« Ca s’en va et ça revient », comme dirait l’autre. Il semblerait qu’en période creuse de l’actualité le serpent de mer du « virus Mac », comme l’a baptisé la vulgate, resurgisse.

Il s’agit cette fois de deux annonces croisées, l’une par Sophos, fier d’avoir découvert le mois dernier un nouveau cheval de Troie pour le Mac, et l’autre par un éditeur moins connu, ParetoLogic, qui a identifié la semaine dernière un faux Codec pour Mac distribué via un site malveillant.

Profitons donc de cette absence criante d’actualité matinale pour rappeler que, en effet, le Mac n’est en rien immune aux soucis d’acné digital qui frappe les PC sous Windows, loin de là .

D’ailleurs, les habitués des conférences Black Hat se souviennent probablement de plusieurs présentations dédiées à la prise de contrôle de MacOS X. Ajoutez à cela une gestion approximative de l'[ASLR | http://fr.wikipedia.org/wiki/Address_space_layout_randomization] (technique censée rendre l’exploitation d’un dépassement de tampon plus difficile) et une politique de patch pour le moins détendue, et on comprendra pourquoi la découverte de malwares Mac (et leur écriture !) n’a en définitive rien d’une performance. Nessie, le serpent de mer (ou plutot du Loch !) accouche finalement d’une souris.

La sécurisation de MacOS X, en revanche, est effectivement une question à se poser : à l’heure où le Mac se fraie plus facilement un chemin dans l’entreprise (et la prochaine version de MacOS supportera nativement Exchange), les équipes d’administration demeurent essentiellement compétentes sur Windows.

Alors plutôt qu’investir dans des licences antivirus pour les quelques Macs du parc, il semble plus judicieux de commencer par faire monter les équipes en compétences sur le sujet, et de préparer un master bien verrouillé du système. Pour cela les guides de configuration de la NSA (PDF en anglais) sont un bon point de départ.