IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Apple Discussion :

Mac OS X : des téléchargements non sécurisés permettent des exploits « dylib »


Sujet :

Apple

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 939
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 939
    Points : 88 211
    Points
    88 211
    Billets dans le blog
    2
    Par défaut Mac OS X : des téléchargements non sécurisés permettent des exploits « dylib »
    Mac OS X : des téléchargements non sécurisés permettent des exploits « dylib »
    qui déjouent la surveillance de Gatekeeper d'Apple


    Patrick Wardle, ex-chercheur en sécurité de la NSA et la NASA et actuellement directeur de recherche chez la startup de sécurité SynAck, explique avoir trouvé un moyen pour tromper la vigilance du logiciel de sécurité Gatekeeper d'Apple. En contournant le mécanisme de détection des logiciels malveillants de Gatekeeper, il arrive à introduire des implants sur les Macs pour voler les données personnelles des utilisateurs.

    Sa nouvelle technique pour passer à travers les mailles du logiciel d'Apple repose sur deux découvertes qu'il a faites. D'abord tous les meilleurs produits anti-virus pour Mac utilisent des lignes non chiffrées HTTP pour leurs téléchargements plutôt que HTTPS.


    La deuxième est une faille dans le fonctionnement de Gatekeeper. Le logiciel ne vérifie pas tous les composants des fichiers de téléchargement Mac OS X, selon Wardle. Le chercheur en sécurité note en effet qu'il peut glisser une version malveillante de ce qui est connu comme un fichier « dylib » dans les téléchargements légitimes effectués via HTTP pour infecter Mac et voler les données de l’utilisateur. Les fichiers dylib (bibliothèques dynamiques) sont en fait conçus pour être réutilisés par les différentes applications et sont censés les faire fonctionner plus efficacement.

    La technique d'attaque de Wardle lui permet donc d'abuser de ces téléchargements non sécurisés et contourner les protections dans les Macs d'Apple sans se faire prendre. En effet, il parvient à intercepter les téléchargements de logiciels via HTTP. Ensuite il injecte dans le téléchargement une application légitime vulnérable, c'est-à-dire qui pourra utiliser ces dylib malveillants. L'application injectée est alors mélangée dans le fichier .dmg. Ni l'application légitime, ni sa signature ne sont modifiées. De cette manière, Gatekeeper ne remarquera rien de suspect, et l'implant pourra passer facilement le contrôle.

    « HTTPS devrait empêcher les attaquants d'être en mesure d'intercepter et d'infecter les téléchargements légitimes. » A dit le chercheur en sécurité. « Puisque nous ne modifions pas réellement l'application originale téléchargée, nous infectons plutôt le .dmg en ajoutant un dylib malveillant et l'application n'est pas modifiée mais vulnérable, aucune signature d'application n'est brisée, c'est pourquoi l'attaque réussit ». A-t-il ajouté.

    Si l'attaquant doit d'abord être sur le même réseau que le Mac ciblé, il doit aussi trouver des applications vulnérables à injecter dans le téléchargement intercepté.

    A ce niveau, Wardle note que trouver des applications vulnérables n'a pas non plus été une chose difficile. Il a créé un scanner qui recherche les applications qui utilisent ces dylib et il en a trouvé environ 150 sur sa machine. Parmi ces applications, on compte des logiciels très populaires comme Word et Excel. La liste comprend également le propre iCloud Photos d'Apple, Dropbox, l'outil de développeur d'Apple appelé XCODE, et le logiciel de gestion des clés de chiffrement GPG Keychain d'Apple.


    Wardle croit qu'Apple devrait ré-architecturer son système et renforcer les capacités de Gatekeeper pour corriger la faille, mais la firme n'a pas réagi après à ses recherches.

    Par contre, du côté des éditeurs de logiciels de sécurité impliqués, F-Secure et Intego ont déjà pris des mesures pour sécuriser les téléchargements de leurs produits, alors qu'Avast n'y voit pas de problème.

    D’après un porte-parole d'Avast, « HTTPS vous donne principalement deux avantages sur http, l'une étant la communication chiffrée et l'autre la vérification par les pairs. Lors du téléchargement du DMG, il n'y a rien qui justifie le chiffrement, aucune information privée n'est impliquée. Et la vérification par les pairs n'est pas nécessaire. » Autrement dit, le chiffrement HTTPS n’est pas nécessaire.

    Des exploits similaires avec DDL ont infecté Windows depuis plus de 15 ans. Et les recherches de Wardle montrent que Mac OS X d'Apple n'est pas non plus à l'abri. L'ex-chercheur en sécurité de la NASA et la NSA a présenté ses résultats à la conférence CanSecWest sur la sécurité pendant laquelle il a livré une application pour rechercher les dylib malveillants et vérifier si un utilisateur a été victime d'une telle attaque.

    Source : Forbes

    Et vous?

    Qu'en pensez-vous?

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    tien comme d'hab Apple bronche pas
    mais ça changeras en cas de grosse attaque

Discussions similaires

  1. Trouver des noms de fichiers avec des caractères non ASCII
    Par llaffont dans le forum Shell et commandes GNU
    Réponses: 3
    Dernier message: 16/10/2012, 14h06
  2. Comment créer des blocs non basés et des blocs basés
    Par sghiri_alla_eddine dans le forum Forms
    Réponses: 1
    Dernier message: 10/05/2012, 09h09
  3. Réponses: 2
    Dernier message: 21/08/2009, 13h41
  4. Cette page contient des éléments sécurisés et non sécurisés
    Par bigsister dans le forum Balisage (X)HTML et validation W3C
    Réponses: 5
    Dernier message: 26/04/2005, 14h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo