Lorsque Apple a abandonné macOS Sequoia le mois dernier, il a ajouté de nouvelles fonctionnalités telles que l’accrochage aux fenêtres et la possibilité de contrôler votre iPhone depuis votre Mac. En plus des modifications superficielles, la nouvelle mise à jour a également introduit une longue série de correctifs pour les vulnérabilités de sécurité. Il se trouve que l’une de ces vulnérabilités a été découverte par nul autre que Microsoft et est très préoccupante pour les Mac utilisés au sein des organisations.
Comment fonctionne la faille TCC de Safari
Microsoft a décrit ses conclusions dans un article de blog le 17 octobre, environ un mois après la sortie de macOS Sequoia le 16 septembre. La société appelle la faille « HM Surf », du nom du mouvement enseignable dans le Pokémon série, qui, selon eux, permet aux mauvais acteurs de contourner la plateforme de transparence, de consentement et de contrôle d’Apple pour Safari. TCC garantit généralement que les applications sans autorisation appropriée ne peuvent pas accéder à des services tels que votre emplacement, votre caméra ou votre microphone. C’est essentiel pour préserver votre vie privée des applications qui voudraient autrement en abuser.
Cependant, Apple accorde à certaines de ses propres applications des droits qui leur permettent de contourner ces obstacles TCC. Après tout, c’est l’application d’Apple, donc l’entreprise sait qu’elle n’est pas malveillante. Dans le cas de Safari, Microsoft a découvert que l’application avait accès au carnet d’adresses, à l’appareil photo et au microphone de votre Mac, entre autres services, sans avoir besoin de passer par les contrôles TCC au préalable.
Cela dit, vous rencontrez toujours des contrôles TCC lorsque vous utilisez Safari sur des sites Web : c’est ce qui se produit lorsque vous chargez une page et qu’une fenêtre contextuelle vous demande si vous autorisez le site à accéder à quelque chose comme votre appareil photo. Ces paramètres TCC par site Web sont enregistrés dans un répertoire sur votre Mac sous ~/Bibliothèque/Safari.
C’est là que l’exploit entre en jeu : Microsoft a découvert que vous pouvez modifier ce répertoire vers un emplacement différent, ce qui supprime les protections TCC. Ensuite, vous pouvez modifier les fichiers sensibles dans le véritable répertoire personnel, puis modifier à nouveau le répertoire afin que Safari extrait les fichiers modifiés que vous avez mis en place. Félicitations : vous pouvez désormais contourner les protections TCC, prendre une photo avec la webcam du Mac, ainsi qu’accéder aux informations de localisation de la machine.
Microsoft affirme qu’il existe un certain nombre d’actions que les acteurs malveillants pourraient potentiellement entreprendre dans cette situation, notamment enregistrer l’image de la webcam à un endroit où ils pourront y accéder plus tard ; enregistrez une vidéo depuis votre webcam ; diffuser l’audio de votre microphone vers une source extérieure ; et exécutez Safari dans une petite fenêtre pour ne pas remarquer son activité. Il est important de noter que les navigateurs tiers ne sont pas concernés ici, car ils doivent répondre aux exigences TCC d’Apple et ne disposent pas des droits de Safari pour les contourner.
Bien que Microsoft ait découvert au cours de son enquête une activité suspecte qui pourrait indiquer que cette vulnérabilité a été exploitée, il n’a pas pu le dire avec certitude.
Cette vulnérabilité affecte uniquement les Mac gérés par MDM
Après avoir lu le rapport de Microsoft, vous pourriez vous inquiéter de la possibilité que des acteurs malveillants espionnent votre Mac via Safari. Cependant, ce qui n’est pas explicité ici, c’est que cette vulnérabilité n’affecte que les Mac gérés par MDM, c’est-à-dire les Mac appartenant à des organisations contrôlées par un service informatique central. Cela inclut les Mac qui vous ont été délivrés dans le cadre de votre travail ou un ordinateur appartenant à votre école.
Apple le confirme dans ses notes de sécurité pour macOS Sequoia, dans une entrée assez brève considérant les implications en matière de confidentialité et de sécurité :
Bien sûr, le défaut reste grave, mais il est bien plus limité. Vous n’avez pas à vous soucier du fait que Safari sur votre Mac personnel permet aux pirates informatiques d’accéder à votre webcam, votre microphone et votre emplacement. Mais si vous possédez un Mac issu d’un travail ou d’une école et géré par MDM, cela pose un problème et vous devez installer la mise à jour dès que possible.
Corriger la faille sur votre Mac géré par MDM
Cette faille affecte les Mac suivants : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac Mini (2018 et versions ultérieures), MacBook Air (2020 et versions ultérieures), MacBook Pro (2018 et versions ultérieures). et versions ultérieures) et iMac Pro (2017 et versions ultérieures).
Il est possible que votre organisation ait déjà publié la mise à jour pour votre Mac, si elle est éligible. Cependant, si votre ordinateur n’exécute pas macOS Sequoia, vérifiez auprès du service informatique de votre entreprise ou de votre école quand une mise à jour sera disponible.
