« Apple n'a pas une culture de la sécurité adéquate »

Stéphane Moussie |

Le Mac a-t-il un problème de sécurité ? On est en droit de se poser la question alors que les découvertes de failles se multiplient et qu'Apple n'y répond pas toujours promptement. Nous avons interrogé deux spécialistes. Vincent Bénony est le développeur de Hopper, un logiciel de rétro-ingénierie largement utilisé par les chercheurs de sécurité sur Mac (lire notre interview sur Hopper). Pedro Vilaça, alias fG!, est un chercheur qui analyse et met à mal la sécurité d'OS X (voir son blog).

Andrew Booth CC BY-ND

MacGeneration : Plusieurs failles de sécurité majeures ont été révélées au cours de ces derniers mois (rootpipe, Thunderstrike, XARA...). Avec toutes ces découvertes, on a l'impression que le Mac est plus vulnérable qu'avant. Est-ce seulement une impression ou est-ce bien le cas ?

Vincent Bénony : Je pense surtout que l’information est beaucoup plus relayée qu’avant, et comme il y a de plus en plus de monde sur Mac, forcément, ça fait plus de bruit…

Les systèmes sont développés en fonction des connaissances du moment, et il est difficile d’anticiper les problèmes. Plus un système sera utilisé, plus il aura de chances d’être étudié par des chercheurs, et plus ils remonteront des problèmes.

En plus, il est difficile de mutualiser avec ce qui se fait pour Windows, car la philosophie des deux OS est très différente. L’architecture de Linux est plus proche de celle d’OS X, mais les pratiques des utilisateurs sont très différentes, et les problématiques de sécurité qui en découlent aussi.

Pedro Vilaça : Les Mac sont aussi vulnérables aujourd'hui que par le passé. La principale différence est qu'il y a maintenant beaucoup plus de ressources consacrées à la recherche sur Mac. Il est donc naturel que plus de vulnérabilités soient trouvées. C'est aussi simple que ça. Si vous consacrez plus d'efforts pour trouver des failles sur un système d'exploitation qui n'a pas autant été scruté que les autres par le passé, il est normal que tôt ou tard vous découvriez plus de vulnérabilités qu'avant.

On peut comparer Apple avec Microsoft. Microsoft a lancé un programme de sécurité global il y a plusieurs années. Cela a un peu amélioré les choses, mais Windows souffre toujours de problèmes de sécurité de toutes sortes. Apple n'a pas de programme de ce genre. On peut donc s'attendre à voir de plus en plus de vulnérabilités.

À côté du nombre grandissant de failles découvertes, on observe qu'Apple ne se montre pas toujours réactive ou efficace quand il faut les corriger. Est-ce qu'Apple prend au sérieux la sécurité du Mac ?

Vincent Bénony : Il ne faut pas perdre de vue qu’Apple vend surtout du matériel, à l’inverse de Microsoft, qui est un éditeur de logiciel avant tout.

La stratégie Apple semble plutôt être « pour avoir du logiciel à jour, il suffit d’acheter le dernier Mac », alors, forcément, dans ces conditions… Bon, c’est un peu caricatural, et un peu moins vrai depuis deux ou trois ans, étant donné que les machines qui étaient distribuées avec OS X 10.7 sont encore compatibles avec les derniers OS X.

Mais ce qui est gênant, en revanche, c’est qu’Apple délaisse les utilisateurs qui restent sur des versions plus anciennes d’OS X. Dans certains cas, l’utilisateur peut ne pas avoir le choix, parce qu’il utilise un logiciel qui n’est plus développé, et qui ne tourne pas sous le dernier OS X. Et c’est malheureusement un cas de figure très fréquent en entreprise. Autant je suis parmi les premiers à installer les mises à jour pour mon matériel personnel (parfois à mes risques et périls, comme le fameux iOS 8.0.1 sur l’iPhone 6 Plus…), autant la machine qui me sert à automatiser la compilation et le déploiement de Hopper n’est jamais mise à jour — à part les mises à jour de sécurité, bien entendu. Dans ce domaine, quand on a un système qui fonctionne, on n’y touche plus.

Pedro Vilaça : C'est une question d'opinion personnelle. Je ne crois pas qu'Apple a une culture de la sécurité adéquate. Il leur manque un programme de sécurité —un qui soit public, au moins. Ils sont trop secrets à propos des vulnérabilités, ils mettent trop longtemps pour publier des correctifs, ils n'ont pas de politique officielle sur la durée de support de leurs produits, et ainsi de suite.

J'ai un profond respect pour les ingénieurs en sécurité d'Apple que j'ai rencontrés. Selon moi, Apple ne manque pas de compétence, mais de culture de la sécurité et de management de problèmes.

Quelles sont les principales menaces sur Mac aujourd'hui ?

Vincent Bénony : Certaines pratiques, comme le fait d’exécuter n’importe quoi, même quand ça provient de sources douteuses. :-)

Quand les failles sont du type « injection de code à distance », Apple réagit en général très vite (par exemple, la faille NTP fin 2014). Mais quand il s’agit de failles qui ne peuvent être exploitées que dans des conditions très particulières, c’est vrai qu’Apple prend tout son temps.

Malgré tout, je pense qu’une personne qui met son système régulièrement à jour et qui se limite à installer des applications provenant de sources fiables (éditeurs connus, Mac App Store, etc.), ne court aucun risque. En tout cas, ni plus ni moins qu’en étant sous Windows.

Pedro Vilaça : Les adwares (des logiciels malveillants qui injectent de la pub, ndr) semblent être la menace la plus répandue actuellement. Les gens installent des logiciels qui sont accompagnés d'adwares. Les ransomwares (qui prennent en otage des données personnelles et demandent une rançon pour les libérer, ndr) ne sont toujours pas un danger alors que j'ai pu récemment créer une preuve de concept avec moins de 300 lignes de code.

Le nombre de menaces réelles est beaucoup plus bas que sur Windows. Mais ça s'explique juste par une question d'échelle : il y a des centaines de millions d'ordinateurs sous Windows contre des dizaines de millions de Mac. Il n'y a pas de raison technique à cela. Le nombre de menaces sur Mac est plus petit simplement parce que la base d'utilisateurs est plus petite. Flashback (un malware qui exploitait une faille dans Java en 2012, ndr) est un bon exemple de l'importance que peuvent avoir des attaques sur Mac (600 000 Mac auraient été touchés).

frankieleon CC BY

El Capitan introduit une nouvelle mesure de sécurité, System Integrity Protection. En quoi consiste-t-elle ?

Vincent Bénony : Le principe est de créer un niveau supplémentaire de privilège d’accès aux fichiers, qui est exclusivement réservé au noyau.

Jusqu’à aujourd’hui, si vous aviez un compte utilisateur avec les droits d’un administrateur (c’est le cas par défaut), vous pouviez faire tout ce que vous vouliez avec tous les fichiers du système, y compris effacer des choses nécessaires au bon fonctionnement de votre ordinateur. Avec OS X 10.11, seul le système pourra modifier certains fichiers.

Il en va de même pour les applications en mémoire : certaines applications pourront être signées par Apple avec un certificat particulier, et il sera alors impossible d’accéder à ses données pendant son exécution. Il y avait déjà un mécanisme dans le genre, seule la mise en œuvre est différente (et elle est surtout réservée à Apple…).

Les autres systèmes (Windows, Linux) disposent-ils d'un système de sécurité similaire ? S'agit-il d'une mesure efficace selon vous ?

Vincent Bénony : Windows possède un système du genre depuis très longtemps. Je pense que c’est vraiment une bonne chose. Dans le cas d’une utilisation normale, il sera quasiment impossible à un utilisateur de faire une mauvaise manipulation qui empêcherait le système de démarrer. Pour les auteurs de malwares, il faudra traverser une couche de protection supplémentaire… c’est toujours ça.

Pedro Vilaça : Il est encore tôt pour évaluer l'effacité de System Integrity Protection parce que la version initiale n'intègre pas toutes les fonctions attendues. Le concept n'est pas mauvais en soi, mais je pense que le dispositif aura plus un effet sur la stabilité du système que sur la sécurité elle-même. La raison est qu'il y a encore beaucoup de failles. Une escalade des privilèges et/ou l'exécution de code au niveau du noyau sont toujours faciles à réaliser. Ça signifie donc qu'il ne sera pas extrêmement difficile de passer outre System Integrity Protection. Pour qu'il soit vraiment efficace, System Integrity Protection demande une amélioration globale de la sécurité, ce qui n'est pas encore le cas.

Qu'est-ce que doit changer Apple pour renforcer la sécurité d'OS X ?

Vincent Bénony : Les choses vont dans le bon sens, c’est une certitude. Maintenant, si Apple pouvait prendre un peu plus en considération le fait que le Mac n’est pas exclusivement utilisé par des particuliers, mais aussi par des professionnels qui ne peuvent pas toujours installer le dernier OS X sorti, ça serait super ! Une sorte de programme LTS (Long Term Support) comme ce qui se fait pour Ubuntu par exemple ?

Pedro Vilaça : Ils essayent d'intégrer de nouvelles fonctions comme System Integrity Protection et ils changent apparemment la manière dont ils auditent le code. Leur communication avec les chercheurs est au fond toujours inexistante. Par exemple, ils ne vous tiennent pas au courant de l'état du bug que vous leur avez soumis, c'est toujours à vous de les relancer.

Je pense que c'est un problème de leur culture d'entreprise, qui est de rester secret à propos de tout. Il faut qu'ils changent cela, qu'ils soient plus ouverts au sujet de la sécurité. Engager des chercheurs et gagner leur confiance sera une stratégie « rentable » à long terme.

avatar sandroazerty | 

Interview très intéressante. Cependant je ne pense pas qu'apple ai le désir de s'adresser directement au professionnel. Mais plutôt de passer par leur partenariat avec IBM pour ça non ? Pour l'utilisateur particulier je trouve que c'est quand même mieux que Windows non ?

avatar demop | 

Ça fait 15 ans que je suis sur Mac et je n'ai jamais eu un seul problème de sécurité.

avatar NestorK | 

@demop

Remarque idiote. Le Mac a été relativement épargné ces 20 dernières années parce qu'il ne représente qu'un infime pourcentage des utilisateurs. Aujourd'hui qu'Apple est davantage dans la lumière et surtout à l'ère du cloud, du trousseau et autres babioles (comme Apple Pay ou Touch ID), il est urgent que Mac OS / iOS se mettent à niveau sur la question car ils vont devenir - si ce n'est pas déjà le cas - une cible de choix.

avatar bonnepoire | 

Ca fait des années qu'on nous sert le même discours et chaque fois les arguments manquent quand il s'agit de citer les déboires en matière de sécurité sur du matériel Apple.

Merci d'avoir participé.

avatar osx94 | 

Ce n'est pas encore arriver donc ça ne peut pas se produire ?

Tape "faille osx" dans un moteur de recherche et vois les articles publié régulièrement sur les découvertes de nouvelles faille.

Alors certes elles ne sont pas toujours utilisé et encore moins sur des attaque de grande envergure mais il ne faut pas les occulté pour autant et prétendre qu'il n'y a pas de problèmes.

"Les arguments manquent quand il s'agit de citer les déboires en matière de sécurité sur du
matériel Apple"

Justement c'est là que les choses ont évolué, il n'y a pas plus de failles qu'avant elles sont juste plus visible car on communique plus dessus.

Mais je dois me faire des idées et les mises à jour de "sécurité" régulière ne sont faites par apple que pour de la figuration...

avatar codeX | 

@NestorK

Il a quand même le droit de faire remarquer qu'il n'a jamais eu de problème de sécurité sans pour autant que l'on prétende que sa remarque est idiote. Par contre, ce qui est d'une imbécillité abyssale c'est de le basher dans même savoir ce qu'il a fait ou pas pour s'affranchir de ces problèmes.

avatar NestorK | 

L'imbécilité abyssale, c'est de penser que ca n'arrivera jamais parce que ce n'est jamais arrivé. C'est tout.

avatar occam | 

@demop
« Ça fait 15 ans que je vole sur Germanwings et je n'ai jamais eu un seul problème de sécurité.»
Un passager au départ du GWI 9525.

C'est exactement le genre de raisonnement qui mène au crash.

avatar expertpack | 

@PINOCU :
Raccourci , donc le mac est sur.
Mais oui bien sur...

avatar misterojd | 

"Les Mac sont aussi vulnérables aujourd'hui que par le passé."

Voilà ce que je retiens de cet article.
Pas de quoi en faire tout un fromage, donc.

avatar osx94 | 

Beau raccourcis.
Un petit effort de plus et tu peut ajouter la phrase suivante :
"La principale différence est qu'il y a maintenant beaucoup plus de ressources consacrées à la recherche sur Mac."

Par recherche on peut tout autant prendre la recherche de faille dans un but de sécurisation comme dans un but de préparation pour une attaque.

avatar misterojd | 

"qu’en n’étant sous Windows."
Joli !

avatar RoboisDesBins (non vérifié) | 

@misterojd

Il y a aussi celle-là "certaines applications pourront être signées par Apple avec un certificat particulier, et il sera alors impossible d’accéder à ses données pendant son exécution"

Cela ne serait pas plutôt "certaines applications pourront être signées par Apple avec un certificat particulier, et il sera alors impossible d’accéder à LEURS données pendant LEUR exécution"

Il y a plein de perles comme cela, impossible de toutes les signaler. Misère
Il faudrait des cours de rattrapage en grammaire/orthographe pour pigiste/journaliste, censés être des "professionnels" de l'expression écrite. C'était le cas avant les années 2000.

avatar bsr43 | 

C'est 100% de ma faute… j'ai répondu un peu trop rapidement à l'email, et j'ai modifié des phrases au dernier moment, sans me relire… désolé :(

avatar RoboisDesBins (non vérifié) | 

@bsr43
N'empêche, le journaliste aurait du tout relire, corriger les fautes et passer un correcteur orthographique digne de ce nom (Antidote par exemple) pour être sûr.
Donc non, ce n'est pas votre faute : vous avez répondu par mail à une interview, mais le journaliste n'a rien vérifié derrière, ce qui est son boulot. Il s'est contenté de faire un simple copier/coller.

avatar Stéphane Moussie | 

@RoboisDesBins : vous croyez vraiment que j'ai fait un simple copier-coller sans relire ? J'ai relu les réponses plusieurs fois (ne serait-ce que parle qu'il a fallu traduire les réponses de Pedro), passé un coup d'Antidote, un autre rédacteur a relu, mais malgré cela on a laissé filé quelques coquilles dans un article de plus de 10 000 signes. Si on pouvait se concentrer sur le sujet de l'article plutôt que sur les coquilles (malheureuses, certes, mais inévitables). On a une fonction spéciale dans l'app pour signaler les fautes, sinon un simple email et on s'en occupe.

avatar RoboisDesBins (non vérifié) | 

@Stéphane Moussie
Hola du calme, il n'y a pas mort d'homme :-)
Du temps de la presse papier, il existait une profession dont le rôle était précisément de vérifier que tout article était imprimé sans aucune faute : Relecteur
Alors je comprends bien que sur le net tout va plus vite et que les relecteurs ont été mis au chômage, mais leur rôle vous revient alors.
Pardonnez moi mais si vous avez fait tout cela et que vous êtes passé à coté de la multitude de fautes de cet article, et bien c'est que vous l'avez mal fait, désolé (qui plus à deux relecteurs.....)

