Malware : le Mac face à sa première crise majeure ?

Christophe Laporte |



Le Mac a-t-il connu sa première crise "majeure" en matière de sécurité avec Flashback ? Les déclarations de Docteur Web, l'éditeur russe d'antivirus, ont mis le feu aux poudres. D'après ses dires, ce malware aurait trouvé refuge sur plus de 600 000 ordinateurs estampillés d'une pomme.

Une "première" bien malheureuse qui suscite de la méfiance avec cette question en toile de fond : l'éditeur a-t-il manipulé les chiffres pour se faire un peu de publicité ?

Igor Soumenkov de Kaspersky vole au secours de son confrère. Suite à ces déclarations, l'éditeur de sécurité a également étudié la propagation de la dernière variante de Flashback (aussi baptisé Flashfake) : Trojan-Downloader.OSX.Flashfake.ab. Ce dernier prend la forme d'un applet Java, qui essaie de berner l'utilisateur en lui proposant d'installer une mise à jour d'Adobe Flash Player.

Bien entendu, au lieu de télécharger et installer le module d'Adobe, l'applet installe en douce le cheval de Troie qui entre alors immédiatement en contact avec un serveur distant dont il attend les instructions. Le composant installé est capable d'en télécharger d'autres et de les exécuter. Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit.

C'est la communication entre le trojan et ses bases qui a permis à Docteur Web et à Kaspersky de donner une estimation du nombre de Macintosh touché par Flashback. Igor Soumenkov explique que ses équipes ont fait de la rétroconception de l'algorithme permettant à Flashfake de communiquer avec des serveurs distants.

Pour se connecter à son "maître", le malware utilise des noms de domaine. Ces derniers sont générés à l'aide de deux algorithmes. Le premier est basé sur la date du jour. Le second est conçu à l'aide de plusieurs variables qui sont chiffrées à l'intérieur du trojan.

Une fois l'algorithme décortiqué, Kaspersky a enregistré le nom de domaine relatif au 6 avril et a enregistré les différentes requêtes qui lui ont été faites par les ordinateurs infectés. Le nom de domaine en question est : krymbrjasnof.com. À titre d'information, ce nom de domaine a été déposé le 5 avril.

Les conclusions de Kaspersky sont très proches de Dr. Web. En moins de 24 heures, le serveur a reçu 620 000 connexions de bots. Kaspersky rappelle que chaque bot possède un identifiant unique, ce qui lui laisse à penser que son estimation est relativement précise.



En matière de propagation géographique, les conclusions de Kaspersky sont également similaires à celles de son confrère. Les États-Unis sont le principal pays touché avec plus de 300 000 IP. On trouve ensuite le Canada, le Royaume-Uni et l'Australie.



Seul point d'interrogation pour Kaspersky : les ordinateurs qui se sont connectés à ses serveurs sont-ils bien des Mac ? L'éditeur de sécurité a basé ses estimations sur les en-têtes laissés par le bot lors de chaque connexion.




Cette donnée peut être aisément manipulée, mais non seulement les concepteurs de ce Cheval de Troie n'ont aucun intérêt à le faire et d'autre part, la faille utilisée a été bouchée sur les autres plates-formes il y a plusieurs mois.

600 000 Mac infectés ? À titre de comparaison, Apple a vendu l'année dernière près de 18 millions d'ordinateurs. En fonction des estimations, le parc de Macintosh encore en activité oscille entre 45 millions et 75 millions d'unités.

On pourra toujours mettre en doute la position de Kaspersky, mais une chose est certaine, si cette histoire est avérée, Apple paie là son incroyable laxisme en matière de sécurité concernant Java. Oracle a publié un correctif réglant cette faille de sécurité qualifiée de critique à la mi-février. Il a fallu attendre près de deux mois avant que la firme de Cupertino propose le sien (lire aussi Nouvelle mise à jour Java pour OS X [MàJ]).

Ce n'est pas la première fois qu'Apple joue avec le feu au sujet de Java. En 2009, elle avait réglé une faille assez grave avec quasiment sept mois de retard sur les autres (lire : Java sur Mac se traine des failles depuis six mois).

Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom.

La situation à l'avenir devrait toutefois s'arranger. Suite à un accord intervenu entre Apple et Oracle (lire : Java : un accord entre Apple et Oracle), Java SE 7, la prochaine version majeure de Java, ne sera plus distribuée par Apple, mais directement par Oracle. Une première developer preview de JDK 7 pour Mac OS X est déjà disponible au téléchargement depuis plusieurs mois (lire : Java : Oracle clarifie ses plans pour Mac et lorgne sur iOS).

