D’après les chercheurs de l’entreprise de sécurité Eset, le dernier malware DazzleSpy ciblant macOS peut être utilisé pour espionner un Mac. Ce logiciel a pu infecter des utilisateurs ayant visité un site web faisant la promotion de la démocratie à Hong Kong. Les attaques de ce type d’exploit sont qualifiées d’attaques de trou d'eau ou « Watering Hole Attack » par les chercheurs en sécurité, où un site web est utilisé pour infecter les visiteurs. Elles sont mises en œuvre quand un attaquant souhaite cibler un groupe spécifique. DazzleSpy est documenté sous le code CVE-2021-30869. Il a été corrigé par Apple dans les mises à jour Catalina et Big Sur en septembre.

Une backdoor d'origine étatique ?

Le rapport d'Eset publié mardi fournit des détails sur l'exploit et sur la manière dont les utilisateurs Mac ont été exposés à DazzleSpy. Selon Eset, il a d'abord infecté des utilisateurs Mac visitant un faux site Web dont le contenu semblait promouvoir le mouvement démocratique à Hong Kong. Ensuite, c’est le site Web légitime de la station de radio D100 diffusée par Internet depuis Hong Kong, qui a été compromis et utilisé pour diffuser DazzleSpy. Cette fois, le site vérifie la version de macOS et procède à l'installation de l'exploit si le Mac exécute macOS 10.15.2 (Catalina) ou une version ultérieure. Une fois DazzleSpy installé, les attaquants ont pu effectuer plusieurs tâches sur le PC infecté, notamment l'exécution de commandes Terminal, l'enregistrement audio, le keylogging et les captures d'écran.

Selon Marc-Etienne M.Léveillé, chercheur chez Eset, l'attaque visait spécifiquement les Mac et semble provenir d'un groupe disposant de ressources importantes, probablement soutenu par un État. Il a déclaré au site Ars Technica que sur un système non corrigé, le malware commencerait à s'exécuter avec des privilèges d’administration sans que la victime s'en aperçoive. Même si cette attaque a ciblé spécifiquement les opposants politiques à Hong Kong, elle montre comment un pirate peut créer et diffuser une porte dérobée pour Mac. La particularité de DazzleSpy, c'est qu'il cible spécifiquement le navigateur Safari du Mac. En effet, il exploite une faille dans WebKit, le moteur de navigation utilisé par Safari. Apple a également publié des mises à jour qui corrigent cette faille dans iOS et iPadOS. Généralement, les entreprises de sécurité attendent que les développeurs du logiciel publient des correctifs avant de livrer des informations sur les exploits et les logiciels malveillants.

Un faux site Web utilisé pour infecter des Macs avec DazzleSpy. Le code malveillant est visible dans l'encadré en bas à gauche. (Crédit : Eset)

Mettre à jour macOS

En général, les utilisateurs mettent à jour leur système d’exploitation pour profiter des dernières fonctionnalités. Mais ces updates servent aussi à déployer des correctifs de sécurité. C’est la raison pour laquelle, il est toujours conseillé de les appliquer dès que possible. Elles peuvent prendre plusieurs minutes à télécharger (prévoir 30 minutes environ). Le Mac doit être ensuite redémarré. Voici les étapes à suivre pour effectuer la mise à jour de macOS Monterey et Big Sur : Aller dans les « Préférences système » du menu Apple ; Cliquer sur « Mise à jour du logiciel » ; Le Mac va vérifier si la mise à jour est disponible ; Si c'est le cas, un bouton « Installer » apparaîtra ; Cliquer dessus pour lancer le téléchargement de la mise à jour. L'installation démarrera dès le téléchargement terminé.