Passer au contenu

Apple prend le virage de la sécurité avec Mac OS X

L’arrivée du nouveau système d’exploitation, Mac OS X, indique un changement radical de stratégie chez son constructeur. La firme à la pomme mise sur l’ouverture de son univers dans tous les domaines, y compris celui de la sécurité.

“En ouvrant le noyau à une communauté habituée à Unix et à Linux, nous recherchons plus de sécurité dans notre système. Il s’agit de découvrir plus rapidement les éventuels bogues et failles, plutôt que de rester dans un univers où les sources ne sont pas ou peu documentées”, précise Frédéric Morel, chef de produits logiciels chez Apple.Pour son dernier système d’exploitation, Apple a choisi l’Open Source : Mac OS X repose sur un Unix BSD, avec quelques fonctions maison. Il bénéficie, en termes de sécurité, des avantages et des inconvénients du monde ouvert.

Le savoir-faire de la maison

Pour se protéger, Mac OS X intègre, en standard, le pare-feu ipfw (IP firewall), de FreeBSD, exploitable par des commandes sur le terminal de la machine (interface Unix de Mac OS) ou par des logiciels spécialisés disponibles sur le site d’Apple. Les mises à jour du coupe-feu dépendent donc de celles du système d’exploitation. Ipfw est supporté au sein du noyau, au même titre que ipnat (IP Network address translation). ” Il ne s’agit pas d’un applicatif placé par-dessus la couche système. Ipfw n’est pas non plus un hybride proxy, car il se situe au sein même du noyau. Il n’est toutefois pas aussi évolué que le Stateful, qui reste complexe à configurer”, détaille Frédéric Morel.“OpenBSD dispose d’un pare-feu standard, pf (Packet filter) ; et FreeBSD, d’ipfw. Les autres BSD libres fonctionnent avec IP Filter. Contrairement à IP Filter ou à pf, ipfw n’offre pas un filtrage avec état, nuance Hervé Schauer, fondateur du cabinet de conseil en sécurité HSC. Il est également amusant de constater, dans Mac OS X, la présence de pages de manuel relatives à IP Filter où son module noyau et ses binaires sont passés sous silence.”Le nouveau système d’exploitation limite, par défaut, son accès en laissant le minimum de ports machine ouverts ?” l’outil NetBarrier de la version 9 permettait déjà d’auditer chaque port. Et, grâce à Unix, il est possible de faire du Telnet distant sécurisé, car il apporte au code Mac OS X les bénéfices des outils cryptographiques standards tels que SSH (Secure shell) et OpenSSL (Open secure socket layer), avec des clés de 128 bits.Comme Mac OS 9 était moins répandu que les différents Windows, il se trouvait de facto moins vulnérable aux attaques virales. Avec Mac OS X, la donne change. “La compatibilité logicielle avec Microsoft offre les avantages (ouverture) et les inconvénients (introduction des mêmes virus macro) de ce monde. Si les applications installées créent des problèmes, l’OS n’y peut rien. De même, il ne va pas corriger le choix de l’utilisateur d’effacer son compte !”, note Frédéric Morel.Bien que les virus du monde Microsoft puissent contaminer le monde Apple, ils n’ont pas les mêmes réactions. “Les nuisances sont moins importantes pour les machines Apple, qui se comportent comme des porteurs sains”, remarque Frédéric Morel. Cependant, l’ouverture relative de Mac OS X devrait provoquer un regain d’activité de la part des concepteurs de virus pour cet environnement, ne serait-ce que par défi technique.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Renaud Hoffman