MacOS X : un félin plus sûr ?

Quoi de neuf chez le félin ? De nombreuses nouveautés en matière de sécurité, au point que cette cinquième édition du système d'exploitation d'Apple soit déjà considérée comme une évolution sécuritaire majeure.

Nous ne nous attarderons pas sur l'évident (le système de sauvegarde Time-Machine) pour nous intéresser plutôt au détail : Léopard embarque sous les poils une multitude de changements que l'utilisateur non spécialiste ne verra probablement jamais directement.

Ces nouveautés sont essentiellement de l'ordre de "l'anti-exploitation" : il ne s'agit pas nécessairement de rendre le système plus impénétrable, mais plutôt de rendre la vie difficile aux pirates qui auraient réussi à le pénétrer (ou, plus probablement, à faire télécharger n'importe quoi à un internaute distrait !).

Voici les innovations que nous avons retenues :

SandBoxing

MacOS 10.5 contrôlera ce que peuvent faire les applications. Elles seront limitées aux opérations nécessaires à leur fonctionnement : un programme qui ne se charge que de manipuler des fichiers ne pourra pas accéder au réseau. Ou les applications qui n'ont pas besoin de créer de nouveaux comptes sur le système en seront effectivement incapable. Le contrôle est pris en charge dans le noyau, lors des appels systèmes.

Hélas, si l'idée est excellente, elle est encore trop limitée : très peu d'applications sont concernées à ce jour par le sandboxing (Spotlight, QuickLook, Bonjour...), tandis que celles qui en bénéficieraient le plus (le navigateur Safari, Mail, etc...) ne sont pas limitées. En revanche, de nombreux services obscurs mais cruciaux le sont. C'est déjà ça, et ça ne pourra que s'améliorer à l'avenir (soit via Apple grâce à de nouveaux profils applicatifs, soit en ouvrant la création de profils à un outil tiers).

Marquage d'applications

Le marquage d'applications consiste à prévenir l'utilisateur lorsqu'un programme récupéré sur internet s'exécute pour la première fois. L'idée peut certes sembler ridicule : après tout, on sait d'où viennent les programmes qu'on lance, non ? Elle sera en réalité particulièrement utile pour les codes malveillants qui se téléchargent et s'exécutent automatiquement à la faveur d'une vulnérabilité du navigateur web, par exemple. Car le Mac ne restera probablement pas indéfiniment épargné par ce fléau que connaissent bien les adeptes de Windows !

Randomisation de l'espace d'adressage

Sous ce nom barbare se cache une ligne de défense particulièrement utile. Lorsqu'il tente d'exploiter un dépassement de mémoire tampon (buffer overflow), un pirate a besoin de connaître précisément la "carte" de la mémoire du système pour en tirer quelque chose de plus intéressant qu'un simple crash. La randomisation de l'espace d'adressage (ASLR) consiste à "mélanger" les adresses de différents emplacements en mémoire afin qu'ils ne soient jamais au même endroit lorsque le système d'exploitation démarre. Cela rend beaucoup plus difficile de développer un code d'exploitation fonctionnel pour une vulnérabilité de type "buffer overflow" (les plus courantes).

MacOS est le dernier des grands systèmes d'exploitation à mettre cette technique en oeuvre : elle est connue depuis longtemps sous Linux et FreeBSD, et Windows vient de s'y mettre avec Vista. Hélas, Apple semble n'être pas allé au bout de son idée, puisque plusieurs librairies du système ne seraient pas protégées et pourraient être utilisées pour exploiter des vulnérabilités de ce type. Mais là encore, ce n'est rien qu'une mise à jour ne puisse régler.

La fin des InputManagers

Les InputManagers étaient une excellente idée pour améliorer facilement n'importe quelle application : il suffisait de déposer un fichier dans un répertoire particulier, et le code qu'il contenait devenait partie intégrante de l'application. Très pratique, mais très, très dangereux : le système d'exploitation supportait ainsi nativement l'injection de code.