Le MacBook Air, le MacBook Pro et le Mac mini dévoilés en novembre 2020 représentent une avancée majeure pour Apple. Équipés du système sur puce (SoC, « system on a chip ») M1 de l’entreprise, ces nouveaux appareils marquent le début d’une phase de transition de deux ans, qui vise à remplacer l’architecture Intel par les propres processeurs d’Apple, nommés Apple silicon. Quelques mois après leur lancement, le premier malware capable de fonctionner de manière native sur les systèmes SOC M1 a déjà été détecté par des chercheurs en cybersécurité. Que signifie ce passage aux puces Apple silicon pour la sécurité sur Mac ? Comment vont évoluer les menaces qui ciblent ce système d’exploitation ? Nous allons passer en revue les derniers types de malwares sur Mac : Silver Sparrow, Pirrit et XCSSET ainsi que les menaces plus larges qui pèsent sur la sécurité des Mac.
Les fonctions de sécurité sur Apple silicon
L’histoire d’Apple silicon démarre avec le premier iPhone, lancé par l’entreprise en 2010. Apple développe ses propres puces basées sur une architecture ARM, pour ses appareils mobiles, montres et objets connectés. Mais les ordinateurs MacBook et iMac sont équipés de processeurs Intel basés sur une architecture CPU x86 depuis 2005, date à laquelle la société a remplacé les processeurs PowerPC d’IBM, utilisés jusqu’alors. À présent, avec l’adoption d’Apple silicon sur tous les Mac, Apple cherche à renforcer son écosystème en établissant une architecture commune à toutes ses gammes de produits.
Les puces basées sur ARM d’Apple sont connues pour leur sécurité élevée et leur chiffrement, garantis par le coprocesseur « Secure Enclave ». Secure Enclave a fait son apparition sur le processeur A7 d’Apple, quand la marque a révolutionné les appareils mobiles avec l’arrivée de Touch ID sur l’iPhone 5S. Le coprocesseur Secure Enclave comprend un gestionnaire de clé basé sur l’appareil, séparé du processeur principal. Il peut donc maintenir la sécurité des opérations cryptographiques même si le noyau de l’appareil est compromis. Avec le moteur de cryptographie AES 256, il protège les données sensibles comme les données biométriques.
La nouvelle puce M1 à 8 cœurs d’Apple comprend la nouvelle version de Secure Enclave, le chiffrement AES 256 et un démarrage sécurisé vérifié par l’appareil, qui s’assure que le logiciel chargé pendant le démarrage contient uniquement du code approuvé par Apple. Comme l’explique Apple sur son site : « La puce Apple M1 vérifie que la version du logiciel macOS chargée lors du démarrage est autorisée par Apple et continue en arrière-plan de protéger les autorisations établies pour macOS lors de son exécution. »
Comme toute nouvelle technologie prometteuse, la puce M1 qui équipe les derniers Mac a suscité l’intérêt des développeurs. De la même manière que les développeurs d’applications se sont empressés de rendre leurs applications compatibles avec les nouveaux MacBook, les développeurs de malware se sont aussi mis au travail. Même si l’architecture ARM n’est pas aussi populaire que l’architecture x86, il n’aura fallu que quelques mois pour que les premiers malwares natifs sur M1 fassent leur apparition : Silver Sparrow et Pirrit. Le mythe selon lequel les ordinateurs d’Apple sont par défaut sécurisés a été remis en question plusieurs fois. La facilité avec laquelle certains types de malwares pour Mac ont été adaptés à la nouvelle architecture est une autre preuve que les Mac ont aussi besoin de protection supplémentaire.
Malwares natifs sur Apple M1
Silver Sparrow
Découvert par les chercheurs de Red Canary en février 2021, Silver Sparrow est un type de malware assez curieux car il ne possède pas de charge utile réelle, c’est-à-dire qu’il n’a pas de fonctionnalité. Jusqu’à aujourd’hui, les 40 000 Mac infectés n’ont pas subi de déclenchement d’autres composants après le téléchargement de Silver Sparrow. Les fichiers binaires livrés étaient simplement des « spectateurs », comme les a appelés l’équipe de chercheurs de Red Canary. Certains chercheurs en cybersécurité considèrent que Silver Sparrow n’est qu’une simple preuve de concept (proof of concept) qui s’est répandue sur un grand nombre d’appareils. Cela ne signifie pas pour autant qu’il ne constitue pas une menace pour Mac.
