Un pare-feu installé sur le nouvel OS pour Mac filtre désormais tous les processus, sauf ceux d'Apple. Ce qui crée une opportunité pour les pirates, estime un chercheur.

Disponible depuis quelques jours, la nouvelle version de macOS heurte certains chercheurs en sécurité comme Patrick Wardle, un expert Apple.

Sur Twitter, il estime que la firme de Cupertino a bétonné une faille de sécurité dans son système d’exploitation. Ceux qui utilisent un pare-feu sur leur Mac doivent savoir qu’un tel outil ne peut plus filtrer la totalité du trafic sortant.

Suite au renouvellement de la librairie d’accès réseau, une cinquantaine d’applications et de processus créés par Apple disposent désormais d’un passe-droit et ne peuvent plus être inspectés.

Seul le trafic d’applications tierces peut être routé à travers le pare-feu. Le problème, selon Patrick Wardle, c’est qu’un malware peut profiter de ce passe-droit

À titre d’exemple, il a écrit un script Python qui, en interagissant avec l’un des processus d’Apple, permet d’exfiltrer des données vers un serveur externe sans passer par le firewall.

In Big Sur Apple decided to exempt many of its apps from being routed thru the frameworks they now require 3rd-party firewalls to use (LuLu, Little Snitch, etc.) ��

Q: Could this be (ab)used by malware to also bypass such firewalls? ��

A: Apparently yes, and trivially so ������ pic.twitter.com/CCNcnGPFIB
— patrick wardle (@patrickwardle) November 14, 2020

Le chercheur a notifié ce problème auprès d’Apple pendant la phase bêta, mais l’éditeur n’en a pas tenu compte. Pourquoi ? Pour l’instant, on ne sait pas, car l’entreprise ne s’est pas encore prononcée.

Il est possible qu’Apple ne souhaite pas que ses processus puissent être bloqués par une mauvaise configuration de pare-feu, afin de garantir un bon fonctionnement de l’appareil. Mais c’est un choix risqué.