Cette affaire de Cheval de Troie intervient alors que les chercheurs en sécurité avaient tendance à distribuer les bons points à l'élève Apple ces derniers mois, aussi bien au sujet d'iOS que d'OS X. Dans un sens comme dans un autre, les choses en matière de sécurité peuvent aller très vite…

Sur le même sujet :
- L'incroyable business des failles de sécurité
- Flashback : Office 2004 et utilitaire de détection
Tags
#sécurité #malware #flashback
avatar liocec | 
@Kelv : 'Moi aussi j'ai eu le loisir d'avoir tout un tas de machine et je me permets pas de faire un jugement aussi simpliste et général.' Non, mon jugement n'est pas simpliste. Oui, il est général : jusqu'à présent j'ai entendu et lu de tout sur MacOSX et windows, mais jamais, mais alors jamais, quelqu'un a dit que l'OS d'Apple était le plus lent (hormis les drivers vidéos et les jeux).
avatar iJack | 
VirusBarrier Express (gratuit sur le MAS), détecte ce malware : http://forums.macg.co/mac-os-x/eradication-de-flashback-1071732.html et : http://www.moncoachordi.fr/blog/110-securite-mac-flashback-encore-un-cheval-de-troie
avatar brunitou | 
bon article
avatar Feroce | 
"Raison de plus de ne pas être ADM de sa machine, mais simple utilisateur. Dans ce cas, le malware en question ne peut obtenir le compte ADM ou ROOT par magie, puisqu'il hérite du droit de simple user/surfer. Il est donc OBLIGE de demander un compte ADM ou ROOT, avec le bon mot de passe associé, pour pouvoir agir (si je dis une connerie, ne vous gênez pas :). Dommage que ce ne soit pas proposé par défaut, et personne ici n'a évoqué cette possibilité :( Certes le malware ne se gênera pas de demander un user/pw à l'utilisateur, mais ça ne se passera pas dans son dos..." Pas fondamentalement faux, mais on parle d'un faille de sécurité. Et certaines font de l'élévation de droit. Cela veut dire que le mécanisme qui AURAIT du demander un mot de passe ne le fait pas. Tout n'est pas aussi mécanique que ce qu'on pourrait l'imaginer :-)
avatar Feroce | 
"Ce ne serait pas lui qui oeuvre pour une solution antivirale pour PC et Mac ? De la à dire qui il en est pour qq chose, j'en pense pas moins !" Raisonnement hyper simpliste. Créer un virus informatique est un délit qui est TRES lourdement sanctionné (amendes colossales, peines de prison, etc) ! Si l'on vient à découvrir en plus qu'il s'agit de faits perpétrés par une boite commerciale, je n'ose imaginer les dégâts. Ce sont les médecins qui transmettent la grippe aux personnes âgées ?
avatar mugu | 
Remarque sous UBUNTU y a pas de virus!
avatar kinto | 
@nogui nogui [07/04/2012 11:08] @dumbkiller Voila http://www.journaldulapin.com/2012/04/05/verifier-si-vous-etes-infectes-par-flashback/#more-9162 merci pour l'info , pas infecter.
avatar Mabeille | 
@daito tu as raison ce n'est pas un virus... l'honneur est sauf il n'y a pas de virus sur Mac... D'ailleurs l'utilisation du terme virus en tant que terme générique est un abus de langage qui permet à certains de faire une pirouette. Alors non il n'y a pas de virus sur Mac mais des programmes malveillants. Terme qui devrait aussi être utilisé sur Pc. par exemple. Enfin pour Apple cela signifie qu'avec les programmes tiers, Os X n’est pas inviolable et ce même sans taper de mots de passe... mais ça on le savait depuis longtemps. Au contest de sécurité qui se tient chaque année, Os X nu tenait bien le choc comme Windows et Linux, logiciels tiers inclus Osx craquait aussi vite que les autres. Mais tu as raison, il n'y a pas de virus sur Mac.... et au pire c'est la faute des autres pas d'Apple. Au final en extrapolant on pourra dire mon Os X n'est pas infecté mais les logiciels tiers installés sur mon mac si .... l'honneur sera encore sauf. Ps: c'est Apple qui maintiens java pour Mac ... la faille est connue depuis un moment... mmmmmaaaaaaaiiiiissssss il n'y a pas de virus sur Mac, l'honneur est sauf. Tu vas pouvoir continuer à utiliser l'argument pour switcher les crétins sur pc qui sont pleins de virus ...
avatar Mabeille | 