« Même si Silver Sparrow semble encore être aux phases préliminaires de développement et d’activité, le fait qu’il puisse télécharger et exécuter n’importe quel fichier binaire de manière furtive est inquiétant pour la sécurité. Cela nous donne une idée sur l’objectif des attaquants : ils pourraient se servir de cette méthode pour faire évoluer davantage Silver Sparrow, le transformer en menace plus sérieuse ou télécharger d’autres familles de malwares, utilisant ainsi Silver Sparrow comme canal de diffusion rentable pour d’autres fichiers malveillants », résume Bogdan Anghelache du Laboratoire de protection d’Avira.
D’après le Laboratoire de protection d’Avira, il existe deux versions de cette famille de malwares : la première compilée uniquement pour l’architecture Intel x86_64 (reconnaissable par la chaîne IOC agent_updater) et l’autre compilée à la fois pour les architectures Intel x86_64 et Apple M1 ARM (reconnaissable par la chaîne verx_updater).
Pirrit
Pirrit est un logiciel publicitaire diffusé comme logiciel utilitaire depuis 2016. Se faisant passer pour un lecteur vidéo ou PDF, Pirrit infecte aussi bien les appareils Windows que macOS. Il a la capacité de se rendre persistant, ce qui veut dire qu’il peut fonctionner en arrière-plan, en créant un LaunchDaemon et en se faisant passer pour une vraie application Apple.
Pirrit est utilisé pour espionner les activités de navigation de l’utilisateur et injecter des publicités dans le navigateur. Après son installation, Pirrit scanne les extensions installées sur Safari et les supprime. De par ses activités d’espionnage et d’injection de publicités, Pirrit pour OSX est passé du téléchargement et de l’installation d’injections malveillantes sur navigateur à la modification des propriétés internes des navigateurs installés comme Firefox ou Chrome. Il change également le fournisseur de moteur de recherche par défaut pour « tika-search.com » ou « delta-search.com ». Pirrit pour OSX utilise un fichier binaire spécifiquement conçu qui fonctionne en arrière-plan pour contrôler le navigateur ciblé et surveiller ce que fait l’utilisateur. En fonction de ces activités (liens consultés, requêtes de recherche), ce composant malveillant injecte des publicités sur la page Web ou ouvre de nouveaux onglets sur une pub spécifique.
XCSSET
Les développeurs d’Apple utilisent Xcode, l’environnement intégré de développement d’Apple, pour écrire le code des applications macOS. L’année dernière, les chercheurs en cybersécurité ont découvert un malware dans des projets Xcode et aujourd’hui ce malware s’est infiltré sur des Mac basés sur M1. Appelé XCSSET, le malware qui cible les développeurs Mac peut pirater Safari, injecter du code JavaScript malveillant sur des sites internet et dérober et chiffrer des fichiers de l’utilisateur.
Étant donné que les projets Xcode infectés sont modifiés pour qu’ils exécutent du code malveillant, non seulement XCSSET affecte l’ordinateur de la victime mais aussi tous les autres utilisateurs à qui les développeurs diffusent leur projet. Alors que de nombreux développeurs collaborent sur des plateformes comme GitHub, le malware peut facilement se répandre et générer des attaques en chaîne.
Comment devraient évoluer les menaces qui ciblent les Mac ?
Apple vient de commencer sa transition vers les processeurs ARM pour Mac et les architectures Intel x86 et ARM coexisteront pendant encore quelque temps. À ce stade, l’architecture Intel x86 domine le marché, et de loin, par conséquent, le volume de malwares ciblant les appareils x86 est encore bien plus élevé. Toutefois, l’intérêt des cybercriminels pour l’architecture ARM ira de pair avec l’intérêt du grand public pour cette architecture. Silver Sparrow, Pirrit et XCSSET ne sont que le début d’une série de menaces qui finiront par cibler les Mac basés sur ARM et la sécurité sur Mac.
Pour les utilisateurs finaux, il est important d’être au courant de tous les dangers qui rôdent sur la toile, des différents types de virus et malwares au hameçonnage en passant par les attaques d’ingénierie sociale élaborées. Avec une bonne connaissance des cybermenaces et des bons outils pour protéger vos appareils et vos données, le risque de tomber dans le piège des cybercriminels est faible. Pour plus de protection, découvrez Avira Free Security pour macOS.
