Le Mac a-t-il un problème de sécurité ? On est en droit de se poser la question alors que les découvertes de failles se multiplient et qu'Apple n'y répond pas toujours promptement. Nous avons interrogé deux spécialistes. Vincent Bénony est le développeur de Hopper, un logiciel de rétro-ingénierie largement utilisé par les chercheurs de sécurité sur Mac (lire notre interview sur Hopper). Pedro Vilaça, alias fG!, est un chercheur qui analyse et met à mal la sécurité d'OS X (voir son blog).
MacGeneration : Plusieurs failles de sécurité majeures ont été révélées au cours de ces derniers mois (rootpipe, Thunderstrike, XARA...). Avec toutes ces découvertes, on a l'impression que le Mac est plus vulnérable qu'avant. Est-ce seulement une impression ou est-ce bien le cas ?
Vincent Bénony : Je pense surtout que l’information est beaucoup plus relayée qu’avant, et comme il y a de plus en plus de monde sur Mac, forcément, ça fait plus de bruit…
Les systèmes sont développés en fonction des connaissances du moment, et il est difficile d’anticiper les problèmes. Plus un système sera utilisé, plus il aura de chances d’être étudié par des chercheurs, et plus ils remonteront des problèmes.
En plus, il est difficile de mutualiser avec ce qui se fait pour Windows, car la philosophie des deux OS est très différente. L’architecture de Linux est plus proche de celle d’OS X, mais les pratiques des utilisateurs sont très différentes, et les problématiques de sécurité qui en découlent aussi.
Pedro Vilaça : Les Mac sont aussi vulnérables aujourd'hui que par le passé. La principale différence est qu'il y a maintenant beaucoup plus de ressources consacrées à la recherche sur Mac. Il est donc naturel que plus de vulnérabilités soient trouvées. C'est aussi simple que ça. Si vous consacrez plus d'efforts pour trouver des failles sur un système d'exploitation qui n'a pas autant été scruté que les autres par le passé, il est normal que tôt ou tard vous découvriez plus de vulnérabilités qu'avant.
On peut comparer Apple avec Microsoft. Microsoft a lancé un programme de sécurité global il y a plusieurs années. Cela a un peu amélioré les choses, mais Windows souffre toujours de problèmes de sécurité de toutes sortes. Apple n'a pas de programme de ce genre. On peut donc s'attendre à voir de plus en plus de vulnérabilités.
À côté du nombre grandissant de failles découvertes, on observe qu'Apple ne se montre pas toujours réactive ou efficace quand il faut les corriger. Est-ce qu'Apple prend au sérieux la sécurité du Mac ?
Vincent Bénony : Il ne faut pas perdre de vue qu’Apple vend surtout du matériel, à l’inverse de Microsoft, qui est un éditeur de logiciel avant tout.
La stratégie Apple semble plutôt être « pour avoir du logiciel à jour, il suffit d’acheter le dernier Mac », alors, forcément, dans ces conditions… Bon, c’est un peu caricatural, et un peu moins vrai depuis deux ou trois ans, étant donné que les machines qui étaient distribuées avec OS X 10.7 sont encore compatibles avec les derniers OS X.
Mais ce qui est gênant, en revanche, c’est qu’Apple délaisse les utilisateurs qui restent sur des versions plus anciennes d’OS X. Dans certains cas, l’utilisateur peut ne pas avoir le choix, parce qu’il utilise un logiciel qui n’est plus développé, et qui ne tourne pas sous le dernier OS X. Et c’est malheureusement un cas de figure très fréquent en entreprise. Autant je suis parmi les premiers à installer les mises à jour pour mon matériel personnel (parfois à mes risques et périls, comme le fameux iOS 8.0.1 sur l’iPhone 6 Plus…), autant la machine qui me sert à automatiser la compilation et le déploiement de Hopper n’est jamais mise à jour — à part les mises à jour de sécurité, bien entendu. Dans ce domaine, quand on a un système qui fonctionne, on n’y touche plus.
Pedro Vilaça : C'est une question d'opinion personnelle. Je ne crois pas qu'Apple a une culture de la sécurité adéquate. Il leur manque un programme de sécurité —un qui soit public, au moins. Ils sont trop secrets à propos des vulnérabilités, ils mettent trop longtemps pour publier des correctifs, ils n'ont pas de politique officielle sur la durée de support de leurs produits, et ainsi de suite.
J'ai un profond respect pour les ingénieurs en sécurité d'Apple que j'ai rencontrés. Selon moi, Apple ne manque pas de compétence, mais de culture de la sécurité et de management de problèmes.
Quelles sont les principales menaces sur Mac aujourd'hui ?
