Un malware est de nouveau parvenu à obtenir la notarisation d'Apple. OSX/MacOffers, alias MaxOfferDeal, se cache derrière un installeur pour Flash, ce qui devrait faire sonner mille cloches cramoisies dans la tête des utilisateurs¹. Toutefois, personne n'est parfait et le fait que le logiciel soit notarisé — c'est à dire qu'il puisse s'installer sans les alertes de sécurité de macOS — n'aide pas.

Depuis Mojave, les développeurs doivent obtenir d'Apple un certificat attestant que l'application est passée par la moulinette des outils de diagnostic de sécurité du constructeur. Sans cette signature, macOS prévient que l'app n'est pas sécurisée ; et pour pouvoir l'installer malgré tout, il faut en passer par un clic-droit sur son icône, puis Ouvrir.

Le chercheur Matt Muir a débusqué le malware en fouillant dans des logiciels craqués distribués sur l'internet interlope. Pour obtenir le feu vert d'Apple, le malware a planqué sa charge virale derrière une image JPEG, une technique vieille comme le monde connue sous le nom de stéganographie, ou « art de la dissimulation ». En l'occurrence, l'image en question contenait une archive (l'app malveillante en question) encodée en Base64.

Les outils de diagnostic d'Apple ont été trompés par cette technique de malandrin, c'est ce qui a permis au malware d'obtenir un blanc-seing. Le constructeur a néanmoins retiré son certificat le 12 octobre, ce qui va permettre à macOS de prévenir du danger avant de lancer l'installation du logiciel frauduleux.

Ce n'est malheureusement pas la première fois qu'Apple prend des vessies pour des lanternes. En août déjà, la Pomme s'était fait avoir, et il s'agissait là aussi d'un faux logiciel d'installation pour Flash (lire : macOS : le notaire d'Apple a validé des malwares par erreur).