Photo : 9to5Mac
Pour les développeurs et chercheurs en sécurité macOS, l’ajout d’événements TCC (Transparence, Consentement et Contrôle) au cadre de sécurité des points de terminaison se faisait bien attendre. Cela leur permettrait de retracer directement une requête TCC à l’application spécifique (ou au logiciel malveillant) qui l’a déclenchée, offrant ainsi une protection en temps réel plutôt que de devoir analyser des journaux système après coup.
La bonne nouvelle ? Apple s’attaque enfin à ce problème avec la mise à jour de macOS 15.4.
La mauvaise nouvelle ? La fonctionnalité est encore un peu rustique.
Dans l’écosystème d’Apple, TCC joue un rôle crucial en demandant aux utilisateurs de permettre, limiter ou refuser l’accès des applications à des données sensibles, comme le microphone et la caméra. L’objectif principal du TCC est d’offrir aux utilisateurs davantage de transparence quant à l’accès et à l’utilisation de leurs données.
En théorie, cela devrait protéger les utilisateurs. Mais les auteurs de logiciels malveillants exploitent souvent cette impulsivité en poussant les utilisateurs à cliquer sur « Autoriser » sans réfléchir, leur permettant ainsi d’obtenir un accès non autorisé.
Jusqu’à présent, détecter un événement TCC malveillant relevait presque du trivial. Les outils de sécurité ne pouvaient pas observer un événement en temps réel, se contentant de parcourir les journaux pour déterminer si un événement malveillant s’était produit, souvent après que les dégâts étaient faits.
Comme l’a d’abord signalé Patrick Wardle, créateur de plusieurs outils de sécurité Mac, Apple a discrètement ajouté des événements TCC à son cadre de sécurité des points de terminaison dans la dernière version beta de macOS 15.4. Le nouvel identifiant ES_EVENT_TYPE_NOTIFY_TCC_MODIFY signale que le prompt TCC a été déclenché. Ce changement pourrait enfin permettre aux outils de sécurité tiers de surveiller les requêtes de permission en temps réel et de les relier à l’application qui les a émises.
« Étant donné que la majorité des malwares sur macOS contournent TCC par une approbation explicite de l’utilisateur, il serait extrêmement utile pour tout outil de sécurité de détecter cela — et possiblement de surclasser la décision risquée de l’utilisateur », écrit Wardle dans un article.
Bien que l’ajout des événements TCC soit une avancée significative, il convient de noter que cette fonctionnalité reste « assez nuancée ». Selon Wardle, elle pourrait ne pas capturer tous les détails utiles et se comporter de façon inconsistante pour le moment. Espérons qu’Apple parviendra à résoudre ces problèmes avant le lancement public de macOS 15.4, prévu pour le mois prochain.
Pour des analyses techniques détaillées, n’hésitez pas à consulter le blog de Patrick Wardle.
