XProtect, l'antivirus natif, et bien caché, de macOS. Il est épaulé par Notarization et GateKeeper.
Bien que macOS ait une bonne réputation de préserver la sécurité de votre ordinateur et vos données, l’OS n’a pas d’outil antivirus visible comme la suite Windows Security intégrée dans le système d’exploitation de Microsoft. Il y a bien des outils antivirus et autre dans l’OS de la marque à la pomme, mais ceux-ci sont invisibles.
XProtect, l’antivirus natif, et bien caché, de macOS
Prenez XProtect, par exemple. Celui-ci n’apparaît pas dans le dock ni dans le launcher, ni si vous le cherchez dans Spotlight, mais il est bien là. Son fonctionnement est identique à celui d’un antivirus conventionnel, il recherche des signatures laissées par des malwares grâce à un outil baptisé YARA et utilise des mises à jour codées par les ingénieurs d’Apple.
Ces signatures peuvent être utilisées pour détecter les malwares sur des bases régulières, indépendamment des mises à jour logicielles de macOS. Si un nouveau virus est découvert dans la nature, Apple peut mettre à jour macOS rapidement, et si ce virus est détecté, le Mac pourra le bloquer.
XProtect passe à l’action de trois manières différentes : quand une app est lancée pour la première fois, quand une app a été modifiée dans le système de fichiers et quand une nouvelle mise à jour de signatures est publiée par Apple. Avec ces précautions en place, il est très difficile pour du code malveillant de passer les défenses d’un Mac.
Si quelque chose devait passer, XProtect peut encore aider : Apple est capable de proposer des mises à jour à son outil pour supprimer les infections des malwares connus. Selon une analyse approfondie, il s’avère que, si XProtect est de plus en plus agressif dans sa chasse aux malwares, il peut réaliser des scans une fois par jour ou plus souvent, si le système n’est pas trop utilisé pour autre chose.
Il est épaulé par Notarization et GateKeeper
XProtect n’est pas le seul service de sécurité qui protège macOS. Notarization est le système utilisé par Apple pour placer des logiciels sur liste blanche : le logiciel soumis à Apple est scanné à la recherche de malware et il reçoit un badge de sécurité s’il passe le test. C’est un peu comme le processus de vérification des apps pour iOS, mais c’est plus rapide et totalement automatisé.
Les développeurs de logiciels peuvent aussi passer par le Mac App Store, s’ils le souhaitent. Tout ce qui est proposé dans le store a été vérifié par Apple et ne contient donc pas de malware – si du code malveillant devait être détecté, il est facile de retirer le logiciel pour le rendre indisponible -.
Notarization fonctionne de pair avec un autre outil baptisé Gatekeeper, qui est le dernier garde-fou sur votre système. Lorsque vous voyez un écran d’avertissement disant que vous êtes sur le point d’installer une app pour laquelle APple ne sait rien, c’est le Gatekeeper qui passe à l’action. Cela ne veut pas dire que l’app en question est dangereuse, mais cela signifie que macOS ne peut rien garantir.
Si vous voulez contourner Notarization et Gatekeeper, vous le faites à vos risques et périls. Vous pouvez toujours exécuter des apps qui n’ont pas passé ces vérifications en les retrouvant dans le Finder, en maintenant Ctrl et en cliquant dessus. Là, choisissez Ouvrir, puis Ouvrir encore dans la boîte de dialogue qui apparaît.
Comme XProtect, les outils Notarization et Gatekeeper n’ont pas d’interface utilisateur ou de paramètres. Vous pouvez, si vous le voulez, n’autoriser les apps à fonctionner que si elles proviennent du Mac App Store : ouvrez le menu Apple, puis les Préférences système et Sécurité et Confidentialité. Sous Général, vous pouvez choisir “App Store” ou “App Store et développeurs identifiés” pour définir quelles apps sont autorisées.
À noter, dans les versions précédentes de macOS, il y avait une troisième option, “N’importe où”, celle-ci n’existe plus. Sur le même écran, vous verrez un bouton “Ouvrir tout de même” si vous avez récemment tenté d’ouvrir une application que le GateKeeper a bloqué (vous pouvez utiliser cette méthode pour ouvrir une application inconnue comme alternative au processus décrit plus haut). C’est pratique si vous testez une application que vous développez, par exemple.
Les protections habituelles d’Apple en termes de confidentialité sont intégrées directement dans le système : ces scanners de malware et autres vérifications de sécurité sont réalisées sans aucune référence à votre Apple ID ou autres détails personnels, et Apple ne garde aucun historique de ce que vous tentez d’exécuter sur votre Mac. Et les futures mises à jour de macOS devraient améliorer encore tout cela.
Ces outils de scans et antivirus fonctionnent en combinaison avec d’autres fonctionnalités de sécurité proposées par macOS. Des technologies comme System Integrity Protection limitent ce que les applications tierces peuvent faire. Autrement dit, même si un malware arrive sur votre machine, celui-ci ne pourra faire trop de dégâts.
Nous n’irons pas, évidemment, jusqu’à dire qu’il n’y a pas besoin d’installer un outil antivirus dédié sur votre Mac – il peut être utile d’avoir plusieurs outils de surveillance -, mais gardez bien en tête que macOS a déjà toute une batterie de protections de sécurité, y compris un scanner de malware dont vous n’aviez peut-être absolument pas conscience.
REF.: https://www.begeek.fr/comment-fonctionnent-les-outils-antivirus-caches-de-votre-mac-373988