Fermer le menu
 

L’année 2016 des malwares sur Mac

Mickaël Bazoge | | 18:08 |  59

Succès aidant, macOS est bien moins immunisé aux malwares qu’il l’était à l’époque où Apple vantait l’absence de virus touchant son système d’exploitation de bureau. Certes, on est encore loin — et c’est heureux — de la prolifération de logiciels malintentionnés qui frappe Windows, mais l’année 2016 nous a rappelé que le Mac aussi était vulnérable aux malandrins, tout comme l’année précédente d’ailleurs (lire : Attention à l'explosion de malwares sur OS X en 2015).

Objective-See, un éditeur de solutions de sécurité informatique pour macOS, tire le bilan de l’année et surtout, le portrait des menaces qui ont touché le Mac l’an dernier. L’entreprise a recensé 6 malwares ; parmi les plus connus, on a largement évoqué le cas, début 2016, de KeRanger. Il s’agissait en effet du premier rançongiciel à frapper macOS. Il s’infiltrait au travers d’une version de Transmission, le client BitTorrent.

Transmission 2.9.

L’été dernier, Transmission était une fois de plus le porteur sain d’un autre malware, Keydnap. Une fois installé dans le Mac, ce passager clandestin subtilisait le contenu du trousseau d’accès du système, tout en maintenant ouverte une porte dérobée. En juillet, on a également repéré Eleanor qui se présentait caché derrière une banale application de conversion. Ce malware installe lui aussi une porte dérobée permettant à un soudard de prendre discrètement le contrôle du Mac.

L’été a décidément été une période propice aux logiciels brigands, avec l’apparition de Mac File Opener dont le modus operandi avait au moins le mérite de l’originalité : après son installation via le site web d’un éditeur de pourriciels, le logiciel prenait la main sur le système en affichant des boîtes d’alerte proposant à l’utilisateur de télécharger… d’autres logiciels sans intérêt.

Mac File Opener.

En septembre, le duo Mokes et Komplex a fait des siennes. Le premier est un malware qui installe également une porte dérobée, sans qu’on en connaisse précisément le mode d’infection. Il peut voler des données en tout genre, réaliser des captures écran, enregistrer l’audio et la vidéo sans demander son reste, ou encore conserver une trace de la frappe sur le clavier. Komplex est un cheval de Troie qui transite par une pièce-jointe envoyée par courriel (un PDF russe). Là aussi, il s’agit de prendre le contrôle du Mac.

Nous rajouterons de notre côté cette découverte inquiétante datant elle aussi du mois de septembre : le Mac App Store a pendant un temps distribué des antivirus n’ayant aucune utilité (lire : De faux antivirus dans le Mac App Store détectés par un vrai antivirus). Ces logiciels bidons ont semble-t-il disparu, mais il est plutôt inquiétant de voir que la propre boutique d’Apple ne sait pas protéger correctement ses utilisateurs.

Catégories: 
Tags : 

Les derniers dossiers

Ailleurs sur le Web


59 Commentaires

avatar frankm 03/01/2017 - 18:16 via iGeneration pour iOS

6 malware ! Une goutte d'eau

avatar SpleenXXX 03/01/2017 - 19:54 (edité)

C'est pas le nombre de malwares qui compte, mais plutôt le nombre de victimes et l'impact sur les machines vérolées. :)

avatar jipeca 03/01/2017 - 20:06

Et aussi, sauf que "Common Vulnerabilities and Exposures" signale 215 vulnérabilités sur OSx et ... 172 sur Windows10. C' est tout de suite beaucoup plus débordant.



avatar jackhal 04/01/2017 - 00:51

Heureusement, la sécurité n'est pas ton métier donc c'est pas trop grave si tu ne comprends rien aux CVE (et que tu ne sais pas que cvesource ne fait que reprendre et classer de manière assez hasardeuse les CVE).
Mais bon, tu n'es pas le premier à tomber dans le panneau. Un jour, un type a trouvé de quoi faire un article qui allait attirer un max de clics, et depuis... bah on voit des commentaires comme le tien. Et de nouveaux articles reprenant toujours le nombre du "top" comme s'il avait un vrai sens.

