Alors même qu’Apple vient de lancer la nouvelle mouture majeure de son OS X, El Capitan, un chercheur en sécurité indique avoir trouvé une manière très simple de contourner la protection GateKeeper. Cette dernière a été intégrée il y a plusieurs années pour repérer à l’exécution certains malwares courants.
GateKeeper est une fonctionnalité ajoutée par Apple dans OS X à partir de la version Lion. Son mécanisme d’action est assez simple : il vérifie la signature électronique d’un binaire pour en valider ou pas l’exécution. Par défaut, seuls les logiciels issus du Mac App Store ou récupérés chez des éditeurs disposant d’un certificat reconnu peuvent être lancés. Dans les réglages de sécurité d’OS X, on peut désactiver complètement GateKeeper, ou le rendre encore plus strict pour ne laisser passer que les applications du Store.
GateKeeper n’est cependant pas un antivirus, même si Apple a ajouté à plusieurs reprises des éléments de reconnaissance des principales menaces. Ce mécanisme de sécurité est pourtant simple à contourner, si simple en fait que la méthode est surprenante. La technique, détaillée par Ars Technica, s’appuie sur les travaux du chercheur Patrick Wardle et met en scène deux binaires, A et B. GateKeeper ne vérifiant que le binaire qui correspond à l’action de l’utilisateur (le double clic) il devient alors simple d’appeler le binaire B.
Faire passer un premier binaire reconnu, puis tracter un second
Pour faire exécuter un ou plusieurs malwares, il suffit en fait que le binaire A soit équipé d’un certificat déjà reconnu par GateKeeper. Le pirate n’a qu’à préparer une image disque (fichier DMG) contenant les deux binaires pour que le premier passe la barrière puis, une fois cette dernière franchie, y « tracte » le second. Ce dernier peut contenir tout le code malveillant nécessaire, GateKeeper n’aura plus son mot à dire.
La technique est simple, mais redoutable. Il devient par exemple aisé de préparer une version vérolée d’un installeur d’application connue. C’est potentiellement une technique utilisée dans le cas récent des environnements Xcode frelatés qui ont été téléchargés par des développeurs chinois. L’utilisateur double-clique, lance l’installation, voit éventuellement une fenêtre réclamant les droits administrateur et valide, pensant que le logiciel est authentique.
Ce qui ne veut pas dire évidemment qu’il faut tout à coup se méfier de tous les téléchargements. Comme toujours, la prudence reste de mise sur les sources, mais il n’y a pas de raison de craindre le moindre danger si on a l’habitude d’utiliser des applications provenant du Store ou de site officiel d’une entreprise connue comme Google, Microsoft, Dropbox et ainsi de suite.
Un correctif est en préparation
Pour Patrick Wardle, cette technique de contournement n’est pas étonnante et réside dans la manière dont GateKeeper a été conçu, non dans une faille à proprement parler. Son rôle n’est après tout que de vérifier la signature électronique de l’exécutable lancé par l’utilisateur. Il a d’ailleurs indiqué à Ars Technica qu’il avait averti Apple il y a un peu plus de deux mois et que la société travaillait sur un correctif, ce qu’elle a confirmé à nos confrères. Le chercheur ne sait cependant pas si les ingénieurs pourront régler la cause même du problème, ou devront se contenter de limiter les dégâts.
Patrick Wardle présentera dans tous les cas les résultats de ses travaux aujourd'hui lors de la Virus Bulletin Conference qui se tiendra à Prague. Car une constatation s’impose pour lui : « Si je peux le trouver, vous pouvez être sûrs que des groupes de pirates ou supportés par des États ont trouvé des faiblesses similaires ».
