Un développeur de logiciels a publié des détails sur une faille dans App Management, une fonctionnalité de sécurité introduite dans MacOS Ventura. C’est en octobre dernier, avant la sortie officielle de Ventura, que le développeur a découvert la faille, mais depuis, Apple n'a publié aucun correctif, décidant le développeur à rendre l'information publique. App Management surveille les tentatives des logiciels de modifier d'autres applications sur le Mac et d'empêcher ainsi les actions malveillantes. Si cela se produit, App Management bloque la modification et alerte l'utilisateur, qui peut l'autoriser le cas échéant.

Dans un billet de blog, Jeff Johnson explique pourquoi il y a un lien entre la faille et le bac à sable des applications. Les logiciels en sandbox ne peuvent pas modifier d'autres programmes sans autorisation, mais, comme le détaille Jeff Johnson, Apple a placé le dossier Applications lui-même dans le bac à sable. Cette configuration permet aux applications sans bac à sable de modifier d'autres programmes et de contourner le contrôle effectué par App Management. Le développeur a créé un projet Xcode qui démontre la faille. Dans un billet d'octobre 2022, dans lequel il expliquait le fonctionnement d’App Management et les cinq façons dont une application peut obtenir des permissions, Jeff Johnson faisait déjà allusion à cette faille : il avait mentionné un sixième moyen d’obtenir des permissions, mais ne l'avait pas révélé à l'époque, car il s'agissait justement de cette faille du bac à sable.

Pas encore de mise à jour

M. Johnson a déclaré avoir signalé le problème à Apple, qui a reconnu avoir reçu le rapport. Mais l’entreprise n'a toujours pas corrigé le problème, incitant M. Johnson à en révéler les détails sur son blog. « La pratique habituelle en matière de signalement d'une faille de sécurité consiste à donner au fournisseur 90 jours pour résoudre le problème, et j'ai donné à Apple beaucoup plus de temps que prévu », a écrit M. Johnson. La firme de Mountain View n'a pas fait de commentaire sur la faille. Le rapport de M. Johnson vient rappeler à bon escient aux utilisateurs qu’ils doivent être proactifs dans le maintien de la sécurité de leur Mac. Il ne suffit pas de se fier aux fonctions de sécurité d'Apple qui, comme le montre M. Johnson, ne sont pas parfaites.

Une pratique que les utilisateurs doivent garder à l'esprit consiste à télécharger des logiciels uniquement à partir de sources fiables, telles que l'App Store (qui effectue des contrôles de sécurité de ses logiciels) ou directement auprès du développeur. Les logiciels malveillants sont souvent déguisés en logiciels légitimes et sont distribués par courrier électronique ou sur le web par l'intermédiaire de forums et de sites de logiciels qui ne sont pas vigilants en matière de sécurité. Un autre moyen de se protéger est de mettre à jour la dernière version de MacOS chaque fois que cela est possible. Apple publie des correctifs de sécurité via la fonction « Mise à jour de logiciels » accessible à partir des Préférences Système ou « À propos de ce Mac » du Finder. Il est donc important de les installer dès que ces versions sont disponibles. Quand le fournisseur finira par corriger la faille App Management, il le fera par le biais d'une mise à jour du système.