Il est de ces idées qui ont la peau dure parmi en matière de sécurité. L’une d’entre elles consiste à assurer, quelque peu péremptoirement, que les équipements Mac d’Apple ne sont pas vulnérables aux failles de sécurité. Cette idée véhicule peut-être une part de vérité, mais il est néanmoins temps de se pencher plus sérieusement sur ce vecteur d’attaque en particulier.
Cette bienveillance vis-à-vis de la sécurité Mac s’explique : l’OS s’adosse à un backbone Unix doté d’outils de sécurité en natif qui protègent des attaques. Les utilisateurs Mac n’interviennent pas au niveau de la « racine » ou en tant qu’admin, comme le feraient nombre d’utilisateurs sur Windows. Tout ce qui peut affecter la stabilité du système ou qui tente de déployer de nouveaux services, nécessite souvent une authentification supplémentaire. C’est la raison pour laquelle il est bien plus complexe pour un malware de s’installer et de propager sur un système Mac.
Si le volume d’attaques ciblant Mac reste mineur c’est aussi à cause de la part de marché historiquement faible de cet OS par rapport aux équipements Windows avec, à la clé, un moindre intérêt des cybercriminels vis-à-vis de l’univers Mac.
Mais les choses commencent à évoluer
Mac poursuit sa prise de parts de marché et gagne en popularité auprès des utilisateurs…Et donc des assaillants. À titre d’exemple, dans de nombreuses organisations, les dirigeants et les équipes marketing préfèrent les Mac. Ces profils utilisent et partagent des informations de valeur, mais ne sont que trop rarement des technophiles avertis : ils sont donc moins enclins à appliquer à la lettre les meilleures pratiques de sécurité (sauvegardes régulières de leur équipement, chiffrement des données, etc.)
Les nouvelles opportunités d’attaque liées aux vecteurs d’attaque rendent également les dispositifs Mac plus intéressants à cibler. À titre d’exemple, nous assistons au développement d’outils de hacking capables de cibler plusieurs logiciels et plateformes.
Donc, si s’en prendre à un Mac peut être complexe et chronophage, il reste néanmoins possible de concevoir des attaques ciblant le framework Python, interopérable avec différentes plateformes et intégré par défaut sur tous les Mac. Notons par ailleurs que les ransomware n’ont pas besoin de privilèges spécifiques pour prendre un Mac en otage. Il leur suffit de cibler les données et fichiers personnels stockés dans le répertoire de travail de l’utilisateur.
Pour autant, les opportunités d’extorsion de fonds suite à une attaque par ransomware sur un Mac restent faibles, même si la victime est un cadre dirigeant. Combien ce dernier serait-il prêt à payer pour récupérer ses données ? 50 ? 500 ? 5000 euros ? Le montant reste faible par rapport aux opportunités financières d’une rançon payée suite à la prise en otage d’une infrastructure complète de soins de santé par exemple.
Mais que dire si cette exaction peut être menée à grande échelle ? Une option désormais possible grâce à la montée en puissance du Cybercrime as a Service. Plutôt que de s’en prendre à des dispositifs ou systèmes de faible valeur, les cybercriminels ont commencé à concevoir de véritables « franchises » de malware qui offrent à des criminels en herbe des technologies prêtes à l’emploi pour cibler des victimes potentielles contre, en échange, une rétrocession des profits réalisés. Ainsi, si prendre en otage un seul équipement ne présente qu’un faible d’intérêt pour les cybercriminels professionnels, l’activité de centaines de « franchisés » ciblant des milliers d’équipements au quotidien offre, en revanche, un réel intérêt.
Parallèlement, une telle opportunité séduit les cybercriminels en herbe. Un jeune hacker qui opère depuis la cave de la maison familiale et pendant son temps libre serait sans doute heureux de pouvoir pirater plusieurs dispositifs par semaine, avec un potentiel de gain de quelques centaines d’euros par système infecté.
Cette menace est réelle. Nos équipes des FortiGuard Labs ont ainsi signalé une nouvelle variante de ransomware ciblant les équipements Mac. Il devient d’autant plus urgent de protéger ces dispositifs.
Quel est le plan d’actions ?
Fort heureusement, les fans de la marque à la pomme disposent de moyens pour se protéger. Il s’agit de :
1.Installer les patchs et mises à jour. La grande majorité des attaques réussies tirent parti de vulnérabilités connues depuis des mois ou des années, et qui disposent donc de correctifs. Apple fournit régulièrement des mises à jour de sécurité qui doivent impérativement être installées par les utilisateurs. Il s’agit donc de se donner le temps de le faire.
2. Réaliser des sauvegardes. Le service Time Machine d’Apple crée automatiquement des sauvegardes intégrales du système. Si votre équipement est pris en otage, vous pouvez le réinitialiser et exécuter une restauration complète à partir de la sauvegarde. Et si vous utilisez ou stockez régulièrement des données vitales sur votre Mac, vous pouvez également procéder comme suit :
Réaliser une double sauvegarde. Les systèmes de sauvegarde de Time Machine sont souvent connectés en permanence à l’équipement devant être sauvegardé. Il est recommandé de conserver une sauvegarde stockée hors ligne et donc inaccessible lors d’une attaque.
Analyser les sauvegardes à la recherche de vulnérabilités. La restauration d’un équipement à partir d’une sauvegarde infectée ne présente aucun intérêt : les sauvegardes doivent donc être analysées pour s’assurer de leur innocuité.
3. Chiffrer les données stockées sur votre équipement. Peu efficace contre nombre de variantes de ransomware, cette bonne pratique protège néanmoins votre organisation en cas d’infection d’un équipement par un malware qui détourne données et fichiers.
4. Installer un client de sécurité. Ce conseil paraît évident, mais plus complexe à mettre en oeuvre qu’on ne l’imagine. Il existe nombre d’applications qui se disent capables d’optimiser, nettoyer et protéger votre équipement Mac. La plupart d’entre eux sont à éviter. Vous devez mener vos propres recherches. Nombre d’éditeurs d’outils de sécurité ont conçu des outils qui ne se contenteront pas de protéger votre dispositif, mais qui iront jusqu’à lier cette sécurité à votre stratégie de sécurité réseau, vous permettant ainsi de générer et partager des informations de veille sur les menaces : la protection de vos équipements et de vos ressources s’en retrouve ainsi renforcée.
5. Privilégiez une sécurité contre tous les vecteurs d’attaque. L’email reste le principal vecteur d’infection et vous devez donc disposer d’une sécurité email pertinente. Ceci est également vrai pour les outils de sécurité Web, les contrôles d’accès filaire et sans fil, la sécurité du cloud et les stratégies de segmentation du réseau, autant de leviers pour détecter, confiner et neutraliser les menaces identifiées sur l’ensemble de votre environnement multisite.
Lorsqu’il s’agit de sécurité, le changement est une constante, qu’il s’agisse de l’évolution de votre réseau ou des opportunités que créent ces changements pour les cybercriminels. Il devient donc impératif de considérer la sécurité de manière holistique, en protégeant chaque équipement contre les vecteurs d’attaque, et même ces équipements comme les Macs considérés comme si sécurisés.
___________
Christophe Auberger est Directeur Technique France, Fortinet