Protection contre les logiciels malveillants sous macOS
Apple exécute un processus qui exploite les renseignements sur les menaces pour identifier et bloquer rapidement les logiciels malveillants.
Trois couches de défense
Les défenses contre les logiciels malveillants sont organisées en trois couches :
1. Empêcher le lancement ou l’exécution des logiciels malveillants : App Store ou Gatekeeper combiné à la notarisation
2. Bloquer l’exécution des logiciels malveillants sur les systèmes clients : Gatekeeper, la notarisation et XProtect
3. Remédier à l’infection causée par l’exécution de tout logiciel malveillant : XProtect
La première couche de défense est conçue pour contenir la distribution de logiciels malveillants et pour empêcher ces derniers de s’exécuter ne serait-ce qu’une fois. C’est le rôle de l’App Store et de Gatekeeper combinés à la notarisation.
La couche de défense suivante a pour mission d’aider à identifier et à bloquer rapidement tout logiciel malveillant qui parvient à s’introduire sur un Mac, et ce, dans le but d’arrêter sa propagation et de réhabiliter les systèmes déjà touchés sur le Mac. En plus de Gatekeeper et de la notarisation, cette couche de défense compte aussi sur XProtect.
Enfin, XProtect agit pour réparer les méfaits de tout logiciel malveillant qui a réussi malgré tout à s’exécuter.
Ces protections, décrites plus en détail ci-dessous, s’allient pour soutenir les bonnes pratiques de sécurité contre les virus et les logiciels malveillants. Il existe des mesures de protection supplémentaires, particulièrement sur les Mac dotés d’une puce Apple, pour limiter les dommages que les logiciels malveillants sont en mesure de causer lorsqu’ils parviennent à s’exécuter. Consultez la section Protections contre l’accès des apps aux données utilisateur pour découvrir comment macOS peut contribuer à protéger les données utilisateur des logiciels malveillants, et la section Intégrité du système d’exploitation pour découvrir comment macOS peut limiter les actions qu’un logiciel malveillant peut entreprendre sur le système.
Notarisation
La notarisation est un service d’analyse de logiciels malveillants fourni par Apple. Les développeurs qui souhaitent distribuer des apps pour macOS en dehors de l’App Store soumettent leurs apps à des fins d’analyse dans le cadre du processus de distribution. Apple analyse ces logiciels afin d’identifier tout logiciel malveillant connu, puis émet un ticket de notarisation si aucun logiciel malveillant n’a été détecté. Les développeurs ajoutent généralement ce ticket à leur app pour que Gatekeeper puisse vérifier et lancer l’app, même lorsque l’ordinateur est hors ligne.
Apple peut aussi émettre un ticket de révocation aux apps connues pour être malveillantes, et ce, même si elles ont été précédemment notarisées. macOS consulte régulièrement les nouveaux tickets de révocation pour que Gatekeeper puisse disposer des informations les plus récentes et bloquer le lancement de tels fichiers. Ce processus peut bloquer très rapidement les apps malveillantes parce que les mises à jour ont lieu en arrière-plan beaucoup plus fréquemment que celles qui envoient les nouvelles signatures XProtect en arrière-plan. Par ailleurs, cette protection peut être appliquée tant aux apps qui ont déjà été notarisées qu’à celles qui ne l’ont jamais été.
XProtect
macOS comporte une technologie antivirus appelée XProtect pour détecter et supprimer les logiciels malveillants sur la base de leur signature. Le système utilise des signatures YARA, un outil qu’Apple met à jour régulièrement qui sert à détecter les logiciels malveillants sur la base de leur signature. Apple surveille l’apparition de nouveaux logiciels malveillants et actualise automatiquement la liste de signatures, indépendamment des mises à jour du système, pour empêcher un Mac d’être infecté. XProtect détecte les logiciels malveillants connus et bloque leur exécution. Sous macOS 10.15 et les versions ultérieures, XProtect vérifie la présence de contenu malveillant connu dès :
qu’une app est lancée pour la première fois;
qu’une app a été modifiée (dans le système de fichiers);
que les signatures XProtect sont mises à jour.
S’il détecte un logiciel malveillant connu, XProtect bloque le programme, puis l’utilisateur reçoit une notification et peut choisir de le placer dans la corbeille.
Remarque : La notarisation est efficace dans le cas des fichiers (ou des hachages de fichiers) connus et peut être utilisée avec les apps qui ont déjà été lancées. Les règles de XProtect qui reposent sur les signatures sont plus génériques que le hachage d’un fichier donné. XProtect est donc en mesure de détecter des variantes qu’Apple n’a pas distinguées. XProtect analyse uniquement les apps qui ont été modifiées ou celles qui sont lancées pour la première fois.
Xprotect comprend des technologies pour remédier à l’infection d’un Mac par un programme malveillant. Par exemple, il comprend un moteur qui remédie aux infections en fonction des mises à jour automatiquement transmises par Apple (dans le cadre des mises à jour automatiques des fichiers de données système et de la sécurité). Ce système supprime les logiciels malveillants dès qu’il reçoit de nouvelles informations et il continue à vérifier périodiquement la présence d’infections; toutefois, XProtect ne redémarre pas le Mac automatiquement. De plus, XProtect contient un moteur avancé pour détecter des logiciels malveillants en fonction de l’analyse comportementale. Les informations au sujet des logiciels malveillants détectés par ce moteur, y compris le logiciel responsable de leur téléchargement, servent à améliorer les signatures XProtect et la sécurité de macOS.
Mises à jour de sécurité automatiques de Xprotect
Apple publie automatiquement des mises à jour pour XProtect en fonction des derniers renseignements sur les menaces. Par défaut, macOS recherche ces mises à jour quotidiennement. Les mises à jour de notarisation, qui sont distribuées par l’entremise de la synchronisation de CloudKit, sont bien plus fréquentes.
Comment Apple intervient lorsqu’un nouveau logiciel malveillant est découvert
Lorsqu’un nouveau logiciel malveillant est découvert, plusieurs opérations peuvent être effectuées :
Tous les certificats d’identification du développeur associés sont révoqués.
Les tickets de révocation de notarisation sont émis pour tous les fichiers (apps et fichiers associés).
Les signatures XProtect sont développées et distribuées.
Ces signatures sont également appliquées de façon rétroactive aux logiciels précédemment notarisés et toute nouvelle détection peut entraîner une ou plusieurs des actions précédentes.
En définitive, la détection d’un logiciel malveillant déclenche une série d’opérations au cours des prochaines secondes, heures et journées pour offrir la meilleure protection possible aux utilisateurs de Mac.