La technique des relecteurs était la suivante : lire le texte sans s'occuper du sens, mais en se concentrant sur chaque lettre de chaque mot. Cela c'était pour l'orthographe
Ensuite relire le texte en s'occupant du sens au contraire, de manière à corriger les fautes d'accord, de grammaire, etc

Je vous crois dans ce que vous dites, mais si vous aviez réellement fait ce que je dis au-dessus, avec en plus un passage d'Antidote (cela m'étonne qu'Antidote n'ait pas signalé la faute d'accord que je signale mais bon...), l'article aurait été exempt de fautes, je vous le garantie.
Je ne suis pas un vieux c.. à cheval sur la grammaire et l'orthographe mais cela me gène venant de représentants de votre profession. Ce que l'on pardonne à quelqu'un qui passe le bac, on ne le pardonne pas à un professionnel de l'écriture.
Je fais exprès de vous citer les fautes dans les commentaires, de manière à vous mettre publiquement en face de vos responsabilités, hors de question de glisser cela sous le tapis en douce. C'est mon privilège de lecteur. Je n'aime pas votre application mobile, ne serait-ce que parce qu'elle ne permet pas de faire un simple "répondre", même si je comprends pourquoi techniquement, mais si pour avoir des articles (par ailleurs intéressants pour la plupart) sans fautes, il faut payer un abonnement (raisonnable, de type 5 euros par mois par exemple), je dis banco ! :-)

avatar NestorK | 

@RoboisDesBins :
Privilège de lecteurs ? Les mettre "publiquement" en face de leurs responsabilités ?

Perso, tout ce que je vois dans tes messages pompeux et puants, c'est un donneur de leçon qui ramène sa science. Privilège de lecteurs, tu m'en voudras pas.

avatar RoboisDesBins (non vérifié) | 

@NestorK
Mais non, je ne t'en veux absolument pas, tu as parfaitement le droit de réagir par rapport à ce que je dis (je sens une réaction épidermique par accumulation progressive de rancoeurs :-)) et de penser ce que tu penses de moi, pas de problèmes :-)
Tellement pas de problème que je connais mes défauts et notamment celui d'avoir un caractère trop entier qui me fait sur réagir à certaines choses que je prends à coeur.
Malgré tout, je pense qu'il faut dire les choses, dés qu'on en a l'occasion, sinon on est dans le politiquement correct de cette époque (le "surtout pas de vagues") et tout est lisse, donc insignifiant.

avatar kril1n | 

@RoboisDesBins :
Ouais bof. T'as l'habitude de chercher la merde dans les com

avatar RoboisDesBins (non vérifié) | 

@kril1n
Oui, je suis protéiforme (comme tous les humains qui ne sont pas monoblocs) et "Yes, I am an immense provocateur" comme disait Léo Ferré (je ne connais pas ton âge donc si tu ne sais pas qui c'est recherche sur le net :-))
J'aime la frite, surtout quand cela mord bien et ici cela mord assez bien, on dirait que j'ai trouvé un banc (de poissons).

avatar occam | 

RoboisDesBins,

Heureux de retrouver un lecteur de MacG connaissant Léo Ferré.

Mais il faut savoir choisir sa cible et son moment; les vôtres sont mal choisis.
Ce dont traite l’article de Stéphane Moussie est trop important, et trop rarement traité à fond. Il ne mérite pas qu’on déraille la discussion.

Je comprends votre irritation quand l’orthographe prend l’eau.
Ayant reçu ma formation typographique à l’époque de la Linotype au plomb, je m’énerve de l’incurie des rédacteurs actuels ayant à leur disposition toute la panoplie de correction numérique.

Cependant, même encoquillé, ce papier vaut par son sujet.
Comme nous disions au temps du marbre:
Les lecteurs attentifs auront corrigé d’eux-mêmes.

Ou, pour citer encore Léo Ferré:
« Yes, yes, boum, bye, tirame la gamba sul tramvaye »

avatar RoboisDesBins (non vérifié) | 

@occam
Entièrement d'accord avec vous, désolé pour cette digression, je me suis laissé emporté par le coté "Il n'y a plus rien" :-) orthographique de cet article, qui est certes noyé dans un océan bien plus important d'autres "Il n'y a plus rien".

avatar feefee | 

@RoboisDesBins :

"comme disait Léo Ferré (je ne connais pas ton âge donc si tu ne sais pas qui c'est recherche sur le net :-))"

Tu radotes , tu l'as déjà faite celle la :-)

avatar stéphane83 | 

@RoboisDesBins :
Sinon y'a "Le Monde" Monsieur Jacques Capelovici...

Pages

CONNEXION UTILISATEUR