Mac OS loin d'être épargné par les failles de sécurité
Le système d'exploitation fétiche d'Apple en prend pour son grade depuis quelques semaines. Programmes malveillants, logiciels espions et mémoire virtuelle peu protégée égratignent son capital sécurité.
Juin n'a pas été un bon mois pour Apple. Une pluie de mauvaises nouvelles s'est en effet abattue sur différentes versions - dont la plus récente 10.6..4 - du système d'exploitation Mac OS.
Bénéficiant depuis de nombreuses années d'une certaine aura en termes de sécurité par rapport à ses homologues Windows (qui s'explique en grande partie par le fait que les pirates préfèrent cibler un OS largement plus répandu pour envisager des gains beaucoup plus conséquents), Mac OS a sérieusement perdu de sa superbe ces dernières semaines.
Si Apple ne crie jamais sur tous les toits qu'il pratique des mises à jour de sécurité régulières pour ses systèmes d'exploitation maison, on peut tout d'abord légitimement s'interroger sur l'absence de communication publique autour de la mise à disposition en début de semaine d'un correctif, pourtant critique.
Pointée du doigt par l'éditeur de sécurité Sophos, cette mise à jour pour Mac OS X 10.6.4 apporte en effet une protection (via un fichier de signatures élémentaires de menaces baptisé XProtect.list) contre le cheval de Troie OSX/Pinhead-B. Une menace dont le niveau de risque est comparable à celui que l'on trouve habituellement sur PC. A savoir la possibilité pour un utilisateur malintentionné de prendre le contrôle du poste à distance, de s'emparer de données d'identification ou encore de se servir du système pour diffuser du spam.
Mac OS souffrirait de plusieurs lacunes en termes de mécanismes de sécurisation
Un peu plus tôt dans le mois, c'est un autre éditeur de sécurité (Intego) qui a pris l'initiative d'alerter les utilisateurs de systèmes d'exploitation Mac après avoir découvert un logiciel espion circulant sur de nombreux sites de téléchargement de logiciels dont Softpedia, MacUpdate et VersionTracker. Une nouvelle qui n'a d'ailleurs pas manqué de faire réagir plusieurs acteurs spécialisés.
Le fondateur du cabinet de conseil en sécurité SSP Blue, n'a par exemple pas manqué de mettre à mal la croyance commune d'une meilleure sécurisation de l'environnement Mac : "croire que les systèmes Apple épargnent davantage les utilisateurs contre les virus est une aberration et ne peut constituer qu'une occasion pour les pirates de commencer à prouver le contraire", a fait savoir à CNN, Hemanshu Nigam.
Tout comme Marc Maiffret, ancienne pointure du piratage aujourd'hui reconverti en consultant sécurité à son propre compte, interrogé par Cnet : "Ils [Apple] essaient de se vendre comme plus sûrs que le PC, parce qu'ils n'ont pas à se soucier des virus, mais chaque fois qu'il y a un concours de piratage, en quelques heures quelqu'un trouve une nouvelle vulnérabilité Apple".
Pour être efficaces, les mécanismes de protection ASLT et DEP doivent être combinés
Moins exposé au risque de piratage en raison de la faiblesse de sa part de marché par rapport à Windows (10% contre 90%), le système d'exploitation Mac OS souffrirait également de plusieurs lacunes en termes de mécanismes de sécurisation comparé à Windows.
Ainsi, alors que Windows 7 incorpore le mécanisme ASLR (Address Space Layout Randomization) pour tenter d'empêcher les pirates d'accéder à des adresses mémoire connues, ce n'est pas le cas de Mac OS, au grand dam de Charles Miller éminent chercheur en sécurité chez Independant Security Evaluators.
Pour autant, Apple ne reste pas les bras croisés. Ainsi, il a tout de même pris la peine de procéder à des améliorations en termes de dispositifs de sécurité DEP (Data Execution Prevention), également présents dans Windows 7, pour limiter l'exécution de codes malveillants en mémoire. Une intention louable mais sans doute pas suffisante
"Si vous incluez ASLR et DEP dans un système d'exploitation, il sera très difficile pour les hackers d'y opérer. Par contre, si vous n'en avez qu'un seul sur les deux, des bugs seront exploitables", a eu l'occasion d'indiquer Charles Millersur sur son site Web.