S'il existe des rootkits s'attaquant à Unix, aucun n'avait encore écrit spécifiquement pour le système d'exploitation d'Apple, Mac OS X. C'est désormais chose faite, suite aux travaux de Dino Dai Zovi, qui a présenté le fruit de ses recherches jeudi à la Black Hat, événement qui rassemble chaque année à Las Vegas le gratin de la sécurité informatique et des hackers. Baptisé Machiavelli, il serait capable d'aller se nicher au coeur du système d'exploitation, constituant une fois dissimulée une porte dérobée permettant par exemple la prise de contrôle à distance d'une machine.
« Les techniques de rootkits affectant FreeBSD sont déjà bien documentées. Bon nombre d'entre elles sont directement applicables à Mac OS X dans la mesure où ce dernier partage une bonne partie de son code avec FreeBSD. Cependant, cette recherche se concentre sur des techniques qui usent et abusent des fonctionnalités de Mach au sein du noyau de mac OS X », commente Dino Dai Zovi en introduction du document qui présente ses recherches (PDF, anglais, 11 pages).
Il rappelle que le coeur de Mac OS X est en fait une combinaison du micro-noyau Mach auquel viennent se greffer des éléments issus de FreeBSD. Pour élaborer son rootkit, Dai Zovi s'est intéressé aux protocoles IPC (Interprocess Communication) et RPC (Remote Procedure Call), chargés notamment de gérer les communications entre les différents processus en cours d'exécution, et indique avoir découvert comment en détourner l'usage pour prendre le contrôle du système. Le chercheur explique enfin comment procéder pour détecter un rootkit qui se serait niché au niveau de Mach, et annonce qu'il fournira bientôt les proofs of concept qui permettront à ses confrères d'évaluer l'intérêt de sa technique et de prolonger ses travaux.
Fin de la période de grâce pour les utilisateurs de Mac ? Si les particuliers n'ont pour l'instant rien à craindre au niveau d'éventuels rootkits destinés à Mac OS, leur faisabilité technique vient d'être démontrée. Peut-être inspirera-t-elle des pirates ? Apple, prévenu avant la Black Hat, n'a pour l'instant pas réagi à ces informations.