@nogui bin dis voir tu fais fort dans le commentaire: nogui [08/04/2012 10:49] nogui [08/04/2012 10:54] j'adore quand tu parles de QI. nogui [08/04/2012 11:05] ton coté bien argumenté pour contrer un argument foireux selon toi me laisse pantois. comment est l'adage de nouveau? Faites ce que je dis ne faites ce que je fais... ça illustre parfaitement ces 3 commentaires.
avatar nogui | 
@Mabeille "nogui [08/04/2012 10:49] nogui [08/04/2012 10:54] j'adore quand tu parles de QI. nogui [08/04/2012 11:05] ton coté bien argumenté pour contrer un argument foireux selon toi me laisse pantois. comment est l'adage de nouveau? Faites ce que je dis ne faites ce que je fais... ça illustre parfaitement ces 3 commentaires." Heureusement que tu es là pour rétablir tout çà ... Robin des bois numérique va !.. MDR
avatar Marc Duchesne | 
Il me semble qu'on a crée un raz de marée dans un verre d'eau. Rien à voir, on passe... Juste un petit développeur de malware qui veux des tunes avant de fermer boutique...
avatar cvldudu | 
[b] [u] Juste pour rappel : Mac n'est pas à sa première crise majeure ; rappelez vous de celle de la mi-1990s :) [/u] [/b]
avatar Soner | 
Ma vision des choses : Flash et Java ne sont (ou seront) bientôt plus distribué par Apple. Mountain Lion intégrera un réglage (certes modifiable) qui par défaut ne permettra que le lancement d'application signé. Avec ça Apple se dit sûrement que les problémes de sécurité seront du coup inexistants. Ce qui explique un certain "laxisme". En gros ils doivent se dire "Ya pu qu'à attendre"...
avatar Jeckill13 | 
C'est la rançon de la gloire et du succès ! Il fallait se douter qu'un jour ça arriverait, même si toute comparaisons gardées la proportion entre le parc de Mac disponible et de Mac infectée reste assez basse comparé au nombre de pc infectés. Quoi qu'il en soit la vigilance et le bon sens permet d'éviter bien des problèmes.
avatar mightymini | 
j ai fait le test je suis négatif au trojan :-)
avatar dumbkiller | 
Comment savoir si on est concerne, j'ai recement recu une voir deux mises a jour java :/
avatar LeSteph | 
Mais pour finir, on doit mettre son mot de passe pour que s'installe ce malware ou il suffit juste de trainer sur une page web?
avatar nogui | 
@dumbkiller Voila http://www.journaldulapin.com/2012/04/05/verifier-si-vous-etes-infectes-par-flashback/#more-9162
avatar Tomn | 
Et là, on peut le dire que le système proposé par Mountain Lion est efficace. Efficient je ne sais pas mais j'espère qu'il bloquera rapidement les trojans et que rares seront les personnes ayant désactivé le message d'alerte aux téléchargements sur Internet.
avatar fousfous | 
@LeSteph Il fallait installer soit même. C'est pour ça qu'il faut se méfier de java et flash.
avatar Lucieaus | 
Au moins, la sécurité de Mac OS et de ses applications n'est en cause.
avatar Anonyme (non vérifié) | 
En même temps un virus qui dit: " y'a moyen que je m'installe s'il te plait ? Fait pét.. le mot de passe !" et les mecs qui répondent : " OK tiens le voila " c'est plutôt les utilisateurs qui manquent de sécurité. Comme à chaque fois: C'est pas la machine c'est ce qu'il y a entre elle et le fauteuil ..... Et sans vouloir être anti windows, si l'ont devait en faire autant à chaque malware détecté sur windows, tweeter et autres flux d'infos seraient supra-saturés ....
avatar stravinsky | 
modéré : lecteur trop éméché pour réagir avec discernement.
avatar Pascal 77 | 
Bon alors 600 000 Mac infecté par cette saloperie sur 45 à 75 millions de Mac en service dans le monde, à comparer avec un PC/Windows sur 3 (toujours dans le monde) transformé en PC zombie par l'un des quelques centaines de milliers de malwares existant sous Windows, et on vient me dire que ce n'est pas une affaire montée en épingle ? :rolleyes:
avatar LeSteph | 
La fenêtre de demande de password pour l'installation est en anglais, ça limite grandement la contagion dans d'autres langues quand même et aux vues des stats de contagion, c'est principalement les utilisateurs anglophones qui se sont fait avoir.
avatar Florian Innocente | 
