macOS : nouvelle faille dans le contrôle des accès aux fichiers

Florian Innocente |

Le développeur Jeff Johnson a mis en lumière une nouvelle faille de sécurité dans macOS permettant à une application d'accéder à des fichiers qu'elle n'est pas supposée pouvoir lire et manipuler.

Cet ancien de l'éditeur Rogue Amoeba (Airfoil, Audio Hijack) avait déjà repéré un problème l'année dernière (lire Excédé par Apple, un chercheur en sécurité rend publique une faille de sécurité de macOS). Pour celui-ci, découvert en septembre dernier, il explique qu'il est reproductible dans Mojave, Catalina ainsi que Big Sur. En janvier, Apple l'a assuré qu'il serait corrigé pour ce printemps mais rien n'a bougé depuis.

Ce défaut apparaît dans le système « Transparency, Consent, and Control » né avec Mojave et conçu pour réguler l'accès par les applications à certains dossiers et fichiers critiques (des réglages que l'on peut ajuster dans le panneau de préférences « Sécurité et confidentialité » puis « Fichiers et dossiers » sous l'onglet « confidentialité »).

Après avoir dupliqué Safari, Jeff Johnson a utilisé une application de sa facture pour modifier cette copie du navigateur, accéder à des fichiers normalement réservés (en l'occurence la liste des sites que vous visitez le plus) et les envoyer vers un site web. Il se repose pour cela sur le fait que Safari exécute en interne du JavaScript pour afficher par exemple le panneau de préférence des extensions.

Pour ce développeur, le système de protection des accès de macOS n'est pas assez strict dans la manière dont il vérifie si une application peut accéder à des fichiers normalement restreints :

Ainsi, un attaquant peut faire une copie d'une application à un emplacement différent sur le disque, modifier les ressources de la copie et la copie de l'application, avec des ressources modifiées, aura toujours le même accès aux fichiers que l'application d'origine, qui dans ce cas se trouve être Safari.

Lassé de voir Apple tarder à s'emparer de ce problème et déçu de ses précédentes relations avec l'équipe de sécurité et de son programme de récompense, il estime qu'au bout de neuf mois il peut s'autoriser à publier le détails de sa découverte. Il juge également que les protections mises en place par Apple dans macOS ne tourmentent finalement que les développeurs honnêtes, les autres pouvant encore trouver des voies détournées pour arriver à leurs fins.

Quant à ce défaut, le seul moyen de s'en prémunir est déjà connu: il suffit de ne pas télécharger n'importe quoi de n'importe où, même si ces applications semblent légitimes.

avatar frankm | 

Si Apple lui refait le coup de ne pas corriger. Il va devoir encore une fois la publier. Jamais 2 sans 3, à la 3ème il n’aura qu’à la publier, copie Apple !

avatar pagaupa | 

Et Apple nous vend sa soi-disante securité!
Quelle belle foutaise!

avatar scheylon | 

@pagaupa

Comme dans n’importe quel domaine, il y aura toujours une faille ! Et elle n’est jamais simple à trouvé. La preuve, celle ci existe depuis un certains temps, et cette personne vient seulement de la trouver.

avatar Paul Position | 

Il est plus juste de dire que cette faille vient d'être décrite publiquement, car il se peut qu'elle soit exploitée depuis longtemps par quelques malandrins chers à macg !...

avatar occam | 

@scheylon

"il y aura toujours une faille !"

Le problème n’est pas l’existence de failles en soi.
Le problème est celui de la culture : tolérance des failles et maintien du secret, ou bien transparence, communication et souci de combler les failles avant qu’elles ne se propagent.

D’expérience, je dirais que chez Apple, la peur des fuites dépasse largement l’inquiétude au sujet des failles ; le souci de l’image de marque surpasse le sens des responsabilités. C’est cela qui est extrêmement frustrant pour un type comme Jeff Johnson.

avatar scheylon | 

@occam

C’est clair qu’ils sont souvent très frustrés vis à vis des fuites de sécurités, mais c’est un de leur plus gros argument de vente. Après cela ne change pas que depuis que je suis passé chez Mac je n’ai eu aucun problème de sécurité (contrairement à l’époque de Windows 7 où c’était pour moi un enfer, et j’avais un anti virus). Mais de là à penser que ce soit sécurisé à 300% il faut quand même être sacrément ignorant !

avatar pagaupa | 

@scheylon

Oui. 6 mois. Quand on fait de ka sécurité son fer de lance, on est un peu plus réactif et visiblement je ne suis pas le seul à le penser.

avatar scheylon | 

@pagaupa

oui c’est clair je ne dit pas le contraire. Par contre ce qui est difficile à savoir, c’est la difficulté pour combler certaine faille. Très souvent la correction d’une faille peu en entraîner une autre, voit plusieurs qui sont beaucoup plus risqués. 6 mois c’est en effet long, mais ce n’est pas mon métier et je n’ai aucune idée de l’investissement nécessaire pour des systèmes aussi gros que Mac OS

avatar Nesus | 

@pagaupa

Oui, toutefois si vous avez bien lu, vous savez pourquoi Apple ne se presse pas. La vulnérabilité est très faible. Il faut remplacer une application déjà existante et déjà autorisée. Si vous avez assez d’accès pour faire ça, vous n’avez aucune utilité à faire quelque chose d’aussi détourné.
Qu’Apple ne corrige pas, ce n’est pas normal, une faille même minime reste une faille, qu’on fasse un drame de cette faille, c’est par contre totalement irrationnel. Elle est loin d’être critique, vu l’application qu’elle demande.

avatar Bigdidou | 

@Nesus

« Il faut remplacer une application déjà existante et déjà autorisée. Si vous avez assez d’accès pour faire ça, vous n’avez aucune utilité à faire quelque chose d’aussi détourné. »

Ah, merci !
C’est que je me disais aussi.
Sans compter que je n’ai pas bien compris s’il faut la dupliquer puis la modifier ou si ça fonctionne avec une application déjà modifiée et qu’on pourrait télécharger.
J’imagine que si je tente de lancer un safari vérolé venant d’on ne sait quel développeur, le système devrait m’avertir, non ?

Par ailleurs, question pour ceux qui savent, comment peut-on corriger une telle faille (des principes généraux, hein;))?

avatar Nesus | 

@Bigdidou

Ça dépend à quel point l’application est modifiée, mais il ne faut pas énormément de talent pour tromper macOS dans ce cas.

La solution est simple en pratique, plus compliquée à mettre en place. Il faut que le système vérifie l’intégrité d’une application. Le Mac AppStore le fait déjà en partie, par contre c’est plus compliqué pour les applications externes.

Toutefois, ça veut quand même dire que quelqu’un a accès à votre machine et à les droits d’écriture et suppression dessus. Ça ira plus vite pour lui de mettre un trojan avec daemon que vous ne verrez pas, plutôt que de s’amuser à travestir une application (qu’en plus vous devez utiliser régulièrement...)

avatar jcp25 (non vérifié) | 

@scheylon

En janvier, Apple l'a assuré qu'il serait corrigé pour ce printemps mais rien n'a bougé depuis...

Cela fait six mois. On ne peut pas vraiment dire qu'Apple régle dans l'urgence les failles de sécurité

avatar Dimemas | 

bah voyons !
On parle d'une faille qui date d'un an et grave !

Heureusement qu'il y a toujours des gens comme toi pour défendre Apple becs et ongles.
Si windows ou android avait eu le malheur d'être pointé du doigt, tu n'aurais certainement pas été le dernier à les critiquer !

avatar oboulot | 

@Dimemas

+1. Microsoft se bouche bien plus vite pour corriger les failles informatiques de nos jours.
Quand à Linux alors la c’est encore mieux ! :)

avatar Krysten2001 | 

@pagaupa

Heureusement qu’il y a l’app store sur iOS pour un contrôle plus approfondie 😋😏😁

avatar pagaupa | 

@Krysten2001

Comme tu dis! 😂😂😂

avatar mk3d | 

Quand un petit malin découvre les portes dérobées laissées ouvertes aux administrations..

avatar iDuplo | 

"il suffit de ne pas télécharger n'importe quoi de n'importe où, même si ces applications semblent légitimes."
Bah non, contre exemple: transmission 2.9

avatar byte_order | 

> Il juge également que les protections mises en place par Apple dans macOS ne
> tourmentent finalement que les développeurs honnêtes, les autres pouvant encore
> trouver des voies détournées pour arriver à leurs fins.

+

> Quant à ce défaut, le seul moyen de s'en prémunir est déjà connu: il suffit de ne pas
> télécharger n'importe quoi de n'importe où, même si ces applications semblent
> légitimes.

Un combo qui arrange parfaitement les affaires d'Apple : elle pourra ainsi imposer son MAS comme unique source d'installation d'apps macOS, et ainsi mettre les développeurs d'apps macOS au même régime que ceux iOS, douane payante d'accès aux propriétaires utilisateurs.

avatar r e m y | 

@byte_order

Dans ce cas, faudrait qu'ils améliorent méchamment leurs contrôles de validation des apps sur le Mac AppStore! Le nombre de malwares (a minima des adwares) qu'on y trouve est totalement anormal.
Personnellement j'ai arrêté de leur signaler les "adware medic" et autres "adware doctor" qui sont en fait de vrais adwares car ca ne sert strictement à rien... ils enquêtent, les suppriment, mais les revalident quelques jours plus tard quand les MÊMES applications sont représentées par un autre développeur 🤦‍♂️

Le drame c'est que ces utilitaires sont téléchargés par des utilisateurs faisant confiance à Apple pour les avoir contrôlés voire testés en amont et à qui on donne ensuite tout pouvoir (en leur confiant les droits d'accès administrateur et l'accès à tout le disque, ces droits étant légitimes pour de tels utilitaires censés protéger le système)

CONNEXION UTILISATEUR