Fermer le menu

Malware : le Mac face à sa première crise majeure ?

Christophe Laporte | | 10:41 |  125



Le Mac a-t-il connu sa première crise "majeure" en matière de sécurité avec Flashback ? Les déclarations de Docteur Web, l'éditeur russe d'antivirus, ont mis le feu aux poudres. D'après ses dires, ce malware aurait trouvé refuge sur plus de 600 000 ordinateurs estampillés d'une pomme.


Une "première" bien malheureuse qui suscite de la méfiance avec cette question en toile de fond : l'éditeur a-t-il manipulé les chiffres pour se faire un peu de publicité ?

Igor Soumenkov de Kaspersky vole au secours de son confrère. Suite à ces déclarations, l'éditeur de sécurité a également étudié la propagation de la dernière variante de Flashback (aussi baptisé Flashfake) : Trojan-Downloader.OSX.Flashfake.ab. Ce dernier prend la forme d'un applet Java, qui essaie de berner l'utilisateur en lui proposant d'installer une mise à jour d'Adobe Flash Player.

Bien entendu, au lieu de télécharger et installer le module d'Adobe, l'applet installe en douce le cheval de Troie qui entre alors immédiatement en contact avec un serveur distant dont il attend les instructions. Le composant installé est capable d'en télécharger d'autres et de les exécuter. Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit.

C'est la communication entre le trojan et ses bases qui a permis à Docteur Web et à Kaspersky de donner une estimation du nombre de Macintosh touché par Flashback. Igor Soumenkov explique que ses équipes ont fait de la rétroconception de l'algorithme permettant à Flashfake de communiquer avec des serveurs distants.

Pour se connecter à son "maître", le malware utilise des noms de domaine. Ces derniers sont générés à l'aide de deux algorithmes. Le premier est basé sur la date du jour. Le second est conçu à l'aide de plusieurs variables qui sont chiffrées à l'intérieur du trojan.

Une fois l'algorithme décortiqué, Kaspersky a enregistré le nom de domaine relatif au 6 avril et a enregistré les différentes requêtes qui lui ont été faites par les ordinateurs infectés. Le nom de domaine en question est : krymbrjasnof.com. À titre d'information, ce nom de domaine a été déposé le 5 avril.

Les conclusions de Kaspersky sont très proches de Dr. Web. En moins de 24 heures, le serveur a reçu 620 000 connexions de bots. Kaspersky rappelle que chaque bot possède un identifiant unique, ce qui lui laisse à penser que son estimation est relativement précise.



En matière de propagation géographique, les conclusions de Kaspersky sont également similaires à celles de son confrère. Les États-Unis sont le principal pays touché avec plus de 300 000 IP. On trouve ensuite le Canada, le Royaume-Uni et l'Australie.



Seul point d'interrogation pour Kaspersky : les ordinateurs qui se sont connectés à ses serveurs sont-ils bien des Mac ? L'éditeur de sécurité a basé ses estimations sur les en-têtes laissés par le bot lors de chaque connexion.




Cette donnée peut être aisément manipulée, mais non seulement les concepteurs de ce Cheval de Troie n'ont aucun intérêt à le faire et d'autre part, la faille utilisée a été bouchée sur les autres plates-formes il y a plusieurs mois.

600 000 Mac infectés ? À titre de comparaison, Apple a vendu l'année dernière près de 18 millions d'ordinateurs. En fonction des estimations, le parc de Macintosh encore en activité oscille entre 45 millions et 75 millions d'unités.

On pourra toujours mettre en doute la position de Kaspersky, mais une chose est certaine, si cette histoire est avérée, Apple paie là son incroyable laxisme en matière de sécurité concernant Java. Oracle a publié un correctif réglant cette faille de sécurité qualifiée de critique à la mi-février. Il a fallu attendre près de deux mois avant que la firme de Cupertino propose le sien (lire aussi Nouvelle mise à jour Java pour OS X [MàJ]).

Ce n'est pas la première fois qu'Apple joue avec le feu au sujet de Java. En 2009, elle avait réglé une faille assez grave avec quasiment sept mois de retard sur les autres (lire : Java sur Mac se traine des failles depuis six mois).

Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom.

La situation à l'avenir devrait toutefois s'arranger. Suite à un accord intervenu entre Apple et Oracle (lire : Java : un accord entre Apple et Oracle), Java SE 7, la prochaine version majeure de Java, ne sera plus distribuée par Apple, mais directement par Oracle. Une première developer preview de JDK 7 pour Mac OS X est déjà disponible au téléchargement depuis plusieurs mois (lire : Java : Oracle clarifie ses plans pour Mac et lorgne sur iOS).

Cette affaire de Cheval de Troie intervient alors que les chercheurs en sécurité avaient tendance à distribuer les bons points à l'élève Apple ces derniers mois, aussi bien au sujet d'iOS que d'OS X. Dans un sens comme dans un autre, les choses en matière de sécurité peuvent aller très vite…

Sur le même sujet :
- L'incroyable business des failles de sécurité
- Flashback : Office 2004 et utilitaire de détection
Catégories: 

Les derniers dossiers

Ailleurs sur le Web


125 Commentaires Signaler un abus dans les commentaires

avatar ziggyspider 07/04/2012 - 19:57

Pas sûr que supprimer Java et Flash suffise. Il faudrait carrément supprimer tout accès à internet sauf l'Apple Store et le MacApp Store … Et si ça ne suffit pas, supprimer l'élément le plus dangereux, celui qui est entre la chaise et le clavier !

avatar dahu_s 07/04/2012 - 20:00

@Apple92 +1 Win 7 64bits avec un i7 quadcore à 2.8Ghz avec un anti virus je ne vois aucune différence .... SSD en plus donc moins de 60 sec entre l'allumage du PC et l'arrivée sous le bureau complètement chargé

avatar Gagolak 07/04/2012 - 20:25

Les gens surfent sur des sites de merde et voient la soit disant install qui apparaît et cliquent continuer... C'est normal aussi de filer tes clés de bagnole à des inconnus^^ Rien de comparable aux saloperies qui se rependent toutes seules sur un PC sans antivirus ;-)


avatar daito 07/04/2012 - 20:56

La rédaction a beau le tourner dans tous les sens mais là où Mac4ever sont restés à juste titre modéré sur cette affaire, MacG s'engouffre dans la brèche de l'emballement médiatique et du sensationnel à désir de rentabilité en titrant la news "le Mac face à sa première crise majeure ". Comme d'habitude je dirais surtout au vu de la bibliographie de l'auteur de cette news. Mis à part ça, on a là encore du brouhaha médiatique et je dirais un coup de génie de l'éditeur (russe) d'anti-virus qui a révélé l'affaire. Ce n'est pas la première fois qu'un éditeur d'anti-virus essaie de caresser le Macusers en lui brandissant la peur du virus ou du malware pour vendre ses solutions de protection mais cet éditeur inconnu jusqu'à maintenant a eu la bonne idée de faire peur avec UN CHIFFRE : le chiffre de nombre de MacUsers touchés par le malware. Un chiffre que personne ne vérifie réellement mais peu importe, la sauce a pris, tous les média se sont jetés sur l'info et on a eu droit à une déferlante d'âneries en tout genre. Dans tous les cas, l'opération "com" de cet éditeur russe sorti de nul part a réussi. En l'occurrence la plupart des médias, toujours avide d'affaire liée à Apple, ont complètement occulté plusieurs points qui bien sûr montrent que toute cette affaire relève plus du pétard mouillé : - On parle souvent de ce Flashback comme un virus (dans les commentaires de cette news aussi) alors que c'est un Cheval de Troie qui donc s'installe par décision de l'utilisateur et qui ne se propage pas, contrairement aux nombreux virus qui font la joie des utilisateurs PC. - Le chiffre d'utilisateurs touchés est de 600000. À la fin de l'année dernière (keynote d'Octobre 2011) Tim Cook a évoqué un parc installé de Mac de 58 millions de machine. En d'autres termes, ce cheval de Troie aurait touché un peu plus de 1% des utilisateurs.....OK..... - Les médias n'ont aussi jamais évoqué le fait que la composante tierce Java n'est plus installée par défaut sur Mac.

avatar daito 07/04/2012 - 20:58

"Rarement lu un tel ramassis de stupidités. J 'ai un MBP et un pc Windows 7 core i7. Je peux te dire que mon windows 7 laisse mon dual core Mac sur place... Donc arrêtez de sortir des âneries de personnes contaminés par le marketing Apple." Toi aussi question âneries tu te défends bien. Car comparer un MBP avec un Core2duo et un PC core i7 (deux générations de proc différentes), c'est juste pas très honnête pour défendre ton argument (ou contredire un autre).

