La brèche de Gatekeeper dévoilée fin mai par le chercheur Filippo Cavallarin a été exploitée par au moins un éditeur de logiciel publicitaire. Cette faille contourne la muraille érigée par le système de protection d’Apple, qui est censée empêcher l’ouverture d’applications vérolées. Elle permet d’exécuter du code sur une machine distante, bien sûr dans le dos de l’utilisateur (lire : Une faille dans la muraille de Gatekeeper).

Apple a été mise au courant de cette vulnérabilité depuis le 22 février, le constructeur ayant promis de la boucher sous les 90 jours. Mais le constructeur n’a pas tenu parole, Filippo Cavallarin se heurtant même à un mur. En attendant que les choses bougent du côté de Cupertino, des malandrins ont commencé à tirer partie de cette faille.

Intego, qui rapporte la découverte, est tombé sur une première tentative d’exploitation de la faille de Gatekeeper baptisée OSX/Linker. Quatre images-disque au format .dmg ont été téléversées sur VirusTotal, un site web qui analyse les fichiers potentiellement dangereux qui traînent sur les internets. Ces images, dont l’upload remonte au 6 juin pourraient faire figure de test avant une distribution plus large ; en effet, ces .dmg se contentent de créer un fichier texte temporaire. Un premier pas vers une attaque plus sérieuse ?

Les quatre images se déguisent sous la forme d’un installeur Flash Player, un des moyens les plus utilisés par les hackers pour pousser leurs victimes à lancer l’installation de leurs malwares. La quatrième a ceci de particulier qu’elle bénéficie d’une signature Apple ID ayant servi à signer des centaines de faux fichiers d’installation Flash Player ces 90 derniers jours.

Ces faux installeurs sont apparentés à la famille de l’adware OSX/Surfbuyer, un logiciel pénible qui traine depuis plusieurs années sur macOS. Intego a prévenu Apple, qui va procéder — si ce n’est pas déjà fait — à la suppression du certificat du développeur en question. La Pomme serait aussi bien avisée de corriger la faille le plus rapidement possible.