[b] Comment savoir si on est concerne, j'ai recement recu une voir deux mises a jour java :/ [/b] Pour la première question https://www.macg.co/news/voir/240232/flashback-office-2004-et-utilitaire-de-detection Sur le pourquoi des 2 mises à jour Java consécutives https://www.macg.co/news/voir/240212/nouvelle-mise-a-jour-java-pour-os-x-maj
avatar liocec | 
@Pascal 77 : '600 000 Mac infecté par cette saloperie sur 45 à 75 millions de Mac en service dans le monde, à comparer avec un PC/Windows sur 3' Rien de comparable : Un windows user sait qu'il peut être infecté et il décide si oui ou non il doit se protéger. Un Mac user croit que rien ne peut atteindre sa machine, il est donc moins vigilant et moins sensibilisé à la protection. Juste pour info windows est pré-installé avec un antivirus à son bord (fourni par MS).
avatar robbie | 
Les suites de sécurité veulent se placer sur le marché des Mac qui se vendent de plus en plus même si leur part est toujours en dessous des Pc et font feu de tout bois dès qu'un problème de sécurité est détecté. De plus l'information est toujours démultiplié quand il s'agit d'Apple même les sites généralistes s'en font l'écho L'article de mac4ever est en ce sens plus mesuré que celui de macgé
avatar liocec | 
@Pascal 77 : Autre élément qui me vient à l'esprit : Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine par 30 à 50%, on n'y fait plus guère attention. De son côté OSX est très véloce et quelques secondes de plus pour une tâche deviennent très vite inacceptables pour un Mac user. Regarde juste les commentaires dans les articles sur Avast pour Mac, par exemple, tu verras cette intolérance.
avatar lukasmars | 
"La fenêtre de demande de password pour l'installation est en anglais, ça limite grandement la contagion dans d'autres langues quand même et aux vues des stats de contagion, c'est principalement les utilisateurs anglophones qui se sont fait avoir" Non il semblerai que desormais, le virus ait muté et ne demande plus de mdp, il exploite juste une faille dans la machine virtuelle java, faille comblé si vous avez fait vos mises à jours depuis le 3 avril. http://korben.info/un-virus-sur-mac-comment-savoir-si-vous-avez-echappe-a-flashback.html
avatar Rufus | 
ce n'est pas un virus. exploit ou trojan
avatar bigham | 
[quote="LeSteph"]La fenêtre de demande de password pour l'installation est en anglais, ça limite grandement la contagion dans d'autres langues quand même et aux vues des stats de contagion, c'est principalement les utilisateurs anglophones qui se sont fait avoir.[/quote] [quote="bustlingboy"]En même temps un virus qui dit: " y'a moyen que je m'installe s'il te plait ? Fait pét.. le mot de passe !" et les mecs qui répondent : " OK tiens le voila " c'est plutôt les utilisateurs qui manquent de sécurité. Comme à chaque fois: C'est pas la machine c'est ce qu'il y a entre elle et le fauteuil .....[/quote] Les derniers parfums de ce malware s'installent tous seuls comme des grands sans demande de mot de passe. Il suffit juste de visiter un site web au parfum.
avatar GrudeBruk | 
@liocec [quote]Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine par 30 à 50%, on n'y fait plus guère attention. [/quote] N'importenawak garçon. C'était la stupidité du jour ça.
avatar Rufus | 
grudebruk, c'est encore pire que ce qu'il dit. Windows est tellement lent qu'il tourne à l'envers. L'avantagge c'est que quand j'écris un mail, je l'envoi avant même de l'écrire. Au final je gagne du temps...
avatar Domsou | 
@bigham : 'Les derniers parfums de ce malware s'installent tous seuls comme des grands sans demande de mot de passe. Il suffit juste de visiter un site web au parfum' Et d'avoir l'option « Activer Java » cochée dans Safari. Vivement que les plugins par défaut soient expurgés de Safari et de l'OS en général.
avatar karayuschij | 
J'ai pas bien compris comment Kaspersky a pu avoir ces chiffres…
avatar nogui | 
@stravinsky [07/04/2012 11:46] "modéré : lecteur trop éméché pour réagir avec discernement." Ha miiiiinnnnnnnceeee ! trop tard .. La bêtise humaine à l'état pur ça me fait toujours rire ..
avatar Anonyme (non vérifié) | 
