Apple OS X, le Fruit défendu l’est-il vraiment ?

Assis à mon bureau, tout en écrivant cet article, je contemple mon MacBook pro flambant neuf, il faut dire que la marque à la pomme mérite l’admiration. Les chiffres montrent une claire évolution de ses parts de marché et doucement, mais surement, Apple vient imposer son système d’exploitation: OS X. Les raisons de cette évolution sont claires, les Mac sont conçus pour la performance et la facilité d’utilisation. Gagnant tranquillement du terrain au fil des années, les utilisateurs commencent à tourner le dos au système de Microsoft pour OS X.

Mais un grand pouvoir implique de grandes responsabilités, les utilisateurs attendent de leur nouvel OS une sécurité à toute épreuve et le mythe de l’inviolabilité du système persiste. On entend encore souvent dans les Apple Stores: « Il n’y a pas de virus sur Mac », un argument de vente à toute épreuve pour un profane. Pourtant, par rapport à ses concurrents, Apple a encore beaucoup à apprendre en terme de sécurité.

Cet article n’a pas pour objectif de vous montrer les arcanes d’OS X, mais plutôt de vous donner quelques outils pour mieux comprendre et sécuriser votre machine. Il est maintenant temps de prendre le contrôle afin que les vendeurs de la pomme ne vous prennent plus pour des poires.

Apple, la dure Realité

Ce n’est pas un secret, plus la cible est large, plus la menace est grande, et plus vous risquez, un jour, de subir une attaque. Apple ne déroge pas à la règle et possède également son lot[2] de vulnérabilités[3]. La venue du fameux malware « Flashback »[1], qui a infecté plus de 600.000 machines en 2012 a permis à Apple de se réveiller et de remettre les pendules à l’heure. Mais les vers contenus dans la pomme sont de plus en plus nombreux.

Il est vrai qu’à l’époque où Apple et PowerPC marchaient main dans la main, les auteurs de malware avaient tendance à se tourner vers celui qui avait la plus grosse part du gâteau: Microsoft Windows, il y avait bien plus à gagner. Cependant, l’arrivée d’Intel au rayon fruits et légumes a changé la donne, porter du code malveillant vers une architecture maintenant similaire à celle de Windows était devenu plus facile.

Pendant longtemps, Apple a eu du mal à traiter et corriger et les problématiques de sécurité. De plus, avec le manque de communication sur ces problématiques, les utilisateurs de Mac ne se souciaient guère de la sécurité de leurs machines, pensant (à tort) être totalement protégé et invulnérable. Ils sont pourtant des cibles faciles, inconscient du danger et des menaces auquel ils sont exposés.

Mais ne nous méprenons pas, l’époque semble révolue et Apple a fait des efforts considérables. OS X est un très bon OS, intégrant aujourd’hui de nombreuses fonctionnalités de protection[5], malheureusement désactivée par défaut. Nous allons donc exposés quelques une d’entre elles dans les paragraphes suivants afin de consolidés votre système et surtout, de vous offrir une prise de conscience.

Protéger le Fruit défendu

Au rayon fruits et légumes, nous trouvons en ce moment « Yosemite » (et bientot « El Capitan »), le système d’exploitation dernier cri de notre agriculteur préféré. Il est courant de retrouver des configurations de sécurité laxistes sur les installations toutes fraiches des OS, et OSX en fait partie. Passons donc en revue les quelques options qui pourraient, un jour, sauver vos données.

Paramètre de Sécurité

Si l’on regarde du côté des préférences systèmes, nous retrouvons une icône portant bien son nom:  »Security & Privacy ». Ce menu offre l’accès à de nombreux paramètres concernant la sécurité de la machine.

Menu Apple (en haut à gauche de l’écran) > System Preferences > Security & Privacy.

Nous retrouvons d’ailleurs ici quelques options intéressantes, telle que la demande de mot de passe après la mise en veille ou la sortie de l’écran de veille. Il est d’ailleurs recommandé de demander un mot de passe immédiatement lors de la sortie du mode veille, ainsi que de désactiver l’authentification automatique. Nous y retrouvons aussi la possibilité de restreindre l’exécution des applications téléchargées, gérées par Gatekeeper. Gatekeeper assure que vous n’installez pas de logiciels malveillants lorsque vous téléchargez des applications sur votre Mac en empêchant l’installation d’outils conçus par des développeurs inconnus.

Il y a ici trois options de sécurité. Vous pouvez télécharger et installer des apps provenant de partout sur Internet, choisir exclusivement celles provenant de l’App Store ou utiliser l’option par défaut, qui vous permet d’installer les applications du Mac App Store et de développeurs identifiés. Lorsqu’une application ne porte pas de signature numérique, Gatekeeper empêche son installation et vous informe qu’elle ne provient pas d’un développeur approuvé. Néanmoins, si vous êtes certain que celle-ci est fiable, vous pouvez manuellement passer outre Gatekeeper en faisant un Contrôle + clic sur l’app et en choisissant de l’ouvrir.