avatar Anonyme (non vérifié) 07/04/2012 - 21:22

@ lightup : L'UAC hurle quand il considère que l'icône n'est pas personnelle (en général quand elle est public). Mais bon il vaut mieux perdre un peu de temps et sécuriser au maximum son système. C'est comme me dire "Je ne ferme pas ma voiture car il faut faire une manoeuvre de poignet en plus pour que je rentre dedans". L'UAC c'est à l'image de la serrure, c'est pas fait pour faire joli... @ laurent s from nancy : Pas plus que les autres... Quand tu vois l'état des PC chez le gens en général, tu pleurs... Anecdote assez sympa mais il suffit de voir Chrome et le nombre de gens qui ne savent pas qu'ils l'ont installé et qu'ils l'utilisent.

avatar liocec 07/04/2012 - 21:32

@Kelv : '"Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine...." Hahaha, il y en a qui devraient sortir de leur grotte.' Je confirme pourtant mes propos, c'est toi qui devrais prendre un MacBook air et tu vas pleurer juste 18 sec plus tard en t'apercevant de ton ignorance. Il est 4 à 5 fois plus rapide à usage identique qu'une machine quasi identique avec seven et un antivirus + un parfeu. Et je te parle pas de la mise en veille / hors veille... Et j'ai juste un parc de 5 PC dont 2 pour gamer et 1 Mac pro, donc je peux comparer facilement !

avatar noooty 07/04/2012 - 21:37

@karayuschij : c'est peut-être lui l'auteur... Il lui a juste suffit de mettre un compteur sur son serveur virulent....

avatar liocec 07/04/2012 - 21:38

@Apple92 : 'J 'ai un MBP et un pc Windows 7 core i7. Je peux te dire que mon windows 7 laisse mon dual core Mac sur place... ' Déjà mbp de quand, et Pc de quand ? Les 2 sont des portables, parce qu'une tour n'a pas les mêmes limites de consommation, etc... Quels cpu, quelles vitesses, combien de mémoire ? SSD, disque dur, 5400, 7200 tr/mn... Comparons se qui est comparable.... T'as mis quoi comme protection ? Quel antivirus, quel parfeu ?

avatar noooty 07/04/2012 - 21:40

@viksilver : tu vas sur utilitaire, tu corrigés les permissions de tes disques, et tu vérifies s'il faut réparer les disques, interne et timemachine... Si ça continue, sert toi d'onyx...

avatar noooty 07/04/2012 - 21:42

@lightup : c'est quoi un uac?

avatar Anonyme (non vérifié) 07/04/2012 - 22:10

@noooty : L'uac c'est du Windows. Pour faire simple, quand tu veux faire une tâche qui va écrire/modifier dans certains endroits spécifiques, tu vois une fenêtre "Vous être vraiment sûr?". En profondeur c'est totalement différent mais dans l'utilisation sa ressemble un peu à SUDO sur Ubuntu (les distributions Linux qui l'intègrent et Mac je crois). Dans le fichier sudoers est écrit pour que l'utilisateur s'il invoque "sudo" utilise le système en tant que root (administrateur) alors que par défaut il n'est qu'un utilisateur (il ne peut pas installer de logiciels, mettre à jour le système,...). Le mécanisme est différents mais le concept est plus ou moins le même où le 1er utilisateur créé n'a aucun pouvoir d'administrateur mais à ce petit truc en plus qui le rend proche de dieu sur sa machine sauf modifications volontaires :p.

avatar Jeff Tremblay 07/04/2012 - 22:29

Je garde un doute sur le sérieux de ces affirmations concernant le nombre d"ordinateurs infectés. 94 625 pour le Canada, c'est un chiffre énorme, vraiment énorme.

avatar Apple92 07/04/2012 - 22:34

À tous ceux hargneux qui m'attaquent; j'explique juste que w7 est hyper réactif donc arrêtez la mauvaise foi.

avatar Anonyme (non vérifié) 07/04/2012 - 22:52

Solution : - désactiver Java dans Safari - remplacer FlashPlayer par l'extension YouTube5 pour safari ...et le tour est joué

avatar Soner 07/04/2012 - 22:57

@Jcale : Solution : Éteindre son Mac. Et le tour est joué.