Je crains avoir été infecté par cette saloperie. De retour depuis 2 semaines seulement dans l'univers Mac, ça me fait tout bizarre d'avoir déjà à installer Kaspersky. Je ne sais pas si c'est à cause de ce trojan que mon NAS MyBookLive et ma Time Capsule sont plantés, mais le premier ne boot plus et la seconde n'est pas capable de faire une sauvegarde initiale complete sans perdre la connection, même en ethernet.
avatar lightup | 
@viksilver : "Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit." Je pense donc en toute logique que c'est autre chose qui cause ces bugs
avatar lyon3 | 
"Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom." Vous avez simplement oubliez la raison principale à cela : c'est une technologie inutile au grand public. Apple prend exactement la bonne direction : - OS X est en train de se débarrasser progressivement de de tout ce qui n'est pas utile à l'utilisateur lambda (utilitaires de Geeks et outils de développeurs). C'est pour cela que le Mac App Store résiste au logiciels qui rajoutent des tas trucs partout dans le système. La base c'est les Apps systèmes et iWork et iLife et logiciels concurrents qui font la même chose. - Pour ceux dont l'informatique est le métier et les Geeks, qui de toutes façons rajoutent des tas d'utilitaires et qui ne seront jamais satisfaits par les outils de base du système, ils sont assez grands pour savoir ce qu'ils font.
avatar Anonyme (non vérifié) | 
@bustlingboy : Un collègue surnomme ça "l'illettrisme numérique". Maintenant, quelque soit le système qu'on utilise, il faut être vigilant aussi bien sur Mac, Linux ou Windows. Il suffit de voir le nombre de "pourriciels" qui s'installent sur les systèmes Windows parce que les gens ne prennent pas le temps de lire (et je ne parle même pas des idiots qui désactivent l'UAC et utilise un utilisateur dans le groupe administrateurs...). Après si la news fait parler d'elle, je pense parce qu'elle est symbolique et qu'elle touche un cliché. Apple comme n'importe qu'elle système de la famille Unix n'est absolument pas à l'abris d'un virus ou d'une faille critique. Aucun système même le plus fermé n'est fiable à 100%. @Pascal 77 : C'est déjà un chiffre important. On ne parle pas d'une attaque isolée... Microsoft en à plus au compteur mais historiquement ses systèmes sont les principales cibles des pirates. Faut comparer le comparable... Hier c'était hier, aujourd'hui c'est un cheval de troie, demain ce sera quoi?
avatar mugu | 
j'ai ce virus sur mon ordi et je sais que ca ne fera rien. car apple a dit qu il n y a pas de virus sur mac. un point c est tout
avatar lightup | 
@Halouc : 'et je ne parle même pas des idiots qui désactivent l'UAC ' Si t'avais Windows et l'UAC qui se met pour faire n'importe quoi même pour supprimer une icône du bureau (!!) tu dirais pas que c'est idiot
avatar madaniso | 
@Soner Avec moutain Lion on ne pourra plus installer ce qu'on veut sur son mac ?
avatar Anonyme (non vérifié) | 
Ceux qui font du hors piste n'ont qu'à mieux se tenir.
avatar GrudeBruk | 
[quote=lightup ]Si t'avais Windows et l'UAC qui se met pour faire n'importe quoi même pour supprimer une icône du bureau (!!) tu dirais pas que c'est idiot [quote] Baliverne
avatar lightup | 
@grudebruk : Je te jure que c'est vrai même quand je veux supprimer une icône de mon bureau il me balance l'UAC
avatar hogs | 
bah quand n'importe quel programme, même de source sérieuse, demande un mot de passe pour s'installer, on ne peut plus considérer que de devoir mettre un mot de passe soit une réelle protection. Le 99% des utilisateurs mettent leur mot de passe sans se poser la moindre question. Question à 100 balles, pourquoi un programme de dessin demande un mot de passe ?
avatar Kelv | 
"Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine par 30 à 50%, on n'y fait plus guère attention." Hahaha, il y en a qui devraient sortir de leur grotte.
avatar snakees2 | 
k'est ce qui faut annoncer pour faire peur au gens!!! la faille exploiter est une faille flash alors arreter de nous bassiner avec vos alerte , ce ki est sur , on ne m'y reprendra plus sur windob .

Pages

CONNEXION UTILISATEUR