Apple vient de corriger une faille critique dans Gatekeeper, un des logiciels qui protègent les Mac contre les malwares. Pendant près de 2 mois, le gang Shlayer a exploité la vulnérabilité de sorte que son logiciel malveillant se déployait après un simple double clic de la victime.

Un simple double clic sur le mauvais fichier, et le malware Shlayer pouvait s’installer sur le Mac de sa victime. Une fois sur l’appareil, ce redoutable logiciel malveillant permet de surveiller et de modifier l’activité de l’utilisateur sur Internet : il permet par exemple de dérober des identifiants ou d’espionner des conversations. Découvert en 2018, Shlayer est aussi connu pour servir de porte d’entrée à d’autres programmes, comme les adwares, des programmes qui génèrent des revenus grâce à des publicités invasives et non désirées. Ces malwares sont gênants, mais relativement inoffensifs. Désormais, les chercheurs craignent qu’il ouvre la porte à des logiciels bien plus virulents, comme les rançongiciels.

Les Mac sont aussi confrontés aux malwares épisode 3430. // Source : Julien Cadot pour Numerama

Il n’est pas courant que des malwares puissent se déployer avec un simple double clic sur les ordinateurs d’Apple. Ces derniers ont construit une partie de leur réputation autour des logiciels de sécurité intégrés de base à macOS .En principe, macOS ne laisse passer que les applications dont les fichiers affichent une certification Apple, et celles qu’elle a déjà sont passées dans ses modules de vérification à la recherche de malware connu. Concrètement, Apple tient à jour une sorte de liste blanche, et si l’utilisateur télécharge un programme qui n’en fait pas partie, il en sera averti pour qu’il soit conscient de sa prise de risque.

En conséquence, tant que l’utilisateur n’a pas validé le téléchargement de l’app manuellement, elle ne pourra pas s’exécuter. Cette protection complique grandement le travail des malfrats ; non seulement ils doivent convaincre leurs victimes de télécharger le malware, mais ils doivent aussi les convaincre d’ignorer les alertes de macOS.

Une faille exploitée pendant près de deux mois

Mais Shlayer — pour la deuxième fois en deux ans — est parvenu à contourner ce système de vérification. D’après l’équipe de recherche de Jamf, les développeurs du malware ont trouvé une faille sur Gatekeeper début mars 2021. Cet outil de macOS joue un rôle crucial dans la vérification et le blocage des apps inconnues que nous venons de décrire, et la faille permettait aux malfrats de le tromper. Heureusement, le chercheur Cedric Owens a lui aussi trouvé la faille à la même période.

Il a sollicité Patrick Wardle, un des chercheurs les plus réputés sur macOS, pour corroborer ses recherches, puis ils les a présentées à Apple. Résultat : la vulnérabilité a été corrigée par l’éditeur dans la mise à jour 11.3 de macOS Big Sur, publiée ce lundi 26 avril. Les malfaiteurs ont donc pu l’exploiter pendant près de 2 mois, mais tous les Mac qui ont reçu la mise à jour sont désormais protégés.

Shlayer, ennemi numéro 1 de macOS ?

Comme l’explique très bien Techcrunch, le bug découvert par Owens consiste piéger Gatekeeper en lui présentant une app construite de façon inhabituelle. Il faut savoir que les apps macOS se présentent sous la forme d’un ensemble de fichiers, organisés d’une certaine manière. L’un d’entre eux va inclure une « liste de propriétés » qui va indiquer à macOS où trouver tel ou tel fichier de l’application.

Owens a découvert que s’il éjectait ce fichier et qu’il organisait les autres d’une certaine manière, Gatekeeper considère l’ensemble comme vérifié par Apple. En conséquence, macOS commençait à exécuter le code sans déclencher ses mécanismes de vérification.

Shlayer devient de plus en plus dangereux

Avec cette nouvelle prouesse, Shlayer se positionne plus que jamais comme le malware de référence sur macOS. Kaspersky avait déjà relevé sur l’année 2019 que ce logiciel malveillant se cachait derrière un dixième des détections de malwares sur Mac. Historiquement, Shlayer se faisait passer pour Flash Player pour piéger ses victimes. Désormais, il se diffuse dans de fausses publicités sur des sites compromis, ou en se plaçant sur des pages affichées en tête de certaines requêtes sur les moteurs de recherches.

Non seulement Shlayer a un large faisceau de diffusion, mais en plus, ses créateurs sont capables de découvrir régulièrement de nouvelles failles dans les produits d’Apple. On a donc affaire à un groupe de cybercriminels avancé, qui cherche à viser le plus grand nombre. Il ne manque plus qu’il s’associe avec d’autres gangs célèbres pour qu’il devienne un problème plus qu’épineux.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux