Fin décembre 2025, Jamf Threat Labs a documenté une nouvelle variante de MacSync Stealer diffusée via une application malveillante à la fois signée avec un Developer ID valide et notarisée par Apple. Dans ce contexte, Gatekeeper ne disposait d’aucun motif pour bloquer son exécution.
Le modèle d’Apple repose sur deux piliers pour les apps hors Mac App Store : signature de code et notarisation. Ce dispositif limite fortement les risques, mais il part du principe que la signature atteste d’une intention légitime et d’une attribution claire, non d’une innocuité permanente.
- Obtention de certificats réels : des acteurs de la menace utilisent des Developer ID compromis ou achetés sur des marchés souterrains, ce qui réduit les signaux d’alerte.
- Analyse statique contournée : comme l’explique Jamf dans son analyse (Jamf), le binaire initial — souvent un exécutable Swift minimal — paraît bénin lors de la notarisation.
- Chargements différés : le comportement malveillant s’active ensuite, quand l’app contacte une infrastructure distante pour récupérer des charges utiles additionnelles, absentes au moment de la soumission.
- Périmètre de la notarisation : l’évaluation porte sur ce qui est soumis, pas sur ce que l’app téléchargera et exécutera ultérieurement en conditions réelles.
Les premiers cas de malwares notarisés remontent au moins à 2020, identifiés par l’utilisateur Twitter/X PokeCaptain. Un autre cas similaire a été observé en juillet 2025. Les incidents restent circonscrits, mais la méthode gagne en maturité.
La signature et la notarisation visent l’attribution et la révocation en cas d’abus. Elles n’offrent pas de garantie absolue de bénignité. Apple peut retirer la confiance accordée à un certificat dès qu’un abus est établi.
Le risque d’infection diminue en privilégiant des éditeurs reconnus ou le Mac App Store pour l’installation d’applications.
