septembre 17, 2012
Quand Apple adoptera-t-elle une Religion de Sécurité ?
Ma récente référence à Apple dans un discours au CeBIT en Australie, a donné lieu à une polémique sous forme de conversations et de publications concernant la politique de sécurité de l’entreprise. Les mesures de sécurité d’Apple sont un sujet populaire ces dernières années (depuis Flashfake), et je crois qu’il est temps de donner un peu de sens à ce problème.
Comme vous le savez sans doute, nous voyons une brèche chaque jour plus grande entre, d’un côté, ce que la compagnie Apple a défendu durant des années » Les Macs sont insensibles aux malwares » et d’autre part –la réalité, c’est-à-dire, qu’Apple est en train de… perdre de la crédibilité, pour ainsi dire. Alors, les utilisateurs auront-ils la capacité de comprendre ce qui est en train de se passer, malgré ce que leur dit Apple ? Qu’y a-t-il de mauvais dans l’approche de la sécurité d’Apple ? Apple peut-elle apprendre quelque chose de Microsoft et des autres fabricants en matière de sécurité ?
Il y a de cela une décennie, les vers tels que Blaster et Sasser faisaient des ravages dans les plateformes de Microsoft Windows, obligeant l’entreprise à prendre de difficiles et » coûteuses » décisions. Le plus importante étant la création de l’initiative Trustworthy Computing, une direction exécutive qui a effectué une importante révision de Windows XP SP2, une réponse de sécurité améliorée (Patch Tuesday avis de sécurité), et l’obligatoire SDL (Security Development Lifecycle), le programme qui a rendu le système d’exploitation plus résistant aux attaques.
L’incident récent de Flashback botnet sur Mac OS X est la version » Apple » de l’ère des vers de réseau. C’est un avertissement pour l’entreprise qui a traditionnellement ignoré la sécurité.
Pour bien comprendre le sens profond de la négligence de la sécurité chez Apple, nous devons revenir en 2006 et la fameuse publicité Mac vs PC, où le PC semble éternuer à cause de l’infection causée par un virus, et où le Mac passe le virus au PC sous la forme d’un » mouchoir en papier « , excluant tout besoin de sécurité, car le virus ne représente pas de menace pour Mac OS.
La publicité était à la fois intelligente et drôle, mais trompeuse. Elle a consolidé la sensation de sécurité chez les fidèles de Mac et a renforcé l’idée selon laquelle la sécurité n’est pas nécessaire –car les Macs sont invincibles et ne sont pas infectés par les virus.
Cette croyance a causé, et continue de causer d’inadmissibles et considérables retards dans l’application de patchs de sécurité pour les brèches sensibles et pour les réponses aux attaques » sauvages « .
Détrompons-nous, le iBotnet (Flashback / Flashfake a infecté plus de 700 000 Macs) a été exclusivement la faute d’Apple. Le patch de Java (CVE-2012-0507) qui a réparé la vulnérabilité a été lancé par Windows le 14 février 2012. Cette même vulnérabilité a aussi touché des Mac OS X mais, Apple n’a fourni aucune solution jusqu’au 3 avril 2012 ! Apple a laissé ses utilisateurs exposés durant 49 jours, donnant ainsi une grande opportunité aux créateurs de malware pour construire un botnet. Impardonnable.
Pensez à cela : presque un million de macs dans un réseau de botnet à des fins lucratives, propriété de cybercriminels. Pour ce qui est de la part de marché représentée (le pourcentage d’utilisateurs de Mac infectés), c’est la version Mac de Conficker sur Windows. C’est la première attaque massive de malware sur Mac OS X avec un nombre important de victimes, de plus, la hausse de la part de marché de Mac augmente l’intérêt des attaques.
Flashback est particulièrement inquiétant car il se propage à travers drive-by-download –sans interaction avec l’utilisateur, sans clics supplémentaires, et sans demander de mot de passe administrateur. Il suffit d’un site Web piraté, et le malware s’installe » automatiquement « . Les variantes connues ont été utilisées pour la fraude au clic, mais cela aurait pu être plus dangereux à cause du composant Trojan-downloader qui permettait aux attaques d’installer des malwares supplémentaires dans les dispositifs infectés.
