« Apple n'a pas une culture de la sécurité adéquate »
Le Mac a-t-il un problème de sécurité ? On est en droit de se poser la question alors que les découvertes de failles se multiplient et qu'Apple n'y répond pas toujours promptement. Nous avons interrogé deux spécialistes. Vincent Bénony est le développeur de Hopper, un logiciel de rétro-ingénierie largement utilisé par les chercheurs de sécurité sur Mac (lire notre interview sur Hopper). Pedro Vilaça, alias fG!, est un chercheur qui analyse et met à mal la sécurité d'OS X (voir son blog).
MacGeneration : Plusieurs failles de sécurité majeures ont été révélées au cours de ces derniers mois (rootpipe, Thunderstrike, XARA...). Avec toutes ces découvertes, on a l'impression que le Mac est plus vulnérable qu'avant. Est-ce seulement une impression ou est-ce bien le cas ?
Vincent Bénony : Je pense surtout que l’information est beaucoup plus relayée qu’avant, et comme il y a de plus en plus de monde sur Mac, forcément, ça fait plus de bruit…
Les systèmes sont développés en fonction des connaissances du moment, et il est difficile d’anticiper les problèmes. Plus un système sera utilisé, plus il aura de chances d’être étudié par des chercheurs, et plus ils remonteront des problèmes.
En plus, il est difficile de mutualiser avec ce qui se fait pour Windows, car la philosophie des deux OS est très différente. L’architecture de Linux est plus proche de celle d’OS X, mais les pratiques des utilisateurs sont très différentes, et les problématiques de sécurité qui en découlent aussi.
Pedro Vilaça : Les Mac sont aussi vulnérables aujourd'hui que par le passé. La principale différence est qu'il y a maintenant beaucoup plus de ressources consacrées à la recherche sur Mac. Il est donc naturel que plus de vulnérabilités soient trouvées. C'est aussi simple que ça. Si vous consacrez plus d'efforts pour trouver des failles sur un système d'exploitation qui n'a pas autant été scruté que les autres par le passé, il est normal que tôt ou tard vous découvriez plus de vulnérabilités qu'avant.
On peut comparer Apple avec Microsoft. Microsoft a lancé un programme de sécurité global il y a plusieurs années. Cela a un peu amélioré les choses, mais Windows souffre toujours de problèmes de sécurité de toutes sortes. Apple n'a pas de programme de ce genre. On peut donc s'attendre à voir de plus en plus de vulnérabilités.
À côté du nombre grandissant de failles découvertes, on observe qu'Apple ne se montre pas toujours réactive ou efficace quand il faut les corriger. Est-ce qu'Apple prend au sérieux la sécurité du Mac ?
Vincent Bénony : Il ne faut pas perdre de vue qu’Apple vend surtout du matériel, à l’inverse de Microsoft, qui est un éditeur de logiciel avant tout.
La stratégie Apple semble plutôt être « pour avoir du logiciel à jour, il suffit d’acheter le dernier Mac », alors, forcément, dans ces conditions… Bon, c’est un peu caricatural, et un peu moins vrai depuis deux ou trois ans, étant donné que les machines qui étaient distribuées avec OS X 10.7 sont encore compatibles avec les derniers OS X.
Mais ce qui est gênant, en revanche, c’est qu’Apple délaisse les utilisateurs qui restent sur des versions plus anciennes d’OS X. Dans certains cas, l’utilisateur peut ne pas avoir le choix, parce qu’il utilise un logiciel qui n’est plus développé, et qui ne tourne pas sous le dernier OS X. Et c’est malheureusement un cas de figure très fréquent en entreprise. Autant je suis parmi les premiers à installer les mises à jour pour mon matériel personnel (parfois à mes risques et périls, comme le fameux iOS 8.0.1 sur l’iPhone 6 Plus…), autant la machine qui me sert à automatiser la compilation et le déploiement de Hopper n’est jamais mise à jour — à part les mises à jour de sécurité, bien entendu. Dans ce domaine, quand on a un système qui fonctionne, on n’y touche plus.
