Il n’y a pas si longtemps, les publications de sécurité titraient que c’était la fin de la lune de miel « sécurité » du Mac.

C’est vrai et… pas vrai. Pour commencer, il faut mettre les choses en perspective. OSX est basé sur une variante de FreeBSD (il est vrai qu’il y a eu des influences diverses autres que FreeBSD, mais durant le développement du OSX comme nous le connaissons maintenant, la principale source a été FreeBSD… Il est aussi vrai que NetBSD, NextStep et OPENSTEP ont été des composantes qui ont influencé). De par sa nature, ce n’est pas un système qui est un terreau fertile pour les malwares en tout genre. Le cloisonnement au niveau du noyau est tel, que la débandade que nous avons vue du côté de Windows ne peut se passer. D’ailleurs, c’est pour cette raison que Microsoft a dû investir des sommes gigantesques pour redresser la situation avec Windows XP SP2. En même temps, il ne faut pas se leurrer, depuis que la popularité des Mac est en croissance, nous risquons davantage de voir des codes malicieux s’attaquer à cette plateforme… Et malgré la robustesse du noyau, toute la couche à la saveur Apple n’est pas aussi résistante.

« An analogy would be an unlocked house in an urban vs. rural environment. Both are insecure. One, the rural, is less risky. »
–Chris Wysopal, chief technology officer, Veracode

Revenons à nos pommes. Il est important de comparer les bonnes choses. Pour plusieurs années (post XPSP2), Microsoft pouvait se targuer d’avoir un système d’exploitation robuste et sécuritaire. En comparaison, OSX ne l’était pas autant, malgré qu’Apple se targuait du contraire.

http://www.youtube.com/watch?v=GQb_Q8WRL_g

Cela étant dit, avec l’arrivée de MacDefender il y a eu une certaine réjouissance chez les publications centrées Windows, de voir leur arrogant comparse Mac succomber aux mêmes problèmes qu’eux. Cela est essentiellement faux, puisque MacDefender exige l’intervention de l’utilisateur pour que l’infection puisse se propager. À ce titre, quiconque exécute un code qu’il ne connait pas la provenance peut se faire berner de la même façon (voir la loi #1 de Microsoft). Initialement, le code malicieux exigeait que l’utilisateur saisisse son mot de passe afin que l’installation puisse avoir lieu… Ce qui est un mécanisme standard lorsque des applications s’installent ou que des tâches de gestions prennent place (personnellement, je trouve les endroits où l’on doit saisir son mot de passe sur Mac beaucoup moins agressant que les endroits que UAC nous exige notre mot de passe). Comme la saisie du mot de passe soulève de la suspicion chez l’utilisateur, cela réduit la capacité au code malicieux de se propager. Alors, les créateurs de virus ont trouvé comme astuce d’installer le code malicieux à un endroit qui n’exige pas la saisie du mot de passe. De voir les titres, c’était comme si la fin du monde venait de se produire… Quand dans les faits c’est une évolution mineure quant aux méthodes de ce code malicieux.

L’autre aspect à ça, c’est l’antivirus intégré à Snow Leopard. C’est un aspect qui n’a pas été traité avec la profondeur requise pour se faire une idée sur les intentions d’Apple. Il est sûr que le moteur utilisé est rudimentaire et comporte plusieurs lacunes. D’ailleurs, il n’y a pas eu beaucoup de signatures qui ont été développées par Apple… Par manque de code malicieux ou par limitation du moteur? De ce qui est publiquement connu du moteur, c’est principalement pour empêcher les utilisateurs de se tirer dans le pied, c’est-à-dire analyser uniquement les fichiers qui sont téléchargés d’Internet. Pour la menace actuelle, cela permet d’intercepter la vaste majorité des codes malicieux.

La finalité dans tout ça? Si le moteur d’antivirus d’Apple et le durcissement des composantes n’augmentent pas, il va devenir impératif de considérer l’acquisition d’un antivirus :-S Sans connaître les détails, il est prévisible qu’Apple augmentera la sécurité de l’ensemble de son système d’exploitation dans sa prochaine itération (Lion). Plusieurs composantes sont déjà annoncées, tel que “Enhanced runtime protection » (protection contre les buffer overflow) et « Application sandboxing » (isolation d’une application). Le diable est dans l’exécution. Si ces composantes sont bien mises en place par Apple et surtout sont compulsives à toutes les applications, même si elles n’ont pas activé le support pour ces composantes, un énorme bond vers l’avant sera fait en terme de sécurité. Cela pourra même réduire la capacité d’un utilisateur de se tirer dans le pied.

Vous trouverez un court historique de l’avancée du virus sur le blogue Naked Security de Sophos.

Et pour vous faire une idée de la sécurité comparée entre Mac et PC, je vous conseille de lire cet article: In their words: Experts weigh in on Mac vs. PC security