Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

OS X : la protection GateKeeper peut être aisément contournée

Ce n'est pas un antivirus, mais quand même
Logiciel 3 min
OS X : la protection GateKeeper peut être aisément contournée
Crédits : jehandmade/iStock

Alors même qu’Apple vient de lancer la nouvelle mouture majeure de son OS X, El Capitan, un chercheur en sécurité indique avoir trouvé une manière très simple de contourner la protection GateKeeper. Cette dernière a été intégrée il y a plusieurs années pour repérer à l’exécution certains malwares courants.

GateKeeper est une fonctionnalité ajoutée par Apple dans OS X à partir de la version Lion. Son mécanisme d’action est assez simple : il vérifie la signature électronique d’un binaire pour en valider ou pas l’exécution. Par défaut, seuls les logiciels issus du Mac App Store ou récupérés chez des éditeurs disposant d’un certificat reconnu peuvent être lancés. Dans les réglages de sécurité d’OS X, on peut désactiver complètement GateKeeper, ou le rendre encore plus strict pour ne laisser passer que les applications du Store.

GateKeeper n’est cependant pas un antivirus, même si Apple a ajouté à plusieurs reprises des éléments de reconnaissance des principales menaces. Ce mécanisme de sécurité est pourtant simple à contourner, si simple en fait que la méthode est surprenante. La technique, détaillée par Ars Technica, s’appuie sur les travaux du chercheur Patrick Wardle et met en scène deux binaires, A et B. GateKeeper ne vérifiant que le binaire qui correspond à l’action de l’utilisateur (le double clic) il devient alors simple d’appeler le binaire B.

Faire passer un premier binaire reconnu, puis tracter un second

Pour faire exécuter un ou plusieurs malwares, il suffit en fait que le binaire A soit équipé d’un certificat déjà reconnu par GateKeeper. Le pirate n’a qu’à préparer une image disque (fichier DMG) contenant les deux binaires pour que le premier passe la barrière puis, une fois cette dernière franchie, y « tracte » le second. Ce dernier peut contenir tout le code malveillant nécessaire, GateKeeper n’aura plus son mot à dire.

La technique est simple, mais redoutable. Il devient par exemple aisé de préparer une version vérolée d’un installeur d’application connue. C’est potentiellement une technique utilisée dans le cas récent des environnements Xcode frelatés qui ont été téléchargés par des développeurs chinois. L’utilisateur double-clique, lance l’installation, voit éventuellement une fenêtre réclamant les droits administrateur et valide, pensant que le logiciel est authentique.

Ce qui ne veut pas dire évidemment qu’il faut tout à coup se méfier de tous les téléchargements. Comme toujours, la prudence reste de mise sur les sources, mais il n’y a pas de raison de craindre le moindre danger si on a l’habitude d’utiliser des applications provenant du Store ou de site officiel d’une entreprise connue comme Google, Microsoft, Dropbox et ainsi de suite.

Un correctif est en préparation

Pour Patrick Wardle, cette technique de contournement n’est pas étonnante et réside dans la manière dont GateKeeper a été conçu, non dans une faille à proprement parler. Son rôle n’est après tout que de vérifier la signature électronique de l’exécutable lancé par l’utilisateur. Il a d’ailleurs indiqué à Ars Technica qu’il avait averti Apple il y a un peu plus de deux mois et que la société travaillait sur un correctif, ce qu’elle a confirmé à nos confrères. Le chercheur ne sait cependant pas si les ingénieurs pourront régler la cause même du problème, ou devront se contenter de limiter les dégâts.

Patrick Wardle présentera dans tous les cas les résultats de ses travaux aujourd'hui lors de la Virus Bulletin Conference qui se tiendra à Prague. Car une constatation s’impose pour lui : « Si je peux le trouver, vous pouvez être sûrs que des groupes de pirates ou supportés par des États ont trouvé des faiblesses similaires ».

21 commentaires
Avatar de Arystos INpactien
Avatar de ArystosArystos- 01/10/15 à 07:30:55

Je trouve ça plutôt intéressant comme façon de procéder.
 

 Le chercheur reste en plus modeste et pragmatique, s'il y a pensé, d'autres aussi.
 
Erreur de conception de la part de la pomme ?

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 01/10/15 à 07:33:55

Par contre il faut toujours faire signer le binaire A, non ?
 C'est possible ça ? Apple accepte de signer en sachant que le binaire A sert à aller installer un malware ?

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 01/10/15 à 07:41:08

Ton binaire A est une voiture avec boule d'attelage. Le malware c'est la caravane que tu accroches derrière.

Avatar de Mr.Nox INpactien
Avatar de Mr.NoxMr.Nox- 01/10/15 à 07:45:43

You should not pass... Oups.

Avatar de Silenus INpactien
Avatar de SilenusSilenus- 01/10/15 à 07:46:46

Les mauvaises langues diront que ce n'est pas un "bug/faille" mais une fonctionnalité :troll:

Avatar de linkin623 Abonné
Avatar de linkin623linkin623- 01/10/15 à 07:47:18

Obidoub a écrit :

Par contre il faut toujours faire signer le binaire A, non ?
 C'est possible ça ? Apple accepte de signer en sachant que le binaire A sert à aller installer un malware ?

Je ne sais si c'est possible, mais si le binaire A (signé) fait appel à certaines ressources, il suffit de remplacer la ressource en question par une une vérolée.

Par exemple le binaire A demande à lancer un binaire C, mais en remplaçant ce dernier le par le B (vérolé), ton binaire A lancera en toute bonne foi le malware, et sans changer son certificat. Non ?

Avatar de Gemini_Power Abonné
Avatar de Gemini_PowerGemini_Power- 01/10/15 à 07:48:26

En continuant l'image, si je ne me trompe pas (je ne connais pas le mécanisme de vérification des binaires); cela voudrait dire que la voiture a été contrôlée, et que la boule d'attelage sans remorque n'a pas été vue
(mais j'ose imaginer qu'il doit être facile pour un code de cacher la boule d'attelage lorsqu'il n'y a pas la caravane,
sans caravane, il suffit de le faire fonctionner comme le vérificateur l'attends).

Avatar de Zyami Abonné
Avatar de ZyamiZyami- 01/10/15 à 07:48:43

Obidoub a écrit :

Par contre il faut toujours faire signer le binaire A, non ?
 C'est possible ça ? Apple accepte de signer en sachant que le binaire A sert à aller installer un malware ?

Il me semble qu'Apple ne signe pas tout, en gros sur OS X il n'est pas forcement nécessaire de passer par l'Apple Store, du coup GateKeeper vérifie juste l’identifiant du dev et le dev signe lui même son soft avec son identifiant.

Avatar de Zyami Abonné
Avatar de ZyamiZyami- 01/10/15 à 07:51:45

linkin623 a écrit :

Je ne sais si c'est possible, mais si le binaire A (signé) fait appel à certaines ressources, il suffit de remplacer la ressource en question par une une vérolée.

Par exemple le binaire A demande à lancer un binaire C, mais en remplaçant ce dernier le par le B (vérolé), ton binaire A lancera en toute bonne foi le malware, et sans changer son certificat. Non ?

Non, les binaires sont contrôlés via l'identifiant du dev, un peu comme un checksum, le dev doit le fournir dans l'appli et GateKeeper se charge de vérifier cela.

Avatar de canti INpactien
Avatar de canticanti- 01/10/15 à 07:52:24

ca ressemble presque à la méthode du disk swap de la première playstation :francais:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3