La semaine dernière, des recherches ont été publiées par Jamf Threat Labs sur une nouvelle variante de la famille MacSync Stealer, mettant en lumière un problème croissant dans la sécurité de macOS : des malwares qui contournent les principales protections contre les applications tierces d’Apple. Cette nouvelle variante a été distribuée dans une application malveillante, à la fois signée avec un identifiant développeur valide et notariée par Apple, ce qui signifie que Gatekeeper n’avait aucune raison de la bloquer.
Historiquement, le modèle d’Apple a bien fonctionné. Les applications distribuées en dehors de l’App Store doivent être signées et notariées pour s’ouvrir sans que les utilisateurs aient à passer par de nombreux obstacles. Cependant, ce modèle de confiance suppose que la signature prouve une bonne intention. Ce que nous constatons aujourd’hui, c’est que des attaquants obtiennent de véritables certificats de développeur et expédient des malwares qui apparaissent indiscernables de logiciels légitimes au moment de l’installation.
Les méthodes des attaquants
Après avoir consulté plusieurs personnes proches du sujet, il existe plusieurs façons pour les acteurs malveillants d’atteindre cet objectif. Dans de nombreux cas, ils utilisent une combinaison de :
- Des applications malveillantes signées et notariées pourraient fonctionner avec des certificats Developer ID compromis ou même achetés via des canaux clandestins, ce qui réduit considérablement les soupçons.
- Le binaire initial est souvent un exécutable relativement simple basé sur Swift, qui semble inoffensif lors de l’analyse statique d’Apple et ne fait rien de lui-même.
Le véritable comportement malveillant se produit plus tard, lorsque l’application appelle une infrastructure à distance pour récupérer des charges utiles supplémentaires. Si ces charges utiles ne sont pas disponibles lors de la notarisation et activent uniquement des conditions d’exécution dans le monde réel, les scanners d’Apple n’ont rien de malveillant à analyser. Le processus de notarisation évalue ce qui existe au moment de la soumission, et non ce qu’une application peut récupérer après son lancement, et les attaquants conçoivent clairement autour de cette frontière.
Un problème persistant
Le premier cas de malware notarié par Apple remonte à au moins 2020, découvert par un utilisateur de Twitter. En juillet dernier, une autre instance d’une application malveillante similaire qui a été signée et notariée par Apple a été signalée. Cela signifie-t-il que nous avons atteint un point critique ? Probablement pas. D’un côté, je suis d’accord pour dire qu’une seule instance de ce type est déjà trop. De l’autre, il semble trop facile de faire porter le chapeau à Apple ici. Le système fonctionne largement comme prévu. La signature de code et la notarisation n’étaient jamais destinées à garantir que le logiciel est bénin pour toujours, mais seulement qu’il peut être retracé jusqu’à un véritable développeur et révoqué lorsque l’abus est découvert.
C’est un vecteur d’attaque intrigant et que je continuerai à suivre en 2026.
En fin de compte, la meilleure défense contre les malwares reste de télécharger des logiciels directement depuis des développeurs de confiance ou depuis l’App Store.
