Une faille de sécurité à été découverte dans les versions les plus récentes de macOS, y compris le prochain Big Sur, mais Apple ne semble pas vouloir la corriger, selon Jeff Johnson, un chercheur en sécurité. Dans un billet de blog, celui-ci affirme avoir trouvé un moyen de contourner les protections de la vie privée sur MacOS en septembre 2019, mais avoue avoir attendu qu’Apple lance son programme de prime aux bugs en décembre pour signaler la faille.

MacOS : une faille au sein même du système TCC

La faille présumée réside dans le système de transparence, de consentement et de contrôle (TCC) d’Apple, qui protège les fichiers sensibles contre l’accès par toute application. Cette fonction est destinée à bloquer l’accès au dossier Bibliothèque de Safari, qui contient l’historique de navigation, les signets et les téléchargements, de toutes les applications sauf le Finder et Safari lui-même. En raison du TCC, les autres applications, y compris les logiciels malveillants, ne devraient pas pouvoir accéder à ces fichiers Safari.

Sauf que, selon M. Johnson, le TCC ne fonctionne pas correctement et les logiciels malveillants peuvent effectivement accéder à ces fichiers. En effet, vous pouvez créer une copie d’une application existante (telle que Safari), la placer n’importe où dans le système de fichiers du Mac, puis modifier l’application copiée pour commettre des actes ignobles, tels que le vol d’informations personnelles.

Selon le chercheur, le TCC échoue parce qu’il ne vérifie pas que les applications autorisées à accéder à certains fichiers se trouvent à l’endroit où elles devraient se trouver dans le système de fichiers. Il ne vérifie pas non plus correctement si une application a été modifiée parce qu’il ne vérifie que superficiellement la signature de code de l’application.

“La copie de l’application avec les ressources modifiées aura toujours le même accès aux fichiers que l’application originale, dans ce cas, Safari“, a déclaré M. Johnson à Apple.

Un risque qui reste limité

De l’aveu même de Johnson, ce n’est pas la pire faille de sécurité au monde, car les Macs se sont toujours très bien débrouillés sans TCC.  En effet, avant Mojave, la fonction de protection de la vie privée n’existait pas du tout sur le Mac.

Pour vous protéger, il est recommandé d’être très prudent avec les logiciels que vous installez sur votre Mac, et faites attention aux fenêtres pop-up qui vous informent des actions d’une application au fur et à mesure que vous l’installez. Il est aussi vivement recommandé d’utiliser un antivirus pour Mac afin de limiter les risques d’intrusions et éliminer les logiciels malveillants avant même qu’ils ne soient portés à votre connaissance.