Malgré les défis auxquels nous avons tous été confrontés en 2021, les acteurs malveillants ciblant les appareils macOS et iOS n'ont pas faibli. En effet, les menaces de sécurité ciblant l'écosystème Apple ne se sont pas seulement multipliées : elles ont aussi atteint un niveau extrême de sophistication. Les pirates réutilisent des attaques existantes, développent de nouvelles menaces et les combinent pour former des entités multifacettes. L'objectif de ces efforts : multiplier les moyens d'infecter et de compromettre les appareils tout en acquérant une forme de persistance en vue d'attaques à venir et restant encore à développer.
Dans cet article, nous abordons les 10 menaces de sécurité et vulnérabilités qui ont eu le plus d'impact sur la sécurité des terminaux iOS et macOS en 2021. Vous découvrirez ce dont elles étaient capables et pourquoi elles ont été si dévastatrices.
Doc Brown
MacOS gagne constamment en popularité auprès des utilisateurs personnels et professionnels. Et la raison de ce succès n'est un secret pour personne. D'excellentes machines ont été lancées ces dernières années, comme les ordinateurs portables compacts, légers et puissants de la gamme MacBook Pro. D'autre part, le développement de l'architecture SoC (silicon-on-a-chip) M1 délivre des niveaux supérieurs de performances et d'efficacité. Il n'est donc pas étonnant que huit nouvelles familles de logiciels malveillants ciblant macOS soient apparues en 2021, selon Patrick Wardle, chercheur en sécurité Apple.
1. XLoader : les développeurs de ce qui était au départ un exécutable Windows ont mis au point un binaire Mach-O. Il est diffusé selon le modèle du logiciel malveillant en tant que service dans un environnement hébergé. N'importe qui peut ainsi créer son propre fichier .jar ou binaire macOS malveillant basé sur XLoader afin de voler des identifiants et d'enregistrer les saisies.
2. XCSSET : détecté par les Laboratoires Jamf Threat, le logiciel malveillant XCSSET infecte les workflows Xcode pour contourner les protections TCC d'Apple, qui assurent la confidentialité. Cet exploit Zero-Day capture secrètement les autorisations d'une application existante et s'en sert pour créer une app unique. Résultat : une app malveillante qui s'exécute avec des autorisations dangereuses pour la confidentialité, et que l'utilisateur n'a jamais été invité à valider.
3. Log4j : cette menace n'est pas spécifique à macOS, et cet exploit basé sur Java a touché des systèmes informatiques dans le monde entier. L'impact de l'attaque a été considérable étant donné le nombre de systèmes dont les applications et services reposent des bibliothèques Java. Pire encore, elle a frappé durant les fêtes de fin d'année : de nombreuses organisations ont dû mobiliser leurs services informatiques dans l'urgence pour contenir les retombées jusqu'à la publication de correctifs.
4. Shlayer : les Laboratoires Jamf Threat ont également découvert un autre logiciel malveillant capable de contourner les protections de Gatekeeper. Cette variante de Shlayer crée un bundle d'applications à l'aide dun script malveillant. Ce paquet, téléchargé depuis Internet, contourne la mise en quarantaine des fichiers, Gatekeeper et la notarisation.
5. Silver Sparrow : ce framework innove de multiples façons dans le monde des logiciels malveillants Mac. Capable de tenir ses créateurs informé de l'état de l'infection et de la persistance, il contenait une entité basée sur Java qui installait et paramétrait les fonctionnalités C2 en vue de futures attaques. Surtout, il était le premier à s'exécuter nativement sur l'architecture M1 d'Apple.
6. Escalade de privilèges Sudo : l'obtention d'un accès root fait naturellement partie de nombreuses stratégies des attaquants. Mais la vulnérabilité CVE-2021-3156, ciblant les systèmes basés sur Unix, a également touché macOS. En substance, les utilisateurs malveillants acquièrent grâce à cela des droits de niveau sudo – le premier pas vers le désastre, comme vous le diront tous les administrateurs informatiques.
Marty McFly
Avec l'adoption massive des environnements de travail à distance ou hybrides, la puissance des technologies mobiles en fait un choix évident pour les organisations en quête de flexibilité. L'objectif : donner aux collaborateurs les moyens de travailler de n'importe où, à tout moment. Mais cela ne va pas sans certains inconvénients. En effet, les risques pour la sécurité des terminaux mobiles se multiplient : logiciels espions, vulnérabilités et logiciels malveillants persistants (oui, vous avez bien lu !).
