Un simple double clic sur le mauvais fichier, et le malware Shlayer pouvait s’installer sur le Mac de sa victime. Une fois sur l’appareil, ce redoutable logiciel malveillant permet de surveiller et de modifier l’activité de l’utilisateur sur Internet : il permet par exemple de dérober des identifiants ou d’espionner des conversations. Découvert en 2018, Shlayer est aussi connu pour servir de porte d’entrée à d’autres programmes, comme les adwares, des programmes qui génèrent des revenus grâce à des publicités invasives et non désirées. Ces malwares sont gênants, mais relativement inoffensifs. Désormais, les chercheurs craignent qu’il ouvre la porte à des logiciels bien plus virulents, comme les rançongiciels.
Il n’est pas courant que des malwares puissent se déployer avec un simple double clic sur les ordinateurs d’Apple. Ces derniers ont construit une partie de leur réputation autour des logiciels de sécurité intégrés de base à macOS .En principe, macOS ne laisse passer que les applications dont les fichiers affichent une certification Apple, et celles qu’elle a déjà sont passées dans ses modules de vérification à la recherche de malware connu. Concrètement, Apple tient à jour une sorte de liste blanche, et si l’utilisateur télécharge un programme qui n’en fait pas partie, il en sera averti pour qu’il soit conscient de sa prise de risque.
En conséquence, tant que l’utilisateur n’a pas validé le téléchargement de l’app manuellement, elle ne pourra pas s’exécuter. Cette protection complique grandement le travail des malfrats ; non seulement ils doivent convaincre leurs victimes de télécharger le malware, mais ils doivent aussi les convaincre d’ignorer les alertes de macOS.
Une faille exploitée pendant près de deux mois
Mais Shlayer — pour la deuxième fois en deux ans — est parvenu à contourner ce système de vérification. D’après l’équipe de recherche de Jamf, les développeurs du malware ont trouvé une faille sur Gatekeeper début mars 2021. Cet outil de macOS joue un rôle crucial dans la vérification et le blocage des apps inconnues que nous venons de décrire, et la faille permettait aux malfrats de le tromper. Heureusement, le chercheur Cedric Owens a lui aussi trouvé la faille à la même période.
Il a sollicité Patrick Wardle, un des chercheurs les plus réputés sur macOS, pour corroborer ses recherches, puis ils les a présentées à Apple. Résultat : la vulnérabilité a été corrigée par l’éditeur dans la mise à jour 11.3 de macOS Big Sur, publiée ce lundi 26 avril. Les malfaiteurs ont donc pu l’exploiter pendant près de 2 mois, mais tous les Mac qui ont reçu la mise à jour sont désormais protégés.
Shlayer, ennemi numéro 1 de macOS ?
Comme l’explique très bien Techcrunch, le bug découvert par Owens consiste piéger Gatekeeper en lui présentant une app construite de façon inhabituelle. Il faut savoir que les apps macOS se présentent sous la forme d’un ensemble de fichiers, organisés d’une certaine manière. L’un d’entre eux va inclure une « liste de propriétés » qui va indiquer à macOS où trouver tel ou tel fichier de l’application.
Owens a découvert que s’il éjectait ce fichier et qu’il organisait les autres d’une certaine manière, Gatekeeper considère l’ensemble comme vérifié par Apple. En conséquence, macOS commençait à exécuter le code sans déclencher ses mécanismes de vérification.
Shlayer devient de plus en plus dangereux
Avec cette nouvelle prouesse, Shlayer se positionne plus que jamais comme le malware de référence sur macOS. Kaspersky avait déjà relevé sur l’année 2019 que ce logiciel malveillant se cachait derrière un dixième des détections de malwares sur Mac. Historiquement, Shlayer se faisait passer pour Flash Player pour piéger ses victimes. Désormais, il se diffuse dans de fausses publicités sur des sites compromis, ou en se plaçant sur des pages affichées en tête de certaines requêtes sur les moteurs de recherches.
Non seulement Shlayer a un large faisceau de diffusion, mais en plus, ses créateurs sont capables de découvrir régulièrement de nouvelles failles dans les produits d’Apple. On a donc affaire à un groupe de cybercriminels avancé, qui cherche à viser le plus grand nombre. Il ne manque plus qu’il s’associe avec d’autres gangs célèbres pour qu’il devienne un problème plus qu’épineux.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.