Découvrez comment macOS 15.4 transforme la sécurité avec la nouvelle fonctionnalité TCC

Security Bite : macOS 15.4 et l’événement « Allow » sur le support TCC

Mosyle, la seule plateforme Apple unifiée, est à l’origine de cette avancée exclusive. Grâce à Mosyle, les appareils Apple deviennent prêts à l’emploi et sûrs pour les entreprises. Avec une approche intégrée unique en matière de gestion et de sécurité, Mosyle combine des solutions de sécurité de pointe spécifiques à Apple pour une automatisation complète de la conformité et du durcissement, une EDR de nouvelle génération, une confiance zéro alimentée par l’intelligence artificielle et une gestion des privilèges exclusive. La plateforme unifiée Apple est actuellement utilisée par plus de 45 000 organisations pour rendre des millions d’appareils Apple prêts à l’emploi sans effort et à un coût abordable. Découvrez pourquoi Mosyle est tout ce dont vous avez besoin pour travailler avec Apple.

Le rôle de TCC dans l’écosystème d’Apple

Dans l’écosystème des appareils Apple, TCC (Transparency, Consent, and Control) joue un rôle crucial en permettant aux utilisateurs d’approuver, de limiter ou de refuser les demandes des applications d’accéder à des données sensibles et à des matériels intégrés comme le microphone et la caméra. L’objectif principal de TCC est d’assurer la transparence pour l’utilisateur sur la façon dont ses données sont utilisées par les applications.

Les défis liés aux événements TCC

Pour les développeurs et les chercheurs en sécurité de macOS, la demande d’inclusion des événements TCC dans le framework de sécurité Endpoint Security (ES) est ancienne. Cela leur permettrait de tracer directement une demande TCC jusqu’à l’application spécifique (ou le malware) qui l’a déclenchée. Malheureusement, jusqu’à présent, il était quasiment impossible de détecter un événement TCC malveillant en temps réel. Les outils de sécurité devaient se contenter d’analyser les journaux après coup pour déterminer si un événement malveillant s’était produit.

Les nouveautés de macOS 15.4

Avec la version macOS 15.4, Apple a enfin ajouté des événements TCC au framework de sécurité Endpoint. Cela signifie que l’identifiant ES_EVENT_TYPE_NOTIFY_TCC_MODIFY notifie désormais une tentative de modification TCC, offrant ainsi aux outils de sécurité tiers la possibilité de surveiller les demandes de permission en temps réel et de les lier à l’application d’origine. Cela représente une avancée significative dans la lutte contre les malwares qui profitent souvent de l’accord impulsif des utilisateurs sur ces demandes.

Les avantages et limites actuelles

Selon Patrick Wardle, créateur de nombreux outils de sécurité Mac populaires tels que LuLu, cette mise à jour est un pas en avant, bien que l’implémentation reste encore nuancée. Les détails utiles peuvent ne pas être capturés ou peuvent être incohérents, ce qui limite la visibilité. Malgré cela, l’ajout de l’événement TCC à la version bêta de macOS 15.4 laisse espérer des améliorations futures avant la version publique attendue pour le mois prochain.

Réflexions de Patrick Wardle

Dans son article de blog, Wardle souligne l’importance de cette mise à jour, expliquant comment la majorité des malwares sur macOS contournent TCC via une approbation explicite des utilisateurs. L’intégration de l’événement TCC dans le framework ES pourrait permettre aux outils de sécurité de détecter et potentiellement de contrer ces décisions risquées.

Conclusion et perspectives

Bien que le chemin vers une protection complète soit encore semé d’embûches, l’inclusion des événements TCC dans le framework Endpoint Security de macOS 15.4 représente une avancée majeure dans la sécurisation des appareils Apple. Avec plus d’améliorations attendues dans les prochaines mises à jour, les utilisateurs peuvent espérer une protection renforcée contre les menaces potentielles.

Suivez Arin : Retrouvez ses réflexions et analyses sur Twitter, LinkedIn, et Threads.

Note : Ce texte utilise des liens d’affiliation.