Pedro Vilaça : C'est une question d'opinion personnelle. Je ne crois pas qu'Apple a une culture de la sécurité adéquate. Il leur manque un programme de sécurité —un qui soit public, au moins. Ils sont trop secrets à propos des vulnérabilités, ils mettent trop longtemps pour publier des correctifs, ils n'ont pas de politique officielle sur la durée de support de leurs produits, et ainsi de suite.
J'ai un profond respect pour les ingénieurs en sécurité d'Apple que j'ai rencontrés. Selon moi, Apple ne manque pas de compétence, mais de culture de la sécurité et de management de problèmes.
Quelles sont les principales menaces sur Mac aujourd'hui ?
Vincent Bénony : Certaines pratiques, comme le fait d’exécuter n’importe quoi, même quand ça provient de sources douteuses. :-)
Quand les failles sont du type « injection de code à distance », Apple réagit en général très vite (par exemple, la faille NTP fin 2014). Mais quand il s’agit de failles qui ne peuvent être exploitées que dans des conditions très particulières, c’est vrai qu’Apple prend tout son temps.
Malgré tout, je pense qu’une personne qui met son système régulièrement à jour et qui se limite à installer des applications provenant de sources fiables (éditeurs connus, Mac App Store, etc.), ne court aucun risque. En tout cas, ni plus ni moins qu’en étant sous Windows.
Pedro Vilaça : Les adwares (des logiciels malveillants qui injectent de la pub, ndr) semblent être la menace la plus répandue actuellement. Les gens installent des logiciels qui sont accompagnés d'adwares. Les ransomwares (qui prennent en otage des données personnelles et demandent une rançon pour les libérer, ndr) ne sont toujours pas un danger alors que j'ai pu récemment créer une preuve de concept avec moins de 300 lignes de code.
Le nombre de menaces réelles est beaucoup plus bas que sur Windows. Mais ça s'explique juste par une question d'échelle : il y a des centaines de millions d'ordinateurs sous Windows contre des dizaines de millions de Mac. Il n'y a pas de raison technique à cela. Le nombre de menaces sur Mac est plus petit simplement parce que la base d'utilisateurs est plus petite. Flashback (un malware qui exploitait une faille dans Java en 2012, ndr) est un bon exemple de l'importance que peuvent avoir des attaques sur Mac (600 000 Mac auraient été touchés).
El Capitan introduit une nouvelle mesure de sécurité, System Integrity Protection. En quoi consiste-t-elle ?
Vincent Bénony : Le principe est de créer un niveau supplémentaire de privilège d’accès aux fichiers, qui est exclusivement réservé au noyau.
Jusqu’à aujourd’hui, si vous aviez un compte utilisateur avec les droits d’un administrateur (c’est le cas par défaut), vous pouviez faire tout ce que vous vouliez avec tous les fichiers du système, y compris effacer des choses nécessaires au bon fonctionnement de votre ordinateur. Avec OS X 10.11, seul le système pourra modifier certains fichiers.
Il en va de même pour les applications en mémoire : certaines applications pourront être signées par Apple avec un certificat particulier, et il sera alors impossible d’accéder à ses données pendant son exécution. Il y avait déjà un mécanisme dans le genre, seule la mise en œuvre est différente (et elle est surtout réservée à Apple…).
Les autres systèmes (Windows, Linux) disposent-ils d'un système de sécurité similaire ? S'agit-il d'une mesure efficace selon vous ?
Vincent Bénony : Windows possède un système du genre depuis très longtemps. Je pense que c’est vraiment une bonne chose. Dans le cas d’une utilisation normale, il sera quasiment impossible à un utilisateur de faire une mauvaise manipulation qui empêcherait le système de démarrer. Pour les auteurs de malwares, il faudra traverser une couche de protection supplémentaire… c’est toujours ça.