Vincent Bénony : Certaines pratiques, comme le fait d’exécuter n’importe quoi, même quand ça provient de sources douteuses. :-)
Quand les failles sont du type « injection de code à distance », Apple réagit en général très vite (par exemple, la faille NTP fin 2014). Mais quand il s’agit de failles qui ne peuvent être exploitées que dans des conditions très particulières, c’est vrai qu’Apple prend tout son temps.
Malgré tout, je pense qu’une personne qui met son système régulièrement à jour et qui se limite à installer des applications provenant de sources fiables (éditeurs connus, Mac App Store, etc.), ne court aucun risque. En tout cas, ni plus ni moins qu’en étant sous Windows.
Pedro Vilaça : Les adwares (des logiciels malveillants qui injectent de la pub, ndr) semblent être la menace la plus répandue actuellement. Les gens installent des logiciels qui sont accompagnés d'adwares. Les ransomwares (qui prennent en otage des données personnelles et demandent une rançon pour les libérer, ndr) ne sont toujours pas un danger alors que j'ai pu récemment créer une preuve de concept avec moins de 300 lignes de code.
Le nombre de menaces réelles est beaucoup plus bas que sur Windows. Mais ça s'explique juste par une question d'échelle : il y a des centaines de millions d'ordinateurs sous Windows contre des dizaines de millions de Mac. Il n'y a pas de raison technique à cela. Le nombre de menaces sur Mac est plus petit simplement parce que la base d'utilisateurs est plus petite. Flashback (un malware qui exploitait une faille dans Java en 2012, ndr) est un bon exemple de l'importance que peuvent avoir des attaques sur Mac (600 000 Mac auraient été touchés).
El Capitan introduit une nouvelle mesure de sécurité, System Integrity Protection. En quoi consiste-t-elle ?
Vincent Bénony : Le principe est de créer un niveau supplémentaire de privilège d’accès aux fichiers, qui est exclusivement réservé au noyau.
Jusqu’à aujourd’hui, si vous aviez un compte utilisateur avec les droits d’un administrateur (c’est le cas par défaut), vous pouviez faire tout ce que vous vouliez avec tous les fichiers du système, y compris effacer des choses nécessaires au bon fonctionnement de votre ordinateur. Avec OS X 10.11, seul le système pourra modifier certains fichiers.
Il en va de même pour les applications en mémoire : certaines applications pourront être signées par Apple avec un certificat particulier, et il sera alors impossible d’accéder à ses données pendant son exécution. Il y avait déjà un mécanisme dans le genre, seule la mise en œuvre est différente (et elle est surtout réservée à Apple…).
Les autres systèmes (Windows, Linux) disposent-ils d'un système de sécurité similaire ? S'agit-il d'une mesure efficace selon vous ?
Vincent Bénony : Windows possède un système du genre depuis très longtemps. Je pense que c’est vraiment une bonne chose. Dans le cas d’une utilisation normale, il sera quasiment impossible à un utilisateur de faire une mauvaise manipulation qui empêcherait le système de démarrer. Pour les auteurs de malwares, il faudra traverser une couche de protection supplémentaire… c’est toujours ça.
Pedro Vilaça : Il est encore tôt pour évaluer l'effacité de System Integrity Protection parce que la version initiale n'intègre pas toutes les fonctions attendues. Le concept n'est pas mauvais en soi, mais je pense que le dispositif aura plus un effet sur la stabilité du système que sur la sécurité elle-même. La raison est qu'il y a encore beaucoup de failles. Une escalade des privilèges et/ou l'exécution de code au niveau du noyau sont toujours faciles à réaliser. Ça signifie donc qu'il ne sera pas extrêmement difficile de passer outre System Integrity Protection. Pour qu'il soit vraiment efficace, System Integrity Protection demande une amélioration globale de la sécurité, ce qui n'est pas encore le cas.
Qu'est-ce que doit changer Apple pour renforcer la sécurité d'OS X ?
Vincent Bénony : Les choses vont dans le bon sens, c’est une certitude. Maintenant, si Apple pouvait prendre un peu plus en considération le fait que le Mac n’est pas exclusivement utilisé par des particuliers, mais aussi par des professionnels qui ne peuvent pas toujours installer le dernier OS X sorti, ça serait super ! Une sorte de programme LTS (Long Term Support) comme ce qui se fait pour Ubuntu par exemple ?
Pedro Vilaça : Ils essayent d'intégrer de nouvelles fonctions comme System Integrity Protection et ils changent apparemment la manière dont ils auditent le code. Leur communication avec les chercheurs est au fond toujours inexistante. Par exemple, ils ne vous tiennent pas au courant de l'état du bug que vous leur avez soumis, c'est toujours à vous de les relancer.
Je pense que c'est un problème de leur culture d'entreprise, qui est de rester secret à propos de tout. Il faut qu'ils changent cela, qu'ils soient plus ouverts au sujet de la sécurité. Engager des chercheurs et gagner leur confiance sera une stratégie « rentable » à long terme.