Les premiers malwares à cibler spécifiquement les MacBook Pro, MacBook Air et Mac Mini dotés de la nouvelle puce M1 viennent d’être découverts. Un Adware écrit à l’origine pour les macs Intel vise activement les Macs M1. Il peut ne pas être encore détecté par votre logiciel antivirus.
Vous vous souvenez des publicités “I am a Mac, and I am a PC” (voir vidéo en fin d’article) ? Derrière la caricature qui présente les macs comme totalement épargnés par les virus, il y a une réalité plus nuancée. Toutes les plateformes, Macs et iPhone compris, sont visés par des malware. Il y a néanmoins un fond de vérité : en volume, le nombre de malware qui vise les macs est beaucoup moins important que la cohorte de programmes malicieux qui ciblent Windows.
Le système d’exploitation macOS est en soit très sécurisé, et la plupart des malwares constatés sur mac ont surtout un impact dans un nombre limité d’applications, comme les navigateurs web. Par ailleurs, les macs sont très minoritaires en parts de marché ce qui les rend moins intéressants pour les pirates. De nombreux antivirus existent pourtant sur macOS, même si leur installation n’est pas recommandée officiellement par Apple.
Adapter les malwares aux nouveaux macs M1 est étonnamment simple
Après tout, les antivirus ont un impact sur les performances, et si ils s’avèrent inutiles 99% du temps, il semble raisonnable d’en installer que lorsque vous soupçonnez une infection. A cause du statut déjà privilégié des macs en matière de malware, on aurait pu penser que les Macs M1 et leur puce ARM ajouteraient un degré inédit de protection contre les malwares actuels.
Or, selon plusieurs chercheurs en sécurité Thomas Reed de Malwarebytes, Patrick Wardle, et des chercheurs de Red Canary), il ne faut pas se tromper : Apple a tout fait pour faciliter le portage des applications x86 sur la nouvelle architecture grâce au système Rosetta 2. Il est également très simple de recompiler un malware dans Xcode pour la nouvelle architecture ARM. Adapter des malwares pour les macs M1 est donc un jeu d’enfants.
Et c’est donc dans ce contexte que plusieurs malwares ont été découverts. On a au moins un rapport de malware envoyé à une base d’antivirus quelques semaines après la sortie des Macs M1. Mais un autre malware est activement exploité dans la nature. Il s’agit d’une extension Safari nommée GoSearch32 – qui fait partie de la famille des AdWare Pirrit. Il n’est heureusement pas très méchant, mais il peut ne pas encore être détecté par les programmes antivirus.
Il s’agit, vous l’aurez compris, d’une adaptation directe du même malware pour les macs Intel. “Observer que les malwares font aussi leur transition d’Intel à M1 aussi rapidement est inquiétant, car les outils de sécurité ne sont pas prêts. La communauté de chercheurs en sécurité ne connaît pas encore les signatures qui permettent de détecter ces menaces jusqu’ici inédites”, explique Tony Lambert, un chercheur de Red Canary.
Lire également : Windows Defender ATP – l’antivirus de Windows 10 débarque sur les Macs
Pourquoi les antivirus ne détectent pas tous encore les versions M1 des virus
Pour le chercheur de Malwarebytes Tomas Reed “c’était de toute manière inévitable. Compiler pour M1 peut être aussi simple qu’appuyer sur un bouton dans les réglages du projet [Xcode]. Et honnêtement je ne suis pas du tout surpris du fait que c’est arrivé d’abord au travers d’une variante de Pirrit. Il s’agit d’une des familles d’adwares les plus actives sur Mac, et l’une des plus anciennes, et ils changent constamment pour éviter d’être détectés”.
Pour Patrick Wardle : “certains outils défensifs comme les logiciels antivirus peinent encore à analyser le ‘nouveau’ format des fichiers binaires exécutables des Macs M1. Ils peuvent facilement détecter ka version Intel-x86, mais échouent à détecter les versions ARM-M1, même si le code est en toute logique identique”. Du coup, que faire si vous possédez un Mac M1 ?
Le premier conseil, c’est de ne pas paniquer. Les premiers exemples de malware décrits pour les macs M1 ne posent pas de problèmes de sécurité réellement critiques. On note que le vecteur principal de ces malware est pour l’instant les extensions pour les navigateurs internet. Un domaine dans lequel Apple peut agir. Le certificat de l’extension GoSearch32 a ainsi été supprimé ce qui empêche désormais son utilisation dans Safari.
Il faut surtout observer le comportement de votre ordinateur. Si vous trouvez que quelque chose a changé, que des publicités s’affichent sans raison, ou que les performances de votre Mac M1 ont significativement réduit, c’est peut être le signe d’un malware. Il est alors conseillé de tenter une recherche d’antivirus. Si cela est nécessaire, compte tenu du risque que tous les antivirus ne soient pas encore à la page sur les définitions, nous vous recommandons de tenter plusieurs scans avec des programmes différents, par exemple Malwarebytes, Avira et Avast.
Source : Wired