avatar jipeca 04/01/2017 - 02:20

de la même façon que "6 malwares" n'en a pas davantage. Mais bon, il arrive aussi un moment où on se console comme on peut. C'est là que d'ailleurs le post de C1rc3@0rc prend, lui, tout son sens. En effet, la proportion de mac n'augmente pas de façon tellement significative alors que les malwares s'y trouvent de plus en plus à l'aise.
Maintenant, j'attirais l'attention sur les VULNERABILITÉS. et j 'imagine que tu dois probablement avoir des connaissances moins hasardeuses que CVE. Heureusement sans doute.

avatar jackhal 05/01/2017 - 00:24

A vrai dire les malwares, je m'en fous complètement aussi.
Ce que tu n'as pas compris dans mon message, c'est que tes chiffres que tu présentes comme preuve qu'OS X est plus vulnérable que Windows n'ont aucun sens, et qu'ils viennent d'un site qui reprend les CVE et les classe de manière hasardeuse. Par exemple, le fait que ce soit d'un coté OS X (toutes versions) et de l'autre une seule version de Windows ne t'interpelle pas ?
Ou bien le fait qu'on trouve des CVE sur les pilotes graphiques Intel pour OS X, ou sur Quicktime (il y en a beaucoup qui concernent QuickTime). Mais pas de CVE pour les pilotes Windows, et les CVE qui concernent Windows Media Player ne sont pas comptés pour Windows. Les OS sont livrés avec Safari et Edge, mais leurs CVE sont séparés (56 pour Safari, 135 pour Edge).

Bon bref : ces chiffres apparemment précis ne le sont pas du tout. Et toutes les failles ne sont pas référencées par les CVE non plus. Et toutes ne concernent pas forcément l'OS en général. Regarde le produit avec le plus de CVE pour 2016 (Android) :
https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-...

Bizarrement, il y a plein de cas particuliers liés à du matériel spécifique, ou à des versions spécifiques mais là encore, tout est regroupé sous "Android" (et pas Android 6, par exemple).

En clair, ton : "sauf que "Common Vulnerabilities and Exposures" signale 215 vulnérabilités sur OSx et ... 172 sur Windows10" ne reflète rien de concret.

avatar jipeca 05/01/2017 - 01:57

Je ne prétend apporter aucune preuve. Simplement des informations autrement plus pertinentes que simples affirmations péremptoires des macUsers de base. Et jusquà preuve du contraire, les CVE NIST sont loin d'être des manchot ou les premiers venus.
Les informations du répertoire CVE, descriptives et superficielles, signalent l'existence d'un risque, pour permettre de déployer le/les correctif, sans relayer d'information susceptible d'exploiter la faille.
In fine, la vulnérabilité n'est rien, mais elle peut permettre d'attaquer un système ou un réseau en tant que super-utilisateur ou administrateur-système avec les privilèges d'accès.
La database CVE est parrainée par le US Department of Homeland Security et US-CERT. Le MITRE maintient le catalogue CVE et le site est accessible au public.
CVE ne contribue pas à résoudre les problèmes utilisateurs finaux. Il ne comprend pas de détails techniques, de patch, de classification ou d'information d'impact. Il n'est pas conçu pour permettre une recherche en fonction d'un système d'exploitation ou d'un fournisseur, mais pour identifier les vulnérabilités spécifiques signalées depuis de nombreuses bases de données de vulnérabilité et outils de sécurité. Donc CVE est un lien commun entre ces différentes ressources. Un groupe de l'Institut national de normalisation et de technologie (NIST) a dévellopé l' ICAT, une interface commune avec les informations fournies par ces databases de vulnérabilité, et pas seulement un lien entre elles. La métabase ICAT contient des informations qui décrivent les données contenues dans d'autres bases de données, en particulier les bases de données de vulnérabilité.
Et à un autre niveau on se souvient que , en 2013 si mes soubenirs sont exacts, toutes les infections signalées par Apple, Facebook, Microsof t, Twitter (...etc) provenaient d’un seul site compromis à l’insu de son éditeur Ian Sefferman : iPhone Dev SDK (iphonedevsdk.com). Un forum basé sur la plate-forme Vanilla et dédié (Eh oui !) aux développeurs travaillant pour la plate-forme iOS (donc sur stations Mac). Ian Sefferman a reconnu avoir appris par hasard que son site était infecté, en lisant dans AllThingsD, un article relatant l’attaque sur Facebook. C'est dire la vunérabilité de tous, Y COMPRIS APPLE.