avatar Florian Innocente macG 07/04/2012 - 23:00

[b] @ lyon3 : Peut être y a t'il un juste milieu entre "il ne se passe rien" et "crise majeure" comme est titré l'article. [/b] On peut discuter sur le titre (parfois on rame pour trouver un titre qui colle bien, et on y arrive pas toujours). Encore que là, il n'est peut-être pas si hors jeu que ça. [b] Vous auriez éventuellement pu saluer l'idée d'Apple, qui est de ne plus installer par défaut des composants inutiles pour le grand public et qui sont sources de problèmes.[/b] Ainsi que c'est écrit vers la fin de l'article… mais il fallait aller jusque là :-)

avatar linky-monky 07/04/2012 - 23:01

J'ai un pote qui est infecté, comment faire pour le désinstaller ?

avatar lmouillart 07/04/2012 - 23:08

@Apple92 Certes, Mac OS X SL, Lion et ML est plus lent sur les accès en mémoire, les accès disques, le calcul cpu, gpugpu, traitement gpu qui font que Windows 7 64bits est plus rapide et plus réactif. Les utilisateurs de produit Apple ne cherchent pas la performance, ni même d'avoir le système le plus réactif mais un système plutôt joli et bien pensé.

avatar Anonyme (non vérifié) 07/04/2012 - 23:08

@Soner Pas con...

avatar liocec 07/04/2012 - 23:11

@Apple92 : 'À tous ceux hargneux qui m'attaquent; j'explique juste que w7 est hyper réactif donc arrêtez la mauvaise foi.' Mais on ne t'attaque pas, on défend avec force nos idées, bon parfois ça dérape un peu, désolé...

avatar Mac Mac 07/04/2012 - 23:23

Pas de doute. On est à windaube-land.

avatar Apple92 07/04/2012 - 23:52

@lmouillart : '@Apple92 Certes, Mac OS X SL, Lion et ML est plus lent sur les accès en mémoire, les accès disques, le calcul cpu, gpugpu, traitement gpu qui font que Windows 7 64bits est plus rapide et plus réactif. Les utilisateurs de produit Apple ne cherchent pas la performance, ni même d'avoir le système le plus réactif mais un système plutôt joli et bien pensé.' Oui mais je n'ai pas dit qu'ils cherchaient la performance, je dis juste: arrêtez de raconter n'importe quoi sur Windows. Il y a un point commun entre les utilisateurs Mac os et GNU/Linux: une mauvaise foi évidente et un discours partisan. Pour info: j'utilise massivement les 3 os.

avatar GrudeBruk 07/04/2012 - 23:54

Faut arrêter les conneries, ce n'est pas l'utilisation d'un OS plus qu'un autre qui vous mettra à l'abris. Le maillon faible est la crédulité des gens et leurs propension à faire confiance, que ce soit par ignorance ou laxisme. Les antivirus ont toujours existé, autant sur Mac OS, Linux que Windows. Les utilisateurs Windows ont pour avantage d'être beaucoup plus/mieux préparé et d'avoir beaucoup plus d'outils pour lutter contre la vermine (les éditeurs étant aussi beaucoup plus prompt pour colmater une faille), quand le Macuser se sent lui intouchable et n'ira pas chercher plus loin. Il faut aussi arrêter les clichés: Windows ça rame, tu chope tout les virus,trojan, spyware, malware du monde ... La moindre opération prend 3 plombes ... et tout les autres clichés du genre et ils sont nombreux. Ce qui pourri Windows, ce sont les fabriquants qui rajoutent toute leurs daubes logicielles, surcouche, shareware .... Perso je suis un gros utilisateur de Thinkpad sur lesquels je me fais systématiquement une installation propre de Windows et en installant que les soft dont j'ai besoin, ces machines sont des tueries.(puissance, stabilité, fiabilité) Elles l'étaient du temps d'IBM, elles le sont toujours avec Lenovo. J'ai abandonné Apple car j'en avais assez de payer deux fois plus cher du matos limite obsolète sous prétexte de design. Et puis OSX chie sérieux dans la colle sur un réseau hétérogène.

avatar bigham 07/04/2012 - 23:56

@karayuschij: C'est expliqué dans l'article. Paragraphe 5-7

Pages