonnés », et qu'il avait été utilisé dans une version mise à jour de Shlayer, un malware conçu pour installer des logiciels publicitaires sur les ordinateurs des victimes.
En 2020, Kaspersky Lab avait déclaré avoir identifié Shlayer dans un ordinateur Mac sur dix surveillé par son antivirus.
Commentaires (40)
#1
Merci pour l’article sur le fond, mais sur la forme… Vous aviez besoin de traduire absolument tout en Français ?
Bogue, charge utile, bac à sable… Le public de NextInpact n’aura aucun problème avec bug, payload, et sandbox hein. Personne n’utilise les termes francisés.
#1.1
On est sur un site français, c’est donc normal d’utiliser des termes français (hormis les traductions foireuses de l’académie française).
Pas besoin de l’avis de l’académie française. Ils sont à la ramasses.
#1.2
Sur un site et sujet technique, on pourrait utiliser les termes techniques couramment utilisés et originels, au lieu de toujours vouloir franciser pour rien.
A ce rythme,on ne dira même plus IP (commençons donc à dire adresse pi ,piV4 et PIV6 ).
D’ailleurs ,charge utile ,il m’a fallu un peu de temps pour refaire le lien.
#1.6
Le terme technique reste technique aussi en français. Il n’y a pas vraiment d’intérêt de reprendre la version en anglais quand on a une version en français, hormis pour se donner un style.
Pourtant c’est facile à comprendre.
Après si ça te dérange de lire du français, va directement sur un site anglophone.
#1.3
Pour ma part, je préfère largement en français. Que ce soit en technique ou dans d’autres domaines, je supporte mal un grand nombre de barbarismes.
Et puis quand un “project leader” de mon client “retail” nous promet une amélioration de “l’expérience digitale”, je me demande s’il faut serrer les fesses ou s’il faut acheter des poppers.
#1.5
#1.4
On peut toujours demander la traduction en anglais de la page. Il existe des gens qui apprécient un article en bon français.
#2
”… à moins qu’ils ne soient signés par des développeurs connus et qu’ils n’aient été vérifiés par Apple pour détecter les logiciels malveillants“
Ouais, non, en fait.
Enfin, c’est vrai pour les applis du App Store, mais pour les applis “seulement” notarisées, Apple ne vérifie rien du tout, à part que la signature est valide. En fait, ils ne voient même pas le code, c’est juste un tampon sur le .app ou le .dmg. Et c’est très bien comme ça, d’ailleurs: si on devait uploader une appli entière chez Apple à chaque nouvelle version, ce serait particulièrement pénible.
#3
#3.1
Pour info la notarisation consiste en l’upload du binaire à notariser chez Apple.
Apple analyse ce binaire et valide ou non la notarisation.
Si la notarisation est validée le “tampon” de validation peut-être appliqué au binaire.
A partir de là le binaire peut être distribué.
Toute modification du contenu de l’application cassera la validité de la signature et donc du tampon et provoquera l’affichage d’une boite de dialogue spécifiant que l’application est potentiellement dangereuse.
Donc oui il faut uploader à chaque nouvelle version, et Apple ne voit pas le code mais vérifie quand même le binaire et l’utilisation de certaines API proscrites.
#3.2
Alors, oui, sauf que les APIs “proscrites” ne recouvrent pas grand chose… Pour éviter d’avoir à uploader une grosse appli pour la notariser, on peut sans aucun problème faire un petit utilitaire qui la télécharge et l’installe, et notariser l’utilitaire: ça passe crème, alors que c’est quand même un joli contournement de l’objectif initial (qui m’arrange bien d’ailleurs, donc changez rien, surtout, merci
).
Par contre, dans mon cas, à la fois l’utilitaire et l’appli sont signées, et comme tu dis, s’il y a la moindre modif dans l’un ou l’autre, ça ne marchera plus (enfin j’espère, je n’ai jamais eu la curiosité d’essayer
).
#3.3
C’est pour cela que j’avais complété avec un second message. Leur système de “protection” est rempli de trous.
A partir du moment ou l’application est téléchargée par un navigateur ça marche plutôt correctement.
Par contre j’avais sur macOS 10.14 été assez surpris qu’on pouvait supprimer les répertoires de signature/notarisation qui sont dans le bundle de l’application, la copier sur une autre machine avec un scp, puis l’exécuter sans aucun avertissement sur cette autre machine.
Passer par un ISO intermédiaire semble aussi fonctionner.
Mes essais datent un peu, je sais que leurs mécaniques de “protection” évoluent mais ça ne m’étonnerais pas que cela marche encore.
#3.4
J’avais fait des essais et c’est apparemment le téléchargement effectif qui “marque” l’appli comme “unsafe”, et ça doit faire ça parce que ça passe par les APIs Apple. Donc si c’est ça, un navigateur qui ferait tous ses téléchargements en appelant curl ou wget zapperait toutes les protections…
Et la protection est toute bête en plus: c’est un attribut sur le fichier qui s’appelle com.apple.quarantine qui déclenche tout le bousin: vérification de la signature, “translocation” si l’appli est considérée comme “unsafe”, etc… Donc si tu ne veux plus jamais avoir de pb, un petit “xattr -dr com.apple.quarantine Appli.app” dans un terminal sur toutes les applis que tu télécharges et tu fais ce que tu veux après.
#3.5
Oui je savais pour l’attribut, il est mis lorsqu’il y a téléchargement par un navigateur qui respecte les “voeux” d’Apple.
C’est vraiment de la bidouille leur machin.
Mais l’état actuel de cette “techno” ne me dérange pas plus que ça, ça permet à des utilisateurs avancés de continuer de faire ce qu’ils veulent et ça fait peur à Mamie Yvonne qui télécharge n’importe quoi sur Internet.
Le coté dérangeant c’est qu’Apple s’en sert pour faire croire que leur système est super sécurisé, ce qui est faux.
#3.6
tu n’as pas le droit de faire un navigateur qui n’est pas basé sur la sous couche de safari me semble.
#3.7
Cette restriction n’existe pas sur Mac mais sur iPhone et iPad.
#4
Téléverser n’est pas officiellement accepté en france, au québec oui 🙂. À mon grand regret d’ailleurs car je trouve que le mot est pourtant très parlant. Télécharger/Téléverser – Download/Upload. Je ne sais pas pourquoi l’académie ne l’accepte pas 🤷♂️
#5
Et pour compléter, la notarisation n’est pas la panacée loin de là. Il y a plein de façons simples de la contourner pour qui sait ce qui active ou non la mécanique en question.
#6
J’approuve.
#7
Tout n’a pas été traduit: il reste App Store, Apple, malware, Motherboard :)
D’ailleurs, le terme payload est tellement nul en anglais que même s’il sonne mal, le terme français est bien meilleur. bug/bogue est nul dans les deux langues.
Bon, on voit que Apple a le vent en poupe: ils passent de nouveau à la casserole sur les pb de sécurité…
#8
En fait tu fais déjà tout ce que tu veux en suivant les instructions de contournement qui sont indiquées à même la popup. La notarisation n’est pas là pour empêcher les utilisateurs de lancer ce qu’ils veulent, elle permet simplement à Apple d’avoir la possibilité de bloquer une appli malveillante à postériori. Le choix final reste celui de l’utilisateur, mais Apple part du principe que le type qui a dl PenicheEnlarger.app via une bannière sur pr0nhub.xxx s’arrêtera à la popup contraignante et n’ira pas modifier les attributs du fichier téléchargé pour le lancer malgré tout.
#9
Ce sont des noms propres. Sauf malware. Et finalement, c’est dommage, je trouve “maliciel” extrêmement mignon
#10
J’ai des collègues qui ne comprennent pas la différence entre calibration (anglicisme), et ajustage et donnent le sens du second au premier. Bien qu’ingénieurs, ils sont à côté de la plaque.
Par contre, je n’ai rien contre les accronymes en anglais dont certains sont déjà intégrés en français comme laser
#10.1
Il y a aussi un certain snobisme parfois, comme utiliser “gentrifier” (un barbarisme issu de l’anglais) au lieu d’“embourgeoisement” par exemple. Mais c’est tellement plus moderne!
#10.2
merci, je me sens moins seul
même si je suis pas forcément d’accord avec tous les termes de l’académie, y’en a qui sont très bons, autant s’en servir
(“digital”, mais quelle horreur quand c’est pour dire “numérique”)
#10.3
Techniquement, si tu veux te la jouer précis, l’ajustage c’est une des 3 possibilités d’action après la 1ere phase de l’etalonnage qui est la comparaison aux étalons.
Donc dire “ajustage” pour calibration c’est ne pas connaître la calibration. Le terme francais correspondant du process de calibration entier c’est “étalonnage”.
Et comme dit plus haut, calibrer ca existe en metrologie (mais effectivement ca ne designe pas l’etalonnage), c’est juste le suffixe -ation qui vient de l’anglais.
#10.4
Je vois que nous partageaons les mêmes définitions de ces mots.
Relis mon message: A aucun moment je ne dit que calibration et ajustage sont équivalents, bien au contraire.
#10.5
Pour que les non initiés puissent comprendre :
source : Wikipédia
#10.6
si je comprend bien, l’étalonnage c’est l’alignement du “0” et du “1” de l’outil de mesure par rapport à un étalon, l’ajustage c’est pour compenser que quand l’outil indique “200”, faut considérer que c’est en fait “198” à cause d’une dérive de l’outil lui même.
très intéressant cette dérive sémantique en partant d’une news apple
#10.8
L’étalonnage, c’est juste la comparaison de la mesure avec un étalon (mon thermomètre affiche 1,2°C alors que l’étalonne donne 0,9°C, et 2,5°C alors que l’étalon 3°C, etc.)
L’ajustage c’est de régler mon thermomètre pour qu’il affiche toujours la même chose que l’étalon.
(l’étalonnage peut inclure ou pas la seconde étape).
Bah euh, si…
étalonnage
ajustage
#10.9
Là où nos avis divergent est ta phrase “(l’étalonnage peut inclure ou pas la seconde étape).”
Cette notion apparait bien sur l’extrait de Wikipedia que tu as posté mais pas dans la définition du VIM dont tu as donné le lien.
Bref, on n’est pas d’accord. Je propose l’arrêt du squat.
#10.10
C’est écrit noir sur blanc dans la définition de l’étalonnage : « NOTE 3 La seule première étape dans la définition est souvent perçue comme étant l’étalonnage. »
#10.11
Sauf que la deuxième étape mentionnée dans la défiinition n’est pas l’ajustage mais la caractérisation de la loi de probabilité de l’erreur pour en déduire l’incertitude de mesure de l’appareil sous test.
C’est ce que font les fabricants d’appareils de mesure pour permettre à leurs clients de calculer les incertitudes de mesures mais que les clients ne refont pas quand ils font vérifier l’étalonnage annuellement.
#10.12
Toujours pas
« puis utilise en une seconde étape cette information pour établir une relation permettant d’obtenir un résultat de mesure à partir d’une indication »
L’incertitude fait partie de la première étape :
« dans une première étape une relation entre les valeurs et les incertitudes de mesure associées »
#10.7
Ce n’est pas du tout ce qui est écrit dans le VIM.
Vous pouvez le trouver en cherchant: JCGM 200:2008. L’information est en page 28.
#11
Dixit RedShader
#12
Personnellement, je trouve ça très bien !
#13
Le calibrage est un type d’ajustage. Donc donner le sens d’ajustage à calibrage n’est pas totalement faux, l’inverse oui
Et le terme calibration n’est un anglicisme que pour le suffixe -ation, pas pour l’usage du terme calibrer, hein ;) (calibrage est tout à fait français)
Dire que des personnes soient à côté de la plaque pour de si petites choses dénote un gros manque de mesure. Mais bon, c’est une des qualités communes aux personnes qui n’acceptent pas d’entendre des termes techniques exprimés en anglais (ou en français pour certains) lorsque l’on parle français.
#14
Seulement d’ajustement
#15
Dans le contexte de cartes électroniques et de valeurs analogique, ce sens-là n’est pas possible et ne peut se rapporter qu’à la comparaison avec un calibre donc une limite. Dans ce contexte, le résultat est une sanction conforme/non conforme.
J’aurais pu en effet dire qu’ils s’en foutent en fait. Ils sont à l’aise avec les mots anglais et ne veulent rien savoir, comme les informaticiens qui ont décrété que 1 kilo fait 1024. C’est juste u’e grosse paresse intellectuelle.
Si tu préfère l’anglais, tu peux te rendre sur des sites anglophones. Tu risque d’y trouver des gens qui ne supporterons pas tes formulations si tu y glisse du Français.