L'une des pires choses qui puisse arriver quand son ordinateur a été infecté par un logiciel malveillant, c'est de s'en rendre compte trop tard, déclare le chercheur en sécurité Jonathan Zdziarski. Ce n'est pas Nicolas, qui a dû récemment affronter son premier malware sur Mac, qui va dire le contraire.
Détecter immédiatement la présence d'un programme frauduleux permet de limiter la casse en prenant les actions appropriées. C'est notamment le rôle des antivirus de les repérer, mais ceux-ci ne sont pas infaillibles. Un tout nouveau malware ou une variante qui n'est pas dans la base de données du logiciel de sécurité peut passer entre les mailles du filet.
C'est pourquoi Jonathan Zdziarski propose un utilitaire qui fonctionne différemment. FlockFlock [40,8 Mo - Alpha 0.0.3] alerte et protège contre les modifications de fichiers non autorisées. FlockFlock est l'équivalent du célèbre Little Snitch (qui surveille les connexions réseaux) pour les accès aux fichiers, résume le spécialiste de la sécurité des produits Apple.
L'utilitaire s'intègre très profondément au système, au niveau du kernel, et exploite le framework Mandatory access control (contrôle d'accès obligatoire) pour vérifier les opérations liées aux fichiers. Il est en fait composé de deux éléments : une extension kernel et une application avec interface graphique pour alerter l'utilisateur des anomalies.
FlockFlock est censé résister aux potentielles tentatives de désactivation des malwares et empêche également la modification des fichiers systèmes.
Le logiciel, qui est open source et gratuit, vient tout juste de sortir en alpha. Son créateur prévient donc que si vous voulez l'essayer, vous le faites à vos risques et périls. De plus, il nécessite pour le moment de désactiver SIP, dont le rôle est aussi d'empêcher les modifications des fichiers les plus importants. Mieux vaut donc attendre que le FlockFlock soit plus avancé pour compter vraiment sur lui.
