Apple garde-t-il des informations cruciales sur les attaques de logiciels malveillants cachées aux sociétés antivirus ? Un éminent chercheur en sécurité pense que cela pourrait être le cas.
Patrick Wardle, dont nous avons écrit à plusieurs reprises sur les découvertes dans Tom's Guide, a analysé le mois dernier une nouvelle souche de malware Mac appelée Windshift. Il a remarqué qu'Apple avait révoqué le certificat numérique qui permettait au malware de s'installer sur les Mac. C'est bon.
Mais lorsque Wardle a vérifié VirusTotal, un référentiel en ligne de logiciels malveillants connus, seuls deux des quelque 60 moteurs antivirus de détection de logiciels malveillants ont pu repérer Windshift. Aucun des moteurs de malware n'a repéré trois autres variantes de Windshift.
Pour Wardle, cela ne pouvait signifier qu'une chose : Apple a trouvé des logiciels malveillants sans en informer les éditeurs d'antivirus. C'est mauvais, car toute personne déjà infectée pourrait ne jamais l'avoir découvert. Dans le monde des antivirus, vous êtes censé partager ces informations dès que possible pour maintenir l'immunité collective.
« Est-ce que cela signifie qu'Apple ne partage pas de précieux renseignements sur les logiciels malveillants/les menaces avec la communauté AV, empêchant ainsi la création de signatures AV généralisées pouvant protéger les utilisateurs finaux ? » Wardle a demandé dans son article de blog. "Oui."
Windshift semble cibler des individus spécifiques au Moyen-Orient dans le cadre d'une campagne d'espionnage parrainée par l'État. Il a été révélé pour la première fois par le chercheur de DarkMatter, Taha Karim, lors de la conférence Hack in the Box GSEC à Singapour en août dernier.
Le logiciel malveillant infecte les Mac à partir de sites Web malveillants au cours d'un processus en plusieurs étapes, dont la dernière étape, comme la plupart des logiciels malveillants Mac, consiste à tromper l'utilisateur pour qu'il laisse le logiciel malveillant s'installer.
Pour faciliter cette tromperie, Windshift se présente sous la forme de divers documents Microsoft Office pour Mac, avec de jolies icônes Office. La version détaillée par Karim, et que Wardle a initialement examinée, prétend être une présentation PowerPoint compressée appelée Meeting_Agenda.zip.
Le 20 décembre, Wardle a recherché ce fichier sur VirusTotal et a trouvé une correspondance parmi les millions d'échantillons de logiciels suspects téléchargés sur le site. L'échantillon VirusTotal avait un « hachage » ou un résumé mathématique de son code, grâce auquel vous pouvez identifier le malware.
Wardle a effectué le hachage dans la collection de moteurs antivirus de VirusTotal et a découvert que seuls les moteurs Kaspersky et ZoneAlarm l'avaient détecté. Les autres l'ont laissé passer, ce qui signifie qu'ils ne le savaient pas.
Il a ensuite recherché des hachages similaires et en a trouvé trois autres qui se sont présentés comme des fichiers Word compressés. Aucun moteur antivirus ne les a détectés. (De nombreux autres moteurs antivirus les détectent aujourd'hui, grâce à la publication du blog de Wardle.)
Pourtant, le 20 décembre, Apple avait déjà révoqué la signature numérique requise pour l'installation du malware sur les Mac en utilisant les paramètres de sécurité par défaut. En d'autres termes, Apple semblait avoir été au courant du malware avant les éditeurs d'antivirus, mais ne semblait pas en avoir informé les éditeurs d'antivirus.
Cela peut ne pas sembler un gros problème pour l'utilisateur moyen d'un ordinateur, mais c'est le cas. Pour que les fabricants de logiciels et les éditeurs d'antivirus défendent correctement les utilisateurs contre les logiciels malveillants, tout le monde doit être sur la même longueur d'onde. C'est une pratique d'exploitation standard pour toutes les personnes impliquées de partager des informations dès que possible – et Wardle a laissé entendre qu'Apple n'était pas juste.
Le problème de détection des logiciels malveillants "souligne que l'AV traditionnel est aux prises avec les logiciels malveillants nouveaux/APT sur macOS… mais aussi l'orgueil d'Apple", a déclaré Wardle à Dan Goodin d'Ars Technica. "Nous les avons déjà vus faire ça :( C'est décourageant, et quelqu'un doit les appeler là-dessus."
Tom's Guide a contacté Apple pour commentaires, et nous mettrons à jour cette histoire lorsque nous recevrons une réponse.
- Macs attaqués par des hackers nord-coréens : ce qu'il faut savoir
- L'application Mac la plus vendue vole votre historique de navigation
- Pourquoi les iPhones d'Apple n'ont pas besoin de logiciel antivirus