Mac OS X : l'insécurité pour rançon du come-back d'Apple
Réputé sûr, présenté comme tel par Apple, « un havre de paix » selon le site de la firme, Mac OS X a simplement profité un temps de l'intérêt limité des cybercriminels pour une plate-forme minoritaire. Une situation qui appartient désormais au passé. Sans qu'Apple admette réellement ce changement d'ère.
Récemment, la division X-Force d’ISS, la branche sécurité d’IBM, a jeté un petit pavé dans la mare : son rapport annuel 2008. Dans celui-ci, Mac OS X n’est mentionné que deux fois, mais en bonne place. Selon ISS, Mac OS X Server et Mac OS X comptent, chacun, pour 14,3 % des vulnérabilités dévoilées en 2008, contre 10,9 % pour le noyau Linux, 7,3 % pour Solaris, 5,5 % pour XP ou encore 5,1 % pour Vista. Et ISS de souligner que Mac OS X, Mac OS X Server, le noyau Linux et Windows XP figurent dans le Top 5 de ce classement depuis 3 ans.
S’exprimant lors de la conférence Black Hat, qui vient de s’achever outre-Atlantique, Vincenzo Iozzo, un étudiant italien, a fait la démonstration d’une vulnérabilité de Mac OS X – annoncée dès le mois de janvier dernier – permettant l’exécution de code malveillant au sein de l’application ou du processus compromis, en l’injectant directement dans la mémoire ; une opération de contournement complet des dispositifs de sécurité du système d’exploitation d’Apple. Mais l’exploitation de cette vulnérabilité nécessite un accès physique à la machine visée. Pour les utilisateurs, voilà qui peut ressembler à une bonne nouvelle. Mais tout le monde ne partage pas cet avis.
Apple à la limite de l’irresponsabilité
Eric Filiol, spécialiste de la cryptologie converti à l’enseignement après 20 ans au service de l’armée, le rappelait récemment, lors d’une intervention au cours des TechDays de Microsoft, à Paris : « tous les environnements capables d’exécution sont potentiellement vulnérables. » Voilà qui est clair : imaginer un OS invulnérable s'apparente à une vue de l’esprit. Eric Filiol va plus loin. Pour lui, « Mac OS X est la plus intéressante des plates-formes pour démontrer les attaques virales. La nature a horreur du vide ; les codes malveillants sous Mac OS X commencent à se multiplier. Mais Apple continue d’évoquer la sécurité pour sa promotion. » Un exercice qu’il juge à la limite de l’irresponsabilité. Et de relever que les cybercriminels font de plus en plus appel à la psychologie de leurs cibles, égarant par exemple des clés USB infectées, volontairement… Un bon moyen de gagner un accès physique à une machine, via son utilisateur.
De fait, récemment, un troyen, OSX.Trojan.iServices.A, s’est propagé via une version pirate de la suite bureautique iWorks d’Apple, un troyen conçu pour enrôler des Mac dans des réseaux de bots. Selon Kaspersky Labs, ce n’est qu’un début : au second semestre 2007, quelques 33 logiciels malveillants pour Mac auraient été identifiés, contre 2 au premier semestre de la même année, et 20 au premier semestre 2008.
Avec une part de marché encore très limitée, Mac OS X peut encore sembler bien protégé. Mais si la progression des machines à la pomme se poursuit, notamment en entreprise, Apple devra peut-être revoir son discours lénifiant sur la sécurité des ses plates-formes.