MacBidouille

Afin de faire face aux attaques de plus en plus fréquentes sur les Mac, Apple a créé (de manière relativement discrète) Xprotect. C'est une base de données mise à jour à distance qui permet de bloquer certaines menaces touchant des Mac.
Il y a un mois nous vous avions parlé de l'une de ces menaces appelée iWorm. Il se disait à l'époque que 17000 Mac étaient infectés. Apple avait réagi en mettant à jour Xprotect. Il semble toutefois que l'action d'Apple n'ait pas été suffisante. Si l'on se rapporte à ce papier publié par des spécialistes de la sécurité, la mise à jour de Xprotect n'avait qu'un but, interdire son installation sur de nouveaux Mac. Hélas, pour les autres machines déjà infectées elle n'a en rien bloqué ce malware. C'est lié au choix fait par Apple qui a basé sa signature virale sur l'installeur de ce logiciel et pas sur ses process tournant en tâche de fond.

Notez que des limites ont aussi été trouvées à Gatekeeper. Pour rappel, il s'agit du système destiné à bloquer l'exécution des logiciels qui n'ont pas une signature valide provenant de l'App Store ou d'un développeur autorisé. Il s'avère que pour fonctionner il faut que les logiciels ayant permis son arrivée sur la machine (comme Safari, Firefox ou Chrome) mettent un tag pour indiquer que le logiciel n'est pas signé. Or, de nombreux autres comme des logiciels de téléchargement Torrent ne le font pas, ce qui permet alors de ne pas déclencher d'alertes au lancement de ces logiciels même non signés. C'est donc encore une grosse porte ouverte à l'installation de logiciels malveillants volontiers cachés dans d'autres choses aptes à attirer les téléchargeurs.