Cette faille de macOS a survécu 11 ans avant d’être découverte

Une technique « toute simple »a permis pendant onze ans d’introduire du code malicieux (ou pas) dans macOS en faisant croire qu’Apple l’avait approuvé.

Il serait apparemment très simple pour un développeur de faire croire que son code a été signé (donc vérifié) par Apple. Lorsque Joshua Pitts, ingénieur pour la compagnie de sécurité Okta, a découvert cette faille sur macOS, il a immédiatement informé Apple. Combien de personnes aux idées mal intentionnées étaient-elles au courant de cette manœuvre ?

Alors que l’introduction d’un virus, tel que Stuxnet par exemple, implique le plus souvent de tromper ou d’usurper l’identité de quelqu’un, cette faille là ne réclame pas tant de malice. Elle réside dans la procédure d’authentification de la signature numérique des logiciels de macOS. Elle consiste à utiliser un fichier Universal Binaries, considéré par macOS comme une application contenant un fichier de code source par type de processeur, pour introduire du code malicieux. Selon Wikipédia, “lorsque le système lance une application en Universal binaries, il choisit le bon fichier binaire et l’exécute”. Pour la faille découverte par Mr Pitts, il suffit que le premier fichier d’un Universal binaries présente une signature numérique fiable pour que le reste des fichiers en bénéficie.

À en croire certains experts, cette faille n’est ni une négligence d’Apple ni un bug. Elle serait surtout due à une mauvaise compréhension de la “documentation et des commentaires ambigus qu’Apple a fournis concernant l’utilisation de leurs interfaces de programmation”.

>> À lire : Apple iMac Pro : on a testé le plus puissant des iMac