Depuis des années, les développeurs et chercheurs en sécurité macOS ont appelé Apple à intégrer les événements TCC au cadre de sécurité des points de terminaison (ES). Cette fonctionnalité permettrait de tracer directement une demande TCC jusqu’à l’application spécifique (ou au malware) qui l’a déclenchée, ouvrant ainsi la voie à une protection en temps réel, contrairement à la méthode actuelle qui consiste à analyser des journaux système.
La bonne nouvelle ? Apple se prépare à le faire dans macOS 15.4.
La mauvaise nouvelle ? Ce nouvel ajout présente encore quelques imperfections.
Au sein de l’écosystème d’Apple, le système TCC (Transparence, Consentement et Contrôle) joue un rôle cruciale en permettant aux utilisateurs d’accepter, de limiter ou de refuser les demandes d’accès à des données sensibles et à du matériel intégré comme le microphone et la caméra. L’objectif principal du TCC est d’assurer la transparence sur la manière dont les applications accèdent et utilisent les données des utilisateurs.
Dans un monde idéal, cela devrait protéger les utilisateurs. Cependant, les auteurs de malware savent que les gens valident souvent les demandes impulsivement en cliquant sur « Autoriser », exploitant ainsi cette tactique pour duper les utilisateurs.
Jusqu’à présent, la détection d’un événement TCC malveillant était relativement triviale. Les outils de sécurité ne pouvaient pas l’observer directement en temps réel ; ils devaient analyser les journaux pour déterminer si un événement malveillant s’était produit, souvent après que les dégâts aient été causés.
Comme l’a d’abord signalé Patrick Wardle d’Objective-See, créateur de plusieurs outils de sécurité Mac populaires comprenant LuLu, Apple a discrètement ajouté les événements TCC à son cadre de sécurité des points de terminaison dans la dernière bêta de macOS 15.4.
Le nouvel identifiant ES_EVENT_TYPE_NOTIFY_TCC_MODIFY notifie que l’alerte TCC a été déclenchée, permettant enfin aux outils de sécurité tiers de surveiller les demandes de permission en temps réel et de les relier aux applications qui les ont émises.
« Étant donné que la majorité des malwares macOS contournent le TCC en obtenant l’approbation explicite de l’utilisateur, il serait extrêmement utile pour tout outil de sécurité de détecter cela — et potentiellement de contrecarrer la décision risquée de l’utilisateur. Jusqu’à présent, la meilleure (et seule ?) option était d’ingérer les messages de journal générés par le sous-système TCC », écrit Wardle sur son blog.
Dans le passé, Apple a également ajouté les événements Gatekeeper au cadre ES dans macOS 13 Ventura, permettant aux outils de sécurité d’accéder au processus décisionnel de Gatekeeper concernant l’ouverture ou le blocage d’une application selon la politique définie. Avant cela, les décisions de Gatekeeper n’étaient pas accessibles aux tiers, tout comme les TCC avant la bêta de macOS 15.4.
Tout en saluant cet ajout des événements TCC à la sécurité des points de terminaison, Wardle mentionne que cela est « plutôt nuancé » ; ce n’est pas encore suffisant pour une visibilité utile et pourrait parfois manquer de détails précieux. Toutefois, il est important de noter que cela a été récemment ajouté dans la bêta de macOS 15.4, qui sera largement disponible le mois prochain. Nous espérons qu’Apple aura résolu la plupart de ces problèmes d’ici là.
Pour des analyses techniques plus approfondies, consultez le blog d’Objective-See.
