Une faille activement exploitée pour des attaques dans une ancienne version de macOS suscite des critiques sur la stratégie d’Apple en matière de correctifs. Des chercheurs en sécurité mettent en garde les utilisateurs d’anciennes versions du système d’exploitation en leur donnant une fausse impression de sécurité, car toutes les failles ne sont pas corrigées, loin de là.

Une faille ouverte pendant sept mois

Une faille silencieusement colmatée dans la version 11 Big Sur de macOS, alors la plus récente, est apparemment restée ouverte pendant sept mois dans la version précédente, macOS 10.15 Catalina, et a été activement exploitée pour des attaques durant cette période. Un malware livré via des pages web manipulées pouvait s’installer secrètement dans le navigateur lors de la visite de la page, sans interaction de l’utilisateur, comme l’explique la société AV Malwarebytes – une « porte dérobée plutôt bien équipée » a ainsi été introduite sur les Mac des victimes.

Le malware était apparemment dirigé contre des activistes de Hong Kong. Le patch pour macOS 10.15 n’a été mis à disposition par Apple qu’après que les chercheurs en sécurité de Google aient signalé la campagne de malware au groupe.

Il s’agissait d’une grave faille dans le noyau XNU et d’une vulnérabilité dans le navigateur Safari WebKit. Apple a comblé la faille WebKit avec une mise à jour du navigateur, mais la faille XNU n’a été corrigée en février que dans la version macOS 11.2 (et iOS 14.4), alors la plus récente. Ce n’est qu’en septembre qu’Apple a fourni une indication sur la faille, que l’équipe de hackers de jailbreak Pangu avait apparemment signalée à Apple dès le début de l’année – parallèlement au correctif pour macOS 10.15 Catalina (et iOS 12).

Pas de promesse de mise à jour de la part d’Apple

La raison pour laquelle Apple n’a corrigé le défaut que si tard dans l’ancienne version du système d’exploitation reste ouverte. macOS 10.14 Mojave ne recevait déjà plus de mises à jour de sécurité à ce moment-là, alors que la dernière version macOS 12 Monterey était encore éloignée de plusieurs semaines. On ne sait pas si la faille du noyau XNU de macOS 10.14 existe également.

Apple n’a pas fait de déclaration officielle sur la durée pendant laquelle les versions du système d’exploitation doivent recevoir des mises à jour. Au cours de la dernière décennie, il est devenu habituel que les deux versions de macOS précédant la version actuelle continuent à recevoir des mises à jour de sécurité pendant une période indéterminée. Cette année, Apple fournit également pour la première fois des mises à jour de sécurité pour les versions iOS et iPadOS de l’année dernière. Le fabricant précise toutefois que seul l’iOS 15 permet d’obtenir les « mises à jour de sécurité les plus complètes ».