Pedro Vilaça : Il est encore tôt pour évaluer l'effacité de System Integrity Protection parce que la version initiale n'intègre pas toutes les fonctions attendues. Le concept n'est pas mauvais en soi, mais je pense que le dispositif aura plus un effet sur la stabilité du système que sur la sécurité elle-même. La raison est qu'il y a encore beaucoup de failles. Une escalade des privilèges et/ou l'exécution de code au niveau du noyau sont toujours faciles à réaliser. Ça signifie donc qu'il ne sera pas extrêmement difficile de passer outre System Integrity Protection. Pour qu'il soit vraiment efficace, System Integrity Protection demande une amélioration globale de la sécurité, ce qui n'est pas encore le cas.
Qu'est-ce que doit changer Apple pour renforcer la sécurité d'OS X ?
Vincent Bénony : Les choses vont dans le bon sens, c’est une certitude. Maintenant, si Apple pouvait prendre un peu plus en considération le fait que le Mac n’est pas exclusivement utilisé par des particuliers, mais aussi par des professionnels qui ne peuvent pas toujours installer le dernier OS X sorti, ça serait super ! Une sorte de programme LTS (Long Term Support) comme ce qui se fait pour Ubuntu par exemple ?
Pedro Vilaça : Ils essayent d'intégrer de nouvelles fonctions comme System Integrity Protection et ils changent apparemment la manière dont ils auditent le code. Leur communication avec les chercheurs est au fond toujours inexistante. Par exemple, ils ne vous tiennent pas au courant de l'état du bug que vous leur avez soumis, c'est toujours à vous de les relancer.
Je pense que c'est un problème de leur culture d'entreprise, qui est de rester secret à propos de tout. Il faut qu'ils changent cela, qu'ils soient plus ouverts au sujet de la sécurité. Engager des chercheurs et gagner leur confiance sera une stratégie « rentable » à long terme.
@Domsware :
Sauf quand justement, la machine fait tourner des logiciels qui ne fonctionnent pas sur les nouvelles version d'OS X… les cas sont nombreux chez les professionnels.
Microsoft sortait des mise à jour de sécurité pour XP il y a encore un an… Apple ne daigne pas sortir certains correctifs de sécurité pour des OS qui datent de 2012…
Oui certains logiciels ne fonctionnent pas sur les nouvelles versions d'iOS : est-ce le fait d'Apple ? Non, plutôt celui des développeurs.
La question à laquelle il faut répondre est la suivante : doit-je sacrifier la sécurité pour pouvoir utiliser ces logiciels ? Si la réponse est non alors il faut en passer soit par une nouvelle machine, soit par des machines virtuelles soit changer de logiciels si possible.
ah, c'est dommage… quelques mots plus loin, je précisais bien que c'était volontairement caricatural ;) Sinon, concernant l'aspect scientifique, je pense que Pedro n'a plus rien à prouver, et pour ma part, je connais assez bien la communauté scientifique depuis mon passage par la case doctorat ;) Ceci étant dit, ce que je raconte reste mon avis… et juste un avis… je ne prétends pas détenir la vérité :)
Faut pas se faire du mal à lire les commentaires de sa propre interview. Les gens ici sont... comment dire... je ne le dirai pas.
Par contre, le titre est racoleur et invite les trolls. Parce que si osx n'est pas plus vulnérable que jadis, pas trop de quoi s'en faire. Surtout quand un certain samsoule d'un autre côté empêche des mise à jour sur un os qui est une véritable passoire en terme de sécurité. Les gens se rassurent comme ils veulent. Je sais que je suis serein avec mes Mac. Je ne peux pas en dire autant de mes clients qui sont sous Windows. S'il n'y avait que des Mac, beaucoup de gens seraient au chômage. La sécurité chez m$ est un business important. Chut...
S'il n'y avait que des Mac, la sécurité chez Apple serait un business important.
En toute logique.
"Après des fadaises, des préjugés." jusqu'ici ok.
"Et ça ce seraient des “chercheurs”. ? Ils ont beaucoup de papiers publiés dans des revues _scientifiques_ ces rigolos ?" heu ... tu ne dénonçais pas justement les préjugés ?
@marc_os :
J'ai tiqué également sur ce point là. Qui remet en doute le témoignage de son auteur.
