En février, Apple s’est mis à certifier conforme toutes les applications sur macOS, afin d’éliminer les applications illégitimes ou malveillantes.
Cette certification est obligatoire, même si les logiciels ne sont pas distribués par le Mac Store, sans quoi les utilisateurs ne peuvent les faire tourner sans solution de contournement.
Sept mois plus tard, des chercheurs en cybersécurité ont découvert un logiciel malveillant publicitaire actif, avec les mêmes charges de travail qu’auparavant, et ce logiciel malveillant a été certifié conforme par Apple…
La campagne exploite le logiciel malveillant publicitaire « Shlayer », qui aurait affecté jusqu’à un appareil sur dix sous macOS ces dernières années.
Shlayer se comporte comme un publiciel malveillant type: il injecte par exemple de publicités dans les résultats d’un moteur de recherche.
Ce qui étonne, c’est comment il a passé les tests de conformité d’Apple, alors qu’il est resté virtuellement inchangé.
C’est un étudiant, Peter Dantini, qui a découvert la version certifiée par hasard, en effectuant une faute de frappe sur une URL et en atterrissant sur une page l’envoyant de multiples fois sur de faux sites de téléchargement d’une mise à jour pour Adobe Flash.
Curieux, il décida de la télécharger, et fut très surpris que macOS ne l’empêche pas de lancer le programme. Il le transmit alors au spécialiste de la cybersécurité Patrick Wardle, chercheur en chef chez Jamf.
Wardle en informa Apple le 28 août, et Apple révoqua le certificat de conformité de Shlayer le jour même.
Wardle s’aperçut toutefois que Shlayer était toujours distribué le 30, et découvrit que les responsables de la campagne avaient tout simplement passé à nouveau la certification avec un autre identifiant de développeur.
Il en informa Apple, qui révoqua à nouveau le certificat, désactiva le compte développeur et invalida tous les certificats associés.
Une solution qui ne fait pas disparaître les failles du système de certification d’Apple.
Potentiellement, ce dernier pourrait largement neutraliser les logiciels malveillants.
À condition qu’Apple développe un système qui fonctionne.
Revers de la médaille, même un utilisateur qui s’intéresse à la sécurité n’hésitera pas à lancer une application, si cette dernière est certifiée conforme par Apple.
Via Wired.