 

Le bouton « Advanced », quant à lui, offre la possibilité d’effectuer une demande de mot de passe à chaque fois que l’on tente de modifier des paramètres systèmes. Une fois encore, il ne sera pas de trop de cocher cette case.

 

FileVault

FileVault est la solution offerte par Apple pour chiffrer vos données. Utilisant l’algorithme AES-XTS 128[6], l’outil permet de chiffrer l’intégralité du disque dur de manière simple et rapide. Le chiffrement et le déchiffrement sont effectués à la volée lors de l’utilisation du système.

Menu Apple > System Preferences > Security & Privacy, puis cliquer sur FileVault.

Lors de l’activation de FileVault, vous pouvez choisir d’utiliser votre compte iCloud ou de créer une clé de récupération pour débloquer le disque en cas de perte du mot de passe.

FileVault peut également chiffrer des disques amovibles, afin de sécuriser vos sauvegardes Time Machine et autres disques externes.

Il est vrai qu’il existe un impact sur les performances de la machine, mais il reste minime et invisible aux yeux de l’utilisateur. Les processeurs modernes inclus maintenant dans leur jeu d’instruction des fonctionnalités permettant de traiter AES avec facilité et rapidité [4].

Firewall

Apple OS X vient avec un firewall applicatif basé sur pf[] (Apple a remplacé le firewall ipfw de FreeBSD par pf d’OpenBSD depuis la version 10.7 du système). Par défaut il est désactivé, mais il suffit de cliquer sur Turn On pour l’activer.

Menu Apple > System Preferences > Security & Privacy, puis cliquer sur Firewall.

 

Les options du firewall permettent d’autoriser ou de bloquer certaines applications dépendamment de vos besoins. Ici, tout est bloqué, sauf les services réseau de base (DHCP, Bonjour et IPSec), qui représentent tout de même des portes d’entrée sur le système.

Sauvegarde

Autre option intéressante, le système de sauvegarde Time Machine. Il est fortement conseiller de vous offrir un petit disque dur externe pour sauvegarder vos données, il serait malencontreux que votre ordinateur rende l’âme, emportant dans sa tombe les photos de vacances des 5 dernières années et votre superbe collection de musique.

Menu Apple > System Preferences > Time Machine.

Time Machine, offre la possibilité de chiffrer vos données sauvegardées via FileVault, pensez à l’activer.

 

Autres Détails

La section Privacy du menu de sécurité offre un bon nombre d’options permettant de garder vos informations confidentielles. Nous y retrouvons notamment les services de Géolocalisation, contenant les applications capables de vous localiser ou encore la section accessibilité, montrant les applications autorisées à effectuer des actions privilégiées sur votre Mac. Il est conseillé de configurer ces options en fonction de vos besoins et de vous assurer qu’aucune application téléchargée ne possède plus de droits qu’elle ne le devrait.

Menu Apple > System Preferences > Security & Privacy, puis cliquer sur Privacy.

 

Enfin, un dernier point concernant les services de partage, que l’on retrouve dans les préférences système.

Menu Apple > System Preferences > Sharing.

Ici, vous pouvez sélectionner ce que votre Mac partage sur le réseau. Vous avez la possibilité de  décocher les services que vous souhaitez désactiver, tout en sachant que l’utilisateur moyen n’a probablement besoin d’aucun d’entre eux.

 

Conclusion

Nous en avons fini avec ces recommandations. Bien sûr , cela ne rend pas votre machine invulnérable, mais il s’agit là de quelques recommandations rapides à mettre en place, permettant de vous prémunir d’éventuelles menaces en réduisant la surface d’attaque.

Sachez que peu importe votre religion en terme de système d’exploitation, dans le monde de la sécurité, il n’existe pas de solution miracle, l’éducation et la sensibilisation des utilisateurs face aux menaces sont un premier pas vers la protection des données. La connaissance des solutions techniques pour se protéger des attaques vient compléter la formation.

Cependant, dans notre monde connecté, personne n’est à l’abri, tôt ou tard, on se fera toujours avoir…

« The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. » – Gene Spafford

Alexandre CHERON (@axcheron)

Références

[1] http://arstechnica.com/apple/2012/04/flashback-trojan-reportedly-controls-half-a-million-macs-and-counting/
[2] http://arstechnica.com/security/2015/06/serious-os-x-and-ios-flaws-let-hackers-steal-keychain-1password-contents/
[3] http://arstechnica.com/security/2015/01/worlds-first-known-bootkit-for-os-x-can-permanently-backdoor-macs/
[4] https://en.wikipedia.org/wiki/AES_instruction_set
[5] https://www.apple.com/fr/osx/what-is/security/
[6] http://csrc.nist.gov/publications/nistpubs/800-38E/nist-sp-800-38E.pdf

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *