Le mois dernier, un chercheur en sécurité révélait la présence d’une faille de sécurité au sein de macOS Gatekeeper. Une faille qui ferait aujourd’hui l’objet d’attaques ciblées.

La fonction de Gatekeeper est de contrôler le code des applications disponibles sur Mac afin de vérifier qu’elles ont bien été validées par Apple. Or, le chercheur en sécurité Filippo Cavallarin y a découvert une faille qui permet à une personne extérieure d’exécuter du code non certifié par la Pomme sans demander l’autorisation à l’utilisateur.

« La fonctionnalité du Gatekeeper peut être complètement ignorée. Dans sa mise en œuvre actuelle, Gatekeeper considère à la fois les lecteurs externes et les partages réseau comme des emplacements sûrs ». Cela signifie que toute application contenue dans ces emplacements peut être exécutée sans vérifier le code à nouveau. Il poursuit en expliquant que l’utilisateur peut « facilement » être amené à monter un lecteur de partage de réseau et que tout élément de ce dossier peut ensuite passer par Gatekeeper », avait expliqué Filippo Cavallarin.

Le chercheur en sécurité avait repéré le problème en février dernier et avait prévenu Apple du problème. Mais la firme de Cupertino ne semble pas avoir apporté de solution, c’est pourquoi, au bout de trois mois, le chercheur a partagé l’information.

La vulnérabilité est donc toujours bien présente et fait désormais l’objet d’attaques informatiques. Les chercheurs en sécurité d’Intego Mac Security ont annoncé sur Twitter avoir repéré des tentatives d’exploitation de cette faille 0-day. À l’origine de ces attaques, un malware expérimental baptisé OSX/Linker.

Pour l’instant, les instigateurs de ce malware se contenteraient de tester divers artifices pour tromper les protections de Gatekeeper. Il n’y aurait donc pas encore de campagne malveillante, mais cela pourrait changer.

L’équipe d’Intego Mac Security a de nouveau prévenu la Pomme et lui a communiqué l’identifiant du développeur à l’origine du malware expérimental. L’équipe de chercheurs recommande de télécharger les applications Mac uniquement depuis le Mac App Store ou d’autres sources officielles et sûres.

Pour l’instant, Apple n’a pas encore réagi à cette faille.