Avec Mac OS X Lion, Apple a renforcé la sécurité de son système d’exploitation de manière non négligeable. Au point que celle-ci est désormais « équivalente à celle de Windows« , explique à notre confrère Threatpost le chercheur Charlie Miller, une figure incontournable du piratage d’OSX « for fun & profit« . Miller a en effet gagné plusieurs prix pour avoir hacké MacOS X et son navigateur Safari à l’occasion de concours tel le fameux CanSecWest.

Les adeptes du système d’Apple seront certainement choqués de lire qu’OS X ne rivalise qu’aujourd’hui avec Windows, pourtant considéré moins sûr. Mais le chercheur se justifie en expliquant qu’avec Lion, OS X dispose pour la première fois d’une implémentation complète de l’ASLR (randomization de l’adressage dans la mémoire), une technique destinée à rendre plus compliquée l’exploitation d’une vulnérabilité.

Jusqu’à présent seuls Windows et Linux (et curieusement iOS) bénéficiaient d’une implémentation totale de l’ASLR, tandis que OS X se contentait de ne l’appliquer qu’à certaines portions de la mémoire, ce qui le laissait plus vulnérable que ses concurrents. Cette fonctionnalité est pourtant apparue dans OS X en 2007 avec la version 10.5 (Leopard), et il aura donc fallu attendre quatre ans avant de la voir correctement implémentée. Nous écrivions à l’époque que ce n’était là « rien qu’une mise à jour ne puisse corriger« , sans nous douter que celle-ci mettrait quatre ans à arriver !

Apple a également renforcé Filevault : la nouvelle version de cet outil de chiffrement ne protège plus uniquement le répertoire de l’utilisateur mais enfin la totalité du disque dur (chiffré en AES 128). Du vrai chiffrement intégral du disque, simple à mettre en oeuvre, voilà qui valait le coup d’attendre ! (Lire à ce sujet notre article daté de 2009 et consacré au Full Disk encryption sous Mac, dans lequel nous regrettions déjà les limites de FileVault premier du nom)

Enfin, le sandboxing introduit dans la version précédente de Mac OS est ici renforcé. Le moteur de rendu du navigateur Safari est désormais exécuté dans un processus distinct du reste afin de rendre plus compliquée encore l’exploitation d’une vulnérabilité à la volée (à l’image de Chrome ou de ce que fait Adobe avec son Reader).

Accessoirement, Apple teste avec Lion un mode de distribution plus contrôlé : en ne livrant Lion qu’à travers un téléchargement via sa plateforme iTunes, l’éditeur s’assure que seuls les utilisateurs disposant d’un compte iTunes (donc parfaitement connus et titulaires d’une carte de paiement) n’installeront le système. Et si Mac OS X Lion sera bien disponible dès le mois prochain en boutiques sous forme de clés USB, rien ne dit qu’à l’avenir le téléchargement vers iTunes ne soit plus que la seule option disponible.