Mac OS X : les mécanismes de défense standard

Nous avons vu que Mac OS X est à l'abri des menaces Windows pour une simple et bonne raison d'architecture. Nous avons vu que le Mac est actuellement à l'abri d'attaque à grande échelle, mais peut être victime de trojans ou de sites illégitimes qui tirent profit de la naïveté des utilisateurs (la fameuse « interface chaise clavier »).

Ceci dit, que propose Mac OS X « out of the box », par défaut, pour protéger les utilisateurs contre ces malveillances ? Apple fait grand cas des fondations UNIX du système, et notamment d'une spécificité : par défaut, contrairement aux autres systèmes UNIX, Mac OS X désactive le compte Root. Un mot de passe administrateur est demandé à l'installation du système, et il est nécessaire pour accéder à certains niveaux de privilèges, notamment pour installer une application, mais on ne peut pas accéder au compte Root.

Le système propose également plusieurs défenses contre les codes malveillants. La première est l'exécution d'applications dans un bac à sable (sandboxing), ce qui permet de limiter leur accès à certaines données. Snow Leopard utilise cette technique pour la plupart des processus ayant recours à l'accès réseau, ainsi qu'à certaines applications ou codecs susceptibles de communiquer avec des fichiers aux sources potentiellement dangereuses. C'est notamment le cas de QuickLook, la visionneuse rapide de fichiers, et notamment de PDF, ou du codec H264 utilisé par QuickTime.



On note également dans le système une prise en charge de la fonctionnalité Execute Disable (XD), intégrée depuis Mac OS X 10.4 (en version Intel) et permettant de prévenir les attaques de type « buffer overflow », ainsi qu'un système d'adresses mémoire aléatoires, réinitialisées à chaque mise à jour d'application (processus qui peut être forcé en ligne de commande).

Concrètement, quelles défenses contre des logiciels malveillants ?

Passons aux outils concrets de protection fournis avec Mac OS X. On a beaucoup parlé de « l'antivirus » intégré à Snow Leopard. Celui-ci est très basique et permet tout simplement de bloquer l'exécution de menaces connues et répertoriées. Il a récemment été mis à jour pour référencer une… deuxième signature de trojan. Ce chiffre et la fréquence des mises à jour peuvent paraître extrêmement choquants, voire inquiétants, mais il s'agit actuellement des deux seuls chevaux de Troie « en activité » (c'est à dire qui ne soient pas simplement des prototypes) connus sur Mac OS X.

En plus de cet « anti malware », Snow Leopard propose une détection automatique des fichiers téléchargés depuis Internet. Ceux-ci sont automatiquement signés, et cette signature est également ajoutée aux fichiers inclus dans une archive, si c'est une archive qui a été téléchargée. Le mécanisme vous avertit du risque potentiel, mais le système est plus que limité : il vous avertit pour n'importe quelle application, légitime ou illégitime : il est donc totalement impossible, pour l'utilisateur lambda, de savoir ce qu'il faut faire du fichier téléchargé. Et on connaît l'utilisateur lambda : il aura plutôt tendance à confirmer qu'à annuler.

Du côté de Safari, on trouve depuis la version 4 un anti phishing intégré, basé sur une liste noire de sites régulièrement mis à jour. Si un tel site est visité, un avertissement s'affiche en lieu et place de la page. Contrairement aux téléchargements où l'utilisateur est complètement laissé maître de son choix, ici la notion de réputation intervient : l'utilisateur dispose donc d'une indication plus pertinente.



Terminons par le pare-feu, puisque pare-feu il y a, et on a tendance à l'oublier. Celui-ci ne permet de filtrer que les connexions entrantes, et propose des options de personnalisation assez minimaliste : le filtrage s'effectue uniquement par application, et les options se limitent à bloquer ou autoriser les connexions entrantes pour une application donnée. Il est possible d'autoriser automatiquement les connexions pour les applications signées (par exemple celles d'Apple), et de bloquer toutes les connexions entrantes à l'exception des services réseau de base. Pas de contrôle des connexions sortantes, pas de règles de filtrage par port ou par protocole, bref, un pare-feu pas franchement exhaustif…

Le chiffrement de données sous Mac OS X

Mac OS X propose plusieurs fonctionnalités concernant le chiffrement de données personnelles. La première est FileVault, une fonctionnalité intégrée depuis Mac OS X 10.3, permettant de chiffrer l'intégralité du dossier de démarrage du Mac en 128 bits (algorithme AES). Le dossier est protégé avec le mot de passe principal, qu'il faudra donc définir. Pour cela, Apple propose un outil plutôt bien fait, permettant de générer un mot de passe selon différents critères (lettres ou chiffres uniquement, combinaison des deux, inclusion de caractères spéciaux, mots mémorisables…) en déterminant le nombre de caractères. Un indicateur indique le niveau de complexité du mot de passe choisi.



Il est également possible de créer des images disques chiffrées et protégées par mot de passe en passant par l'utilitaire disque. Là encore, l'algorithme utilisé est AES, en 128 ou 256 bits. Sachez enfin que le trousseau de mots de passe de Mac OS X est chiffré par l'algorithme 3DES, et qu'il est automatiquement verrouillé à la fermeture de session. Il est également possible de le verrouiller lors des périodes d'activité de la machine.