7. Démonstration de persistance : sur iOS, la plupart des logiciels malveillants s'exécutent dans l'espace mémoire. Par conséquent, au redémarrage de l'appareil, il est effacé des processus en cours d'exécution et doit être relancé. Comme sur macOS, la persistance a toujours été la clé pour garantir le fonctionnement des logiciels malveillants malgré l'arrêt de l'appareil. Elle n'était pas possible sur iOS, jusqu'à ce qu'une équipe de recherche en sécurité identifie une vulnérabilité dans le traitement des entrées de retour. Grâce à cette faille, les logiciels malveillants de continuer à s'exécuter dans la mémoire à l'insu de l'utilisateur, sans même exploiter un zero-day.
8. CVE-2021-30883 : cette vulnérabilité permettait à une application d'exécuter du code arbitraire avec des privilèges de noyau, soulignant l'importance d'une gestion régulière des correctifs. Parce qu'elle permet aux acteurs malveillants d'acquérir des privilèges locaux et de quitter la sandbox de l'app, elle peut devenir le maillon d'une chaîne d'attaques beaucoup plus puissante.
9. Pegasus : créé pour permettre aux forces de l'ordre de capturer les données de criminels présumés, ce logiciel-espion a fait la une des journaux quand Amnesty International a découvert qu'il était utilisé contre des journalistes, des activistes et des dissidents. Pegasus a été rapproché de vulnérabilités zero-day présentes dans iMessage et WhatsApp, dans le cadre d'une campagne d'attaque « zéro clic » : le logiciel espion s'installe automatiquement sans même que l'utilisateur n'ait répondu à un message ou un appel.
10. XcodeSpy : considéré comme une attaque de la chaîne d'approvisionnement, ce logiciel malveillant cible les projets Xcode utilisés par les développeurs Apple pour concevoir de nouvelles applications parfaitement légitimes. Les acteurs malveillants peuvent ainsi perturber le processus de développement, mais surtout accéder plus largement à une multitude de cibles : dans les faits, tous les utilisateurs qui installent les logiciels touchés sur leur appareil iOS.
Retour vers le futur
Dans ce film culte des années 80, le personnage principal revient dans le présent après avoir voyagé dans le passé. Si certaines choses n'ont pas changé, des événements ont été affectés. La cybersécurité Mac a certains points communs avec Retour ver le futur. Par exemple, les logiciels malveillants que nous avons mentionnés sont toujours exploités. Ils servent également de tremplin au développement de méthodes plus innovantes et ingénieuses visant à distribuer des logiciels malveillants, compromettre des appareils et voler des données.
Rançongiciels
Comme les mauvaises herbes, les rançongiciels ne disparaissent jamais. Ils sont simplement devenus plus sophistiqués afin de renforcer leur domination sur le monde des logiciels malveillants. Certains décident de manger plus sainement, de faire de l'exercice tous les jours et de perdre leurs mauvaises habitudes. Les rançongiciels, eux aussi, font tout pour séduire les pirates en quête d'une activité lucrative – et ils y parviennent.
Selon un article de Bloomberg, « les activités suspectes liées à des rançongiciels détectées au cours des six premiers mois de 2021 représentent 590 millions de dollars ». Et en 2020, demandez-vous ? 416 millions de dollars sur toute l'année.
Comme si les perspectives n'étaient pas assez sombres dans ce domaine, une menace plus grave encore se profile à l'horizon : les rançongiciels en tant que service (ou RaaS, Ransomware-as-a-Service). En effet, les pirates ont aussi migré vers le cloud. Les développeurs de rançongiciels ont ouvert leur commerce : ils vendent ou louent l'accès à leur infrastructure aux malfaiteurs qui souhaitent mener des attaques par rançongiciel, mais n'ont pas les compétences techniques ou les outils pour le faire.
Il existe plusieurs modèles de « kit RaaS » : abonnements mensuels, programmes d'affiliation offrant opérateurs un pourcentage du butin, partage des profits ou licences à usage unique. Ne vous y trompez pas : avec une moyenne de 10 millions de dollars par campagne réussie, les solutions clés en main avec infrastructure gérée ont tout pour faire florès. Les chercheurs avertissent que les RaaS représentaient déjà près des deux tiers des campagnes de rançongiciels l'année dernière.
Il y a cependant une lueur d'espoir. Nous n'avons pas de DeLorean pour remonter dans le temps et retrouver une époque plus simple, mais le FBI a publié d'excellentes recommandations pour mieux protéger votre organisation face à la menace des rançongiciels.
Nom de Zeus, vous avez un parc mobile sans protection des terminaux !
Ne vous inquiétez pas, et contactez Jamf ou votre représentant habituel dès aujourd'hui. Il vous présentera les solutions qui répondent aux besoins et aux exigences de conformité propres à votre organisation.
Qu’est-ce que la protection contre les menaces sur mobile (MTD) ?
Retour sur les fondamentaux de la sécurité : les logiciels malveillants
Les fondamentaux de la sécurité : le phishing
Qu’est-ce qu’une attaque de l’homme du milieu (MitM ou Man-in-the-Middle) ?
par catégorie :
Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.