Failles sur Mac OS X : psychose en vue ?
Après la révélation de failles de sécurité dans Mac OS X Jaguar, un torrent de spéculations a noyé l’Internet et une question n’a pas tardé à émerger : Mac OS devra-t-il être « patché » régulièrement comme Windows ?
Panique sur le Web depuis le 30 octobre : Jaguar prendrait l’eau de toutes parts, selon la société spécialisée en sécurité informatique @Stake. Celle-ci a dévoilé trois failles de sécurité dans les versions 10.2.8 et antérieures de Mac OS X. La première permet à un attaquant de contourner les droits d’un utilisateur du système à distance et de modifier certains documents, à condition que les fichiers dits core files soient activés. La seconde permet à de simples utilisateurs de modifier des applications afin de s’octroyer des privilèges d’administrateur. La troisième faille permet de faire planter le noyau de Mac OS X grâce à une longue ligne de commande. Dans certaines conditions, cette faille est reproductible à distance. La plupart des utilisateurs de Mac OS X n’auront, bien entendu, rien compris à cette alerte. @Stake a averti Apple dans le courant de l’été de ses découvertes et s’est depuis émue que la firme n’ait pas offert de mise à jour de sécurité à sa clientèle. La révélation au public de ces brèches a presque immédiatement généré une psychose sur le Web.
A y regarder de plus près, les diverses failles découvertes par @Stake sont très spécifiques. N’y ont accès, en effet, que les personnes se trouvant physiquement devant la machine ou disposant, via un accès réseau, des pouvoirs d’un administrateur système, et pénétrant une machine sur laquelle certains services – désactivés par défaut dans Mac OS X – auront été mis en route ! Autant dire que ces failles ne touchent pas le commun des utilisateurs. Qu’importe : l’information a déchaîné une tempête de commentaires sur certains sites et forums : « On ne découvre cela que maintenant », s’offusque le membre d’une liste de discussion, faisant référence à la commercialisation du système depuis près de trois ans. « Est-on sûr que Panther ne présente pas les mêmes failles ? », s’interroge un internaute sur un site francophone. Evidemment, les utilisateurs les plus avancés, tout autant que les messages d’alerte d’@Stake, confirment qu’Apple a bien colmaté ces brèches dans la dernière refonte de Mac OS X. Mais du coup, d’autres crient au vol : faudra-t-il payer pour être sûr de disposer d’un système sécurisé ?
Apple rassure ses utilisateurs
La réponse tardive d’Apple ne laisse aucun doute : Jaguar disposera lui aussi de son patch. Dans un communiqué remis à nos confrères de MacCentral, Apple prévient que sa politique « est de s’occuper rapidement des vulnérabilités significatives dans les versions précédentes de Mac OS X, si c’est possible ». Un discours qui se veut rassurant et que quelques utilisateurs soutiennent en rappelant que l’Unix BSD qui fonde le système d’Apple « est loin de devoir être colmaté plusieurs fois par semaine comme ce fut le cas récemment pour Windows » (voir édition du 6 octobre 2003). Pour le moment donc, Mac OS ne devrait pas avoir à subir de piqûre de rappel hebdomadaire. Mais d’autres problèmes apparaissent, comme la capacité de copie du Trousseau d’accès observée par le site Le Mac en ligne. Qu’il s’agisse de Jaguar, de Panther ou d’une future version de Mac OS, la sécurité risque fort d’être un des enjeux prioritaires pour Apple.