@Domsware :
Ce ne sont pourtant pas les preuves récentes qui manquent :( (je n'en mets que deux au hasard…)
https://www.macg.co/os-x/2014/12/apple-ne-supporterait-plus-mac-os-x-lion-et-os-x-mountain-lion-85876
https://www.macg.co/os-x/2015/04/la-faille-rootpipe-prend-racine-dans-os-x-y-compris-10103-88463
J'évoquais le point suivant :
“ La stratégie Apple semble plutôt être « pour avoir du logiciel à jour, il suffit d’acheter le dernier Mac »”
@Domsware :
Je précise quand même à la suite que c'est volontairement caricatural :-/ peut-être que la phrase est mal tournée, OK… malgré tout, il n'est pas toujours possible de simplement passer à un autre logiciel, et tout le monde n'est pas technicien, et capable d'utiliser une VM. Moi j'en suis capable, mais un non informaticien ? Et surtout, tous ces logiciels représentent souvent un gros investissement financier, un investissement en formation du personnel, etc. Tout changer à un coup non négligeable !
Et quand il s'agit d'iOS, et de l'achat d'un terminal lié à un abonnement, qui n'était pas forcément le dernier modèle au moment de l'achat ? Un ou deux ans après, le nouvel iOS ne tourne pas dessus, et le terminal ne recevra plus de mise à jour (par contre, j'ai bien conscience que c'est déjà bien mieux que la situation sous Android, où la plupart du temps, les utilisateurs ne reçoivent aucune mise a jour, à part cas particuliers comme les Nexus…) Tout le monde n'a pas les moyens de changer de téléphone tous les ans ! Après, concernant les logiciels qui ne sont pas mis à jour, la faute principale incombe d'abord aux développeurs; mais n'empêche qu'Apple abandonne vite certaines versions de ses OS…
Les mac ne sont de toute façon pas plus sûrs que les PC,c'est simplement que la plateforme est moins populaire que windows,et donc les pirates s'y intéressent moins.tout le blabla de Cooksur la sécurité n'est que du marketing sans fondement.
C'est cela oui. On pourrait extrapoler autrement. Les users Apple sont moins stupides, négligeant et naïfs, ce qui n'est pas une cible idéale pour des gens qui cherchent le parfait pigeon.
CQFD?
" Les adwares (des logiciels malveillants qui injectent de la pub, ndr) semblent être la menace la répandu actuellement."
C'est sur que quand l'utilisateur moyen clique bêtement sur "oui"/"accepter"/"installer"/"suivant"/"suivant"/"suivant"/"mot de passe admin"/"oui je suis sur"/"installer"... sans lire un seul mot de ce qu'il est en train d'accepter d'installer... on peut pas non plus dire que les problèmes viennent tous du Mac ou de Apple. Il y'a encore beaucoup trop de cas où le problème majeur de sécurité est situé entre l'écran et la chaise !
Peut-être que dans ce cas particulier, et contrairement aux us et coutumes de la firme, ils considèrent que l'utilisateur sait ce qu'il fait et qu'il n'est pas nécessaire de le protéger contre lui-même ?
Auquel cas, c'est vrai, l'argument en question qui leur sert à tout fermer, soi-disant pour protéger, ne tient plus vraiment.
Hooper est surtout utilisé par les hackers, je pense...
@0MiguelAnge0 :
Relis l article sur Hopper.
@0MiguelAnge0
"Hooper est surtout utilisé par les hackers, je pense..."
Ta pensée est basée sur la même logique que dire "les billets verts sont surtout utilisés par les criminels et trafiquants de drogue, je pense...". Ce n'est pas parce qu'une minorité utilise un outil d'une certaine façon ou dans certaines circonstances qui veut obligatoirement dire que c'est l'existence de cet outil qui à l'origine de l'existence de ces "minorités".
Oui, en effet pour l'instant, ce sont essentiellement des "hobbyist" qui utilisent Hopper. Malgré tout, je compte de plus en plus de professionnels parmi mes clients. Espérons que ça continue dans ce sens !
