Dans un monde numérique en constante évolution, les Mac d’Apple intègrent des fonctionnalités avancées de détection et de suppression de malware. Découvrez comment ces systèmes protègent vos données et garantissent une expérience utilisateur fluide, tout en affrontant les menaces modernes comme Adware et Trojan. Protégez votre Mac efficacement !

Sécurité sur Mac : Quels malwares votre Mac peut-il détecter et supprimer par lui-même ?

XProtect, des règles Yara, qu’est-ce que c’est ?

XProtect a été introduit en 2009 dans macOS X 10.6 Snow Leopard pour alerter les utilisateurs en cas de détection de malware dans un fichier d’installation. Depuis, XProtect a évolué de manière significative. L’arrêt de l’outil de suppression de malware (MRT) en avril 2022 a permis à XProtectRemediator (XPR) de prendre le relais, devenant ainsi un composant anti-malware natif plus performant, capable de détecter et de remédier aux menaces sur Mac.

La suite XProtect utilise la détection basée sur les règles Yara pour identifier les malwares. Yara est un outil open-source largement utilisé qui permet d’identifier des fichiers (y compris des malwares) en se basant sur des caractéristiques spécifiques et des motifs présents dans le code ou les métadonnées. L’avantage des règles Yara est que n’importe quelle organisation ou individu peut créer et utiliser les leurs, y compris Apple.

À partir de macOS 15 Sequoia, la suite XProtect se compose de trois composants principaux :

1. L’application XProtect : Elle peut détecter les malwares en utilisant des règles Yara lorsque l’application est lancée pour la première fois, change ou met à jour ses signatures.

2. XProtectRemediator (XPR) : Plus proactif, il peut détecter et supprimer des malwares grâce à des analyses régulières avec des règles Yara, entre autres. Les analyses se déroulent en arrière-plan pendant les périodes de faible activité et ont un impact minimal sur le CPU.

3. Le dernier ajout à macOS, le service XProtectBehaviorService (XBS) : Ce service surveille le comportement du système en rapport avec des ressources critiques.

Cependant, Apple utilise principalement des schémas de nommage internes génériques dans XProtect, ce qui complique la compréhension des malwares que XProtect peut identifier. Par exemple, certaines règles Yara portent des noms évidents, comme XProtect_MACOS_PIRRIT_GEN, une signature pour détecter l’adware Pirrit. En revanche, la majorité des règles sont plus génériques, comme XProtect_MACOS_2fc5997, et seuls les ingénieurs d’Apple connaissent les signatures internes telles que XProtect_snowdrift. C’est ici qu’interviennent des chercheurs en sécurité comme Phil Stokes et Alden.

Phil Stokes, de Sentinel One Labs, gère un dépôt sur GitHub qui relie ces signatures obscures d’Apple à des noms plus courants utilisés par les vendeurs et trouvés dans des scanners de malwares publics comme VirusTotal. De plus, Alden a récemment fait des avancées significatives dans la compréhension de XPR en extrayant des règles Yara à partir des binaires de son module de scan.

Comment trouver XProtect sur votre Mac ?

XProtect est activé par défaut dans chaque version de macOS. Il fonctionne également au niveau système, en arrière-plan, sans nécessiter d’intervention. Les mises à jour de XProtect se font automatiquement. Voici comment le localiser :

1. Dans Macintosh HD, allez dans Library > Apple > System > Library > CoreServices.
2. À partir de là, vous pouvez trouver les remédiateurs en faisant un clic droit sur XProtect.
3. Cliquez sur Afficher le contenu du paquet.
4. Développez Contents.
5. Ouvrez MacOS.

Remarque : Les utilisateurs ne devraient pas se fier uniquement à la suite XProtect d’Apple, car elle est conçue pour détecter des menaces connues. Des attaques plus avancées ou sophistiquées pourraient facilement contourner la détection. Il est donc fortement conseillé d’utiliser des outils de détection et de suppression de malwares tiers.

Quels malwares peut-il supprimer ?

Bien que l’application XProtect puisse seulement détecter et bloquer les menaces, c’est aux modules de scan de XPR qu’incombe la tâche de suppression. Actuellement, nous pouvons identifier 14 des 24 remédiateurs dans la version actuelle de XPR (v151) pour empêcher les malwares d’infecter votre machine.

1. Adload : Un chargeur d’adware et de bundleware ciblant les utilisateurs de macOS depuis 2017. Adload a réussi à éviter la détection jusqu’à la dernière mise à jour majeure de XProtect qui a ajouté 74 nouvelles règles de détection Yara spécifiquement pour ce malware.

2. BadGacha : Non identifié pour le moment.

3. BlueTop : Semble être une campagne de Trojan-Proxy qui a été couverte par Kaspersky fin 2023.

4. Bundlore : Un nouveau module ajouté en décembre 2024. Ce module est une famille de drops adware courants ciblant les systèmes macOS. De nombreux scanners de malwares tiers peuvent détecter Bundlore et l’arrêter en temps réel. Ce n’est pas une menace significative.

5. CardboardCutout : Ce module fonctionne différemment des autres. Plutôt que de scanner un type particulier de malware, CardboardCutout agit en créant une « coupe » de malware avec des signatures connues et l’empêche de s’exécuter sur le système.

6. ColdSnap : Probablement à la recherche de la version macOS du malware SimpleTea, qui a également été associée à la violation de 3CX.

7. Crapyrator : Identifié comme macOS.Bkdr.Activator. Cette campagne de malware a été découverte en février 2024 et infecte les utilisateurs de macOS à grande échelle.

8. DubRobber : Un dropper de Trojan préoccupant et polyvalent également connu sous le nom de XCSSET.

9. Eicar : Un fichier inoffensif conçu pour déclencher des scanners antivirus sans être nuisible.

10. FloppyFlipper : Non identifié pour le moment.

11. Genieo : Un programme potentiellement indésirable (PUP) très couramment documenté.

12. GreenAcre : Non identifié pour le moment.

13. KeySteal : Un infostealer macOS observé pour la première fois en 2021 et ajouté à XProtect en février 2023.

14. MRTv3 : Une collection de composants de détection et de suppression de malwares hérités de l’outil de suppression de malware (MRT).

15. Pirrit : Un adware macOS qui a fait son apparition en 2016, connu pour injecter des publicités contextuelles dans les pages web.

16. RankStank : Une règle qui inclut les chemins vers les exécutables malveillants trouvés dans l’incident 3CX.

17. RedPine : Avec une confiance plus faible, RedPine est probablement en réponse à TriangleDB.

18. RoachFlight : Non encore identifié.

19. SheepSwap : Non encore identifié.

20. ShowBeagle : Non encore identifié.

21. SnowDrift : Identifié comme un logiciel espion macOS.

22. ToyDrop : Non encore identifié.

23. Trovi : Un autre hijacker de navigateur connu pour rediriger les résultats de recherche.

24. WaterNet : Non encore identifié.

Si vous possédez des informations sur certains des modules non encore identifiés, n’hésitez pas à les partager !