Mise à jour de sécurité tardive pour Snow Leopard

La dernière version de Mac OS X est-elle bien sécurisée? A l’occasion de la mise à jour de Snow Leopard (avec la version 10.6.4 mise en ligne le 15 juin), Apple a discrètement renforcé son niveau de protection (en plus des correctifs de bug dont celui qui interdisait l’ouverture de certaines applications de Creative Suite 3 d’Adobe). L’entreprise de Cupertino a notamment mis à jour le fichier anti-malware XProtect.plist.

XProtect est apparu en toute discrétion avec Snow Leopard en août 2009. Il contient la base de signatures de malwares que le système consulte lors de l’utilisation de certaines applications (client de messagerie, navigateur, Entourage…). Un premier pas pour Apple qui reconnaît, en se gardant d’en faire la publicité, que ses produits sont sensibles aux menaces informatiques (même si dans des proportions moindres de celles de Windows), contrairement au discours habituel des vendeurs notamment. Mais grâce à XProtect, l’utilisateur est cette fois bien protégé. Vraiment?

Ce n’est pas l’avis de Sophos. Tout en pointant l’absence de documentation de la part d’Apple, l’éditeur de sécurité salue, à sa manière, la mise à jour de XProtect, ce « fichier rudimentaires qui contient des signatures élémentaires d’une poignée de menaces Mac », ironise Graham Cluley, chercheur chez Sophos, dans son billet.

Une mise à jour bien tardive pour l’éditeur. XProtect protège désormais le système de HellRTS (ou OSX/Pinhead-B chez Sophos), un trojan qui se déguise en iPhoto pour permettre au pirate de prendre le contrôle de la machine affectée et transformer celle-ci en véritable serveur de spam (par exemple). Sauf que Sophos a découvert HellRTS le 19 avril. Soit près de deux bons mois avant que Cupertino ne se décide à mettre à jour son filtre anti-malware. Autrement dit, suffisamment longtemps pour que les aficionados de la pomme se fassent largement infecter.

« Malheureusement, de nombreux utilisateurs Mac semblent indifférents aux menaces de sécurité qui peut s’exécuter sur leur ordinateur, rappelle Graham Cluley. Et ce n’est pas les aider que de publier une mise à jour de sécurité anti-malware à la dérobée plutôt que d’informer le public de ce qu’Apple a fait. »

L’employé de Sophos fait référence à la politique de l’autruche d’Apple en matière de sécurité. « Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles », explique en ligne la firme de Cupertino. Et cela « dans un souci de protection de ses clients ». Une stratégie que sont en droit de ne pas partager les clients en question qui pourront donc se tourner vers les solutions de protection pour Mac de… Sophos.