Et d'ailleurs, la dernière faille dévoilée, XARA, a été découverte à l'aide de Hopper (cf le PDF mentionnée dans l'article https://www.macg.co/os-x/2015/06/des-failles-de-securite-majeures-au-coeur-dos-x-et-ios-89550)
Et un peu moins à propos, mais en restant dans le ton du sujet :
ClamXav devient payant.Ce que je comprend parfaitement d'ailleurs.
Ne me parlez pas de ce qu'on trouve sur le MacAppStore qui reste en effet gratuit mais qui est aussi, d'une part une version totalement dépassée et dont les définitions de virus et malware ne sont plus à jour depuis... (ça date) , et d'autre part qui n'a jamais autorisé "ClamXav Sentry" qui gère la surveillance en continu. Ce qui par la force des choses ne servait donc pratiquement à rien.
Pour avoir une idée des vulnérabilités vous pouvez faire un test pour chaque OS, ohhhhh surprise !!
http://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-156/cvssscoremin-2/cvssscoremax-2.99/Apple-Mac-Os-X.html
Ca coupe court tout le blabla...
"Les adwares semblent être la menace la répandu actuellement."
Vous vous relisez, des fois ?
Salut
je vous invite à lire l'article "Vie privée" de canard PC hardware , qui nous donne 3 numéros gratuits, ici
http://canardpc.com/topachat/
C'est juste affolant. Ils ont monté une borne wifi sur le parvis de la défense et on récupéré tout ce qu'ils veulent. De même, ils ont acheté d'anciens téléphones ou disque durs HS.
Comme quoi quoi rien n'est vraiment sécurisé et surtout pas en wifi, et dans nos phones.
Vous ne perdrez pas votre temps :p
Le premier malware c'est bien l'utilisateur.. Bref chiffrer vos données sensibles et faites gaffe lors de vos reventes et autres..
@rikki finefleur :
Merci pour le lien.
Il y aurait beaucoup, beaucoup à dire à propos de ce passionnant papier, effectivement. Beaucoup de nos habitudes à changer, de vigilance de à acquérir de notre part et à faire acquérir à nos proches et à nos collègues, aussi.
@Gingerbread
Me suis un peu vautré sur le non du soft ;)
Je l'ai lu. Et même si sa vocation première n'était pas celle-ci, un outil permettant d'après le binaire d'avoir une bonne description en reverse engineering de l'architecture logicielle voire plus (fonctions, appels..) est un bon moyen de découvrir les failles.
@0MiguelAnge0 :
Oui avant tout pour les corriger.
Lottes les boîtes américaines sont soumises à la NSA. Une solution 100% open source pour smartphone doit apparaître pour éviter le pillage des données personnelles.
@Totophe :
L'open source n'est en aucun cas une garantie. Car ce n'est pas parce que le code est ouvert et ainsi examinable par tout le monde qu'il est examiné de manière rigoureuse, systématique, par des personnes compétentes et de confiance.
HeartBleed l'a démontré là dernier.
@RoboisDesBins
Je vous le garantis... ;)
Mais c'est vrai que le titre fait nid à troll ou à clics au choix.
Je lis les commentaires ici, parce que parfois on apprend des choses.
Parfois.
La soit disant sécurité du Mac était simplement liée au fait que le parc d'ordinateurs Apple était très réduit et n'intéressait pas les hackers. Finalement, la confidentialité est la meilleure des sécurités, et on va commencer à s'en mordre les doigts si le nombre de Mac grandit...
@Pyjamane :
T'affoles pas . Le parc mondial windows ( je parles des pc, pas des téléphones jetables obsolètes en 8 mois ) c'est 93%.
Donc c'est pas l'imac a 3500€ qui fait frémir.
Cet article, plutôt intéressant, même si j'ai tendance à penser que de par son statut d'Unix, OS X est plutôt solide, rappelle surtout une chose, que j'applique systématiquement : la première des sécurités c'est de préserver l'utilisateur contre lui-même et ses propres erreurs. Du coup, la précaution de base (mais pas la seule, on est bien d'accord) c'est de systématiquement avoir un compte utilisateur non administrateur, ce qui en plus, n'est pas vraiment une gène au quotidien, étant donné qu'on peut accéder dans 95 % des cas (seule l'installation de certains logiciels - suite Adobe, le logiciel Réawtiseur DPP de Canon-..réclame véritablement la session administrateur) aux fonctions administrateur (moyennant un mot de passe administrateur, of course).