Il est évident que nous avons atteint un point de basculement sur le marché de Mac OS, suffisant pour encourager les attaques massives de malware. En général, la règle est la suivante : si la part de marché est suffisamment grande, les cybercriminels seront motivés pour investir dans les attaques. Les créateurs de malwares se sont déjà introduits par le passé dans Mac OS avec des attaques aux DNS changers, des attaques scareware (faux antivirus) et via les opérations habituelles de phising, mais compte tenu de tout ce qui précède, il est évident que nous sommes en train d’entrer dans une nouvelle phase.
Le fait que les utilisateurs d’Apple aient été soumis à une sorte de lavage de cerveau pour qu’ils ignorent les menaces de sécurité, signifie que les applications vulnérables continueront à ne pas disposer de patch et qu’il y aura toujours un grand nombre de victimes prêtes à être infectées.
Si on laisse une belle voiture dans la rue toute une nuit sans fermer les portes et qu’elle est volée, la faute est à celui qui ne l’a pas fermée –c’est évident. De même, Apple est coupable de son actuelle situation. La compagnie est toujours en retard en matière de création de patchs pour les problèmes de sécurité connus. Java pour Mac est seulement un exemple mais, si l’on observe toutes les actions d’Apple, on se rend compte qu’Apple est constamment en retard sur les solutions, spécialement pour les composants open source. Webkit et Safari sont de vrais cauchemars pour la sécurité.
C’est pourquoi nous gardons le voile sur le secret. Apple ignore toujours les questions sur la sécurité posées par les médias. Chaque fois qu’il existe une menace réelle, les utilisateurs n’obtiennent aucun type d’information de la part d’Apple. Il n’y a pas de mises à jour de patchs ou de patchs préventifs pour les utilisateurs. Lorsqu’il y a un débordement, les utilisateurs de Mac dépendent de recommandations externes, au lieu de recevoir l’aide d’Apple. Magnifique réponse à l’utilisateur !
Ce qui est curieux, c’est qu’Apple peut apprendre beaucoup de Microsoft en matière de sécurité. De fait, je pense qu’Apple devrait tout simplement copier le mode d’emploi de Microsoft, mot à mot, lorsqu’il s’agit des réponses concernant la sécurité. Apple a besoin d’un processus SDL pour que les développeurs puissent construire en toute tranquillité des systèmes de sécurité pour chaque étape du processus de développement d’un software. SCADA, les fournisseurs de réseaux intelligents, et même le gouvernement indien ont déjà adopté des procédés SDL de Microsoft, ce qui prouve que Microsoft est actuellement à l’avant-garde de la sécurité.
Le département marketing d’Apple n’aimera pas cela, mais il n’y a pas de honte à ce qu’Apple apprenne de Microsoft; du moins, ça ne devrait pas être le cas. Apple devrait copier le programme d’alertes de sécurité de Microsoft pour que les utilisateurs soient informés lorsqu’une menace réelle de sécurité existe. Si les utilisateurs de Mac doivent attendre des années pour un patch, Apple devrait alors offrir des solutions temporaires. Pourquoi ne pas mettre en place un Jour du Patch ? Cela aiderait les administrateurs de systèmes à se préparer au développement de patchs au lieu de se faire surprendre par les mises à jour de mac OS X. Quand il s’agit de réponses sur la sécurité, Apple est toujours bloquée dans les années 90.
Il y a dix ans, « Trustworthy Computing » a sauvé la plateforme de Windows d’un Armageddon de malware. Aujourd’hui, la situation de la sécurité du système d’exploitation de Windows s’est améliorée, et la réponse de Microsoft concernant la sécurité est désormais un modèle que beaucoup –comme Adobe- copient.
C’est maintenant au tour d’Apple. La compagnie devrait s’aider elle-même –et ses utilisateurs- en utilisant l’attaque Flashback comme preuve réelle du besoin d’améliorer la sécurité, et laisser de côté la politique de sécurité de ses communiqués de presse qui ont provoqué le désintérêt des utilisateurs d’Apple pour la sécurité. Apple doit prendre au sérieux le jeu de la sécurité. Nous ne sommes plus en 2006 quand Mac se considérait à l’abri des attaques et de merveilleuses publicités étaient utilisées pour mettre en valeur un système d’exploitation » supérieur « . Flashback est le premier grand botnet de Mac, et vous pouvez être sûrs qu’il y en aura d’autres. Apple ne peut pas se permettre le luxe d’ignorer la leçon donnée par Flashback.
Cher et respectable Apple, es-tu en train de m’écouter ?