En octobre dernier, un chercheur indiquait comment la protection GateKeeper d’OS X pouvait être contournée facilement. Apple avait a priori résolu le problème, mais pas selon Patrick Wardle : la société n’a rien corrigé, et la brèche peut toujours être exploitée.
Patrick Wardle est un ancien de la NSA, travaillant depuis comme directeur de la recherche chez Synack. En octobre dernier, il tirait la sonnette d’alarme : GateKeeper ne remplissait pas correctement sa mission. Ce composant, apparu dans Lion (version 10.7.5), a pour principale mission de contrôler l’exécution des logiciels et de vérifier surtout leur certificat.
Remorquage de binaires vérolés
Si le logiciel provient de l’App Store, c’est qu’il a été contrôlé en amont et qu’il n’y a pas de raison de se méfier. Dans le cas contraire, il suffit qu’il ait un certificat électronique reconnu par Apple. S’il n’en possède pas, OS X affiche un message d’erreur indiquant qu’en raison des paramètres de sécurité, le logiciel n’a pas le droit de s’exécuter. Il s’agit du paramètre par défaut, qui peut être durci pour n’autoriser que les applications du Store, ou au contraire relâché pour autoriser tous les logiciels, avec ou sans certificats.
Or, comme montré par Wardle, GateKeeper (littéralement gardien de porte) pouvait aisément être berné puisqu’il ne remplissait pas sa mission jusqu’au bout. Sa protection pouvait être ainsi contournée si la vérification binaire se concentrait sur un premier fichier, qui en profitait ensuite pour tracter vers lui un autre binaire, cette fois malveillant. Il en avait averti Apple, qui avait répliqué le mois suivant avec une mise à jour.
Une simple liste noire
Seulement voilà, Patrick Wardle n’en a pas fini avec GateKeeper, et pour cause, puisque le problème est toujours présent. La solution retenue par Apple est en effet simpliste : mettre sur liste noire les applications dont Wardle s’est servi pour ses tests et démonstrations. Un vrai cache-misère que le chercheur dénonce dans un nouveau billet de blog : « Même sur un système OS X 10.11.2 entièrement mis à jour, GateKeeper est simple à contourner ».
Le chercheur indique que rien dans le correctif d’Apple ne permet de combattre le problème. Se concentrer sur une liste noire des binaires à bloquer ne corrige pas le problème sous-jacent, et Wardle indique qu’en conséquence, les pirates peuvent « redémarrer leur distribution de chevaux de Troie » et aux États de recommencer leurs attaques de type MITM (Man In The Middle). Pour Apple, cela revient à mettre en place un nouveau jeu du chat et de la souris, puisqu'il lui faudra surveiller les binaires utilisés pour contourner GateKeeper et mettre à jour constamment la liste.
Wardle participait d’ailleurs à la conférence ShmooCon (dédiée aux hackers) dimanche 17 janvier pour expliquer en détail les problèmes de GateKeeper.
Prudence en attendant que GateKeeper soit renforcé
En attendant qu’Apple déploie une vraie solution, il est évidemment recommandé aux utilisateurs de faire attention aux sources de téléchargements. Le Mac App Store et les sites officiels des applications un tant soit peu connues ne causeront pas de difficultés, mais la situation peut vite dégénérer sur un utilitaire qui promettrait monts et merveilles.
On rappellera d’ailleurs qu’Apple a dû faire face à des applications mobiles vérolées parce qu’elles avaient été compilées par des versions contaminées de l’environnement Xcode. Ces moutures avaient été téléchargées par des développeurs chinois qui ne cherchaient, initialement, qu’à récupérer le logiciel plus rapidement, Apple ne possédant pas de serveurs locaux dans le pays (la société a promis d’en installer). Le cas rappelle que la sécurité peut basculer très rapidement, quelles que soient les raisons qui ont poussé l’utilisateur vers un téléchargement.