En matière de sécurité, macOS est équipé d’une suite de détection intégrée, XProtect, qui permet d’identifier et de supprimer certains malwares sans l’aide de logiciels tiers. Apple met à jour régulièrement les règles de détection de XProtect pour faire face aux nouvelles menaces. Bien que les noms des règles soient souvent obfusqués, il est possible pour les chercheurs en sécurité de les associer à leur appellation industrielle courante.
Dans cette édition de Security Bite, je fais le point sur les malwares que votre Mac peut détecter et supprimer par lui-même.
XProtect, règles YARA, qu’est-ce que c’est ?
Lancé en 2009 dans macOS X 10.6 Snow Leopard, XProtect a évolué pour non seulement détecter le malware, mais aussi pour en remédier les effets grâce à XProtectRemediator (XPR), un module anti-malware national plus performant. Ce dernier est responsable de l’identification et de la suppression des menaces sur Mac.
La suite XProtect utilise la détection basée sur les règles YARA pour identifier le malware. YARA est un outil open-source largement adopté qui permet d’identifier des fichiers en fonction de caractéristiques spécifiques de leur code ou de leurs métadonnées. Ce qui est particulièrement intéressant avec les règles YARA, c’est qu’elles peuvent être créées et utilisées par n’importe quelle organisation, y compris Apple.
Actuellement, avec macOS 15 Sequoia, la suite XProtect se compose de trois composants principaux :
- L’application XProtect qui détecte les malwares lors du premier lancement d’une application ou lors de la mise à jour de ses signatures.
- XProtectRemediator (XPR), qui effectue des analyses régulières et supprime les menaces, tout en minimisant l’impact sur le CPU.
- XProtectBehaviorService (XBS), qui surveille le comportement système par rapport à des ressources critiques.
Malheureusement, Apple utilise principalement des noms internes génériques dans XProtect, rendant difficile l’identification des menaces spécifiques pour les curieux. Par exemple, certaines règles YARA portent des noms plus explicites comme XProtect_MACOS_PIRRIT_GEN, une signature pour le malware adware Pirrit. La plupart des autres règles, en revanche, sont désignées par des noms plus génériques qui ne sont compréhensibles que par leurs ingénieurs.
Comment accéder à XProtect sur votre Mac ?
XProtect est activé par défaut sur toutes les versions de macOS et fonctionne en arrière-plan sans intervention nécessaire de votre part. Les mises à jour de XProtect se font automatiquement. Voici où le trouver :
- Dans Macintosh HD, allez dans Library > Apple > System > Library > CoreServices
- Cliquez avec le bouton droit sur XProtect et choisissez Afficher le contenu du paquet
- Développez Contents puis ouvrez MacOS
Il est important de noter que les utilisateurs ne doivent pas se fier uniquement à la suite XProtect d’Apple, car elle est conçue pour détecter les menaces connues. Des attaques plus avancées pourraient facilement contourner cette détection. Il est donc fortement recommandé de compléter la protection avec des outils de détection et de suppression des malwares tiers.
Les malwares que macOS peut supprimer seul
Actuellement, XProtect peut identifier 23 des 25 modules de remédiation dans la version actuelle de XPR (v156). Presque tous ces modules portent des noms internes d’Apple et ne notifient pas l’utilisateur lors des analyses ou des remédiations. Voici ce que nous savons sur certains d’entre eux :
- Adload : un loader d’adware ciblant les utilisateurs macOS depuis 2017.
- BadGacha : non identifié officiellement, mais connu pour générer des faux positifs.
- Pirrit : un adware macOS connu pour injecter des publicités et collecter des données de navigation privées.
Pour plus de détails sur chaque module et ses spécificités, y compris leur fonctionnement et les menaces qu’ils ciblent, la recherche continue d’évoluer.
