La semaine dernière, Jamf Threat Labs a publié une étude concernant une nouvelle variante de la famille MacSync Stealer, mettant en lumière un problème de sécurité grandissant sur macOS : des logiciels malveillants qui parviennent à contourner les protections les plus solides d’Apple. Cette variante a été distribuée via une application malveillante, à la fois signée avec un ID développeur valide et notariée par Apple, ce qui signifie que Gatekeeper n’avait aucune raison de bloquer son lancement.
Historiquement, le modèle d’Apple a bien fonctionné. Les applications distribuées en dehors du Mac App Store doivent être signées de manière cryptographique et notariées pour s’ouvrir sans que les utilisateurs aient à passer par des démarches complexes. Cependant, ce modèle de confiance suppose que la signature prouve la bonne intention. Or, ce que nous constatons maintenant, c’est que des attaquants obtiennent de véritables certificats développeurs et diffusent des malwares qui semblent indiscernables de logiciels légitimes lors de l’installation.
Après avoir échangé avec plusieurs personnes familières avec ce sujet, il apparaît que les acteurs de la menace utilisent diverses méthodes pour arriver à ce résultat. Dans de nombreux cas, ils font appel à plusieurs techniques :
- Des applications malveillantes signées et notariées pourraient opérer avec des certificats Developer ID compromis ou même achetés via des canaux clandestins, ce qui diminue considérablement les soupçons.
- Le binaire initial est souvent un exécutable basé sur Swift relativement simple qui apparaît inoffensif lors de l’analyse statique d’Apple et qui fait peu de choses par lui-même.
Le véritable comportement malveillant se manifeste plus tard, lorsque l’application se connecte à une infrastructure distante pour récupérer des charges utiles supplémentaires. Si ces charges utiles ne sont pas disponibles au moment de la notarisation et n’activation qu’en conditions réelles d’utilisation, les scanners d’Apple n’ont rien de malveillant à analyser. Le processus de notarisation évalue ce qui existe au moment de la soumission, pas ce qu’une application peut récupérer après son lancement, et les attaquants conçoivent clairement leurs méthodes en fonction de cette limite.
La première instance de malware notarié par Apple remonte à au moins 2020, découverte par un utilisateur de Twitter. En juillet dernier, une autre instance similaire d’une application malveillante a également été signée et notariée par Apple. Sommes-nous arrivés à un point de non-retour ? Probablement pas. D’une part, un seul cas est déjà trop.
D’autre part, il est trop facile de blâmer Apple. Le système fonctionne en grande partie comme il a été conçu. La signature de code et la notarisation n’ont jamais été destinées à garantir que les logiciels sont bénins pour toujours, mais seulement qu’ils peuvent être tracés jusqu’à un développeur réel et révoqués lorsque l’abus est découvert.
Ce vecteur d’attaque est intrigant et je continuerai à le suivre tout au long de 2026.
Au final, la meilleure défense contre les malwares est de télécharger des logiciels directement auprès des développeurs de confiance ou depuis le Mac App Store.
