Les entreprises “sous Mac” se sont longtemps considérées à l’abri de tout danger. Or, des cyberpirates ont déjà réussi à percer les remparts de ces ordinateurs supposés être inviolables. Que doit-on craindre ?
Maintenant que 91 % des entreprises utilisent des ordinateurs Mac, les cyberattaques ciblent de plus en plus les appareils de la marque. Le succès des attaques telles que KeRanger, XAgent, MacOSDynamic, Linker Exploitation et l’IoS Trifecta démontre que les terminaux Mac, autrefois estimés intouchables, sont aujourd’hui vulnérables à différents types de logiciels et programmes malveillants. À cet égard, l’équipe de renseignement sur les menaces de l’unité 42 de Palo Alto Networks a observé une augmentation constante du volume des menaces pesant sur le système d’exploitation MacOS.
De quel ordre sont ces menaces ?
Nos recherches ont permis d’identifier quatre catégories de menace. À commencer par les programmes potentiellement indésirables et malveillants (PPI), les chevaux de Troie et portes dérobées tels qu’OSX/Dok ou Kumar in the Mac (KitM), aussi connu sous le nom de HackBack. Comptons également les menaces ciblées comme OceanLotus, Sofacy X-Agent ou MacDownloader ou encore les outils de piratage tels que PowershellEmpireOSX.
Concrètement, comment fonctionnent ces malwares ?
Les mécanismes d’infection des points d’extrémité Mac les plus répandus, le hameçonnage et autres courriels, puisent dans les techniques d’ingénierie sociale. Ces courriels contiennent des fichiers zippés et amènent l’utilisateur à installer de fausses applications ayant l’air d’émaner de développeurs Apple légitimes. D’autres intrusions sont menées à l’aide de prétendus logiciels antivirus et d’attaques malveillantes sous le langage de développement d’applications Python.
Comment expliquez-vous que les dispositifs de sécurité déjà établis sur les Mac soient désormais insuffisants ?
Gatekeeper, le dispositif de sécurité intégré au système d’exploitation MacOS est l’une des solutions permettant de contrer ces menaces. Gatekeeper vérifie, avant que les applications téléchargées ne puissent être lancées, qu’elles ont bien été validées ou publiées par un développeur pré-approuvé. Mais la logique de cette approche présente des faiblesses et des vulnérabilités qui peuvent être exploitées car Gatekeeper ne vérifie la signature numérique des applications qu’immédiatement après la phase d’exécution, permettant aux cybercriminels d’exécuter d’autres processus. Autre solution : l’utilisation de produits antivirus tiers. Cependant, les difficultés et points faibles déjà connus des antivirus en matière de protection des terminaux Windows, c’est à dire une trop grande dépendance sur une comparaison une à une des signatures, des mises à jour en continu, une capacité limitée à la détection des menaces connues et l’impossibilité de faire obstacle aux attaques de type «zero-day », s’appliquent aussi aux équipements Mac.
Face à ces lacunes, que conseillez-vous ?
De nos jours, les menaces prennent différentes formes et proviennent de sources diverses. La protection des terminaux doit donc reposer sur des méthodes multiples pour une prévention optimale. Les programmes malveillants doivent être identifiés et bloqués instantanément s’ils sont déjà connus ou rapidement et en temps réel avant que l’infection ne se propage au système s’ils sont encore méconnus. Pour ce faire, il est essentiel d’enrichir les capacités de prévention intégrées aux appareils Mac ainsi que Gatekeeper en autorisant l’exécution des programmes uniquement en fonction de la vérification de leurs signatures. Les assaillants emploient des programmes qui profitent des failles d’un système. Bien souvent, ces points faibles n’ont pas encore été découverts ou corrigés. Ces programmes, même si leurs rangs et types grossissent en permanence, utilisent généralement le même attirail de techniques bien connues, telle que la corruption de mémoire, les erreurs de logique et l’élévation des privilèges. En concentrant les efforts de prévention sur ces techniques de base, la publication immédiate de correctifs d’urgence devient moins nécessaire et les menaces de programmes « zero-day » sont réduites.
Méthode multiple de prévention, correctifs d’urgence… quel est le meilleur moyen de mettre en place ces solutions ?
La mise en place de multiples strates de protection à chaque phase critique du cycle de vie des attaques permet de prévenir les maliciels comme les programmes malveillants. Cette approche est d’autant plus efficace si elle s’ajoute à une plate-forme qui intègre des capacités de renseignement sur les menaces et assure la protection transversale de silos incompatibles. Les terminaux Mac sont ainsi efficacement protégées des logiciels et programmes malveillants.
Propos recueillis par Ségolène Kahn
Commentez