Moyennant cette précaution, le suivi régulier des mises à jour, et un peu de bon sens au quotidien, on reste à l'abri... sur Mac comme sur PC (j'utilise tous les jours les deux plateformes)...
@occam :
C'est un point de vue qui se défend, mais quand le CEO de la boîte se pose en chevalier blanc de la sécurité, le temps de réaction pour la correction de failles indiquées (importantes ou non) me laisse dubitatif.
MacG, ça vous dirait de faire un bel sur la sécurité des Mac, comment l'améliorer etc?
Ce serait super.
@fanchig :
Il manquait le mot article dans mon commentaire... Désolé.
@RoboisDesBins :
"Si j'utilise le mail la personne corrigera mais n'en gardera pas le souvenir alors que si je l'étale sur la voie publique" etc...
Ah, ben c'est certain, quand vous étalez les trucs sur la place publique, tout de suite c'est autre chose. Se faire tancer par Robois, hou, là, là, ça rigole plus, on recommence pas les bêtises. Un type important, leader d'opinion, toussa.
Et ce petit côté vieille France nostalgique du châtiment et de l'humiliation publique, c'est très rafraîchissant. Très Léo Ferré.
"Mais je ne signale pas tout"
JE est trop bon.
"Je ne pense pas que vous puissiez prétendre me connaître en lisant simplement quelques commentaires"
Hum, quel est le sujet principal de vos commentaires, déjà ?
Quelques indices : "Je ne suis pas un vieux c..", "Je fais exprès de vous citer", "Je n'aime pas", "je connais mes défauts", "je pense qu'il faut", "je suis protéiforme", "J'aime la frite", "Je m'en gave tellement", "je ne suis pas journaliste et quand je l'étais", "je ne peux rien pour toi", "Je ne pense pas", "j'ai mes chevaux de bataille", "je reconnais être", "hors de question que je leur laisse le pouvoir", "je ne suis pas né d'hier", "mon "herbier humain"", "Je suis également un provocateur", "mes ambitions", "Mon respect", "si je pense que"...
"Je fais exprès de vous citer les fautes dans les commentaires, de manière à vous mettre publiquement en face de vos responsabilités"
Ou : j'aime les règles et j'entends les faire respecter par tous les moyen que JE veux, par contre je suis moi-même suffisamment important et particulier pour me situer au dessus (ne pas m'écarter trop longtemps du sujet de la News, utiliser les outils les outils dédiés du forum, par exemple pour signaler les fautes, etc...).
En moulinant tout ça dans un conomètre, code d'erreur mystérieux : 301.81.
Plus le Mac aura une grosse part de marché, plus les virus et autres conneries seront décelés.
@RoboisDesBins
"Je ne pense pas que vous puissiez prétendre me connaître en lisant simplement quelques commentaires de mon cru. Les être humains en général, donc y compris moi, sont plus complexes que cela. "
Justement si !
TU ne vas quand même pas me dire que ce que tu écris tu ne le penses pas non ? donc bon ...
L'avantage du forum est donc de mettre à jour les idées les plus intimes des participants , celles qu'on ose pas dire ailleurs.
Pourquoi ?
Ben juste à cause de l'anonymat mon vieux :-)
Ton vrai nom c'est quoi ? Robois ? :*)
Dans le vie réelle on a des barrières, sociétales , amicales, de bonne tenue, qu'on ne franchit jamais . Sauf peut être quand on devient gâteux effectivement .
Ici on dévoile un peu plus ses idées , mêmes extrêmes ,et tu ne fais pas exception à la règle...
On constate aussi le même phénomène au boulot, les gens sont différents dans le milieu pro que dans la vie privée.
ET souvent il est préférable de ne pas voir les comportements de ses amis au boulot, il risqueraient ne ne plus l'être ...
Pages