avatar jackhal 05/01/2017 - 15:29

"La database CVE est parrainée par le US Department of Homeland Security et US-CERT. Le MITRE maintient le catalogue CVE et le site est accessible au public."

...mais les chiffres que tu donnais viennent d'un site périphérique qui permet d'explorer ces données publiques avec des filtres naïfs, et le comptage des CVE par produit/classement de ceux ayant le plus de CVE est pour le moins hasardeux.

Ce n'est pas les CVE que je remets en question, c'est le comptage. Et au-delà de ça, il faut prendre en compte la sévérité/facilité à exploiter les failles, le temps de correction, et bien d'autres choses.

Bref, ce que je dis c'est qu'utiliser les compteurs de cvedetails comme preuve n'a pas de sens. Ils l'expliquent très bien eux-mêmes : https://www.cvedetails.com/how-does-it-work.php

avatar C1rc3@0rc 04/01/2017 - 00:47

Ce qui est surtout remarquable c'est de ressortir l'argument que c'est l'augmentation de Mac qui fait qu'ils sont plus exposé...
Mais le probleme c'est que le nombre de Mac n'augmente pas en proportion (actuelement il regresse meme). Le Mac est toujours sous la barre des 10% de PC et ça fait 20 ans que c'est comme ça.

Donc s'il y a une progression des malware, c'est pour une autre cause que celle du nombre de machines!

Peut etre plutot celle de la complication et de la degradation de la qualité de MacOS...

avatar Appl'Z 05/01/2017 - 16:07 (edité)

Mais le problème c'est que le nombre de Mac n'augmente pas en proportion (actuellement il régresse même). Le Mac est toujours sous la barre des 10% de PC et ça fait 20 ans que c'est comme ça.
Oui, sauf que comparer des pourcentages c'est pas très pertinent, si le nombre d'ordinateur a augmenter de 100 %, même si la proportion Mac/PC reste constante (ou diminue un peu), la population de Mac augmente aussi....

avatar Mattaustrale 03/01/2017 - 18:17 via iGeneration pour iOS

Il faudrait que macg nous conseille sur un logiciel afin de se protéger. Je fais très attention à ce que je télécharge et installe mais est ce suffisant. Je ne connais pas les produits de la Ste objective see.

avatar mat16963 03/01/2017 - 18:29

Oui si tu fais attention et laisse actives les protections du système c'est suffisant (de toute façon un Malware inconnue sera... inconnu peut importe le logiciel qu'on a pour le "détecter")

avatar C1rc3@0rc 04/01/2017 - 00:58

A part les virus de niveau militaire, sur MacOS on en connait pas.
Par contre les malwares, ça commence a pulluler, mais ils ont 2 caracteristiques:
- majoritairement ils sont multiplateformes
- il necessitent une action de l'utilisateur pour s'installer

Donc si on utilise un compte avec droit d'utilisateur et pas d'administrateur et que l'on garde activé les options de securité de MacOS, l'ecrasante majorité des malwares ne peuvent pas s'installer sur MacOS.

Apres il reste les malware qui sont construit sur Flash et Java, et la il suffit juste de visiter une page web pour se les coltiner. Moralité, faut desactiver (et ne jamais installer) Flash et Java.

La seule protection efficace par logiciel, c'est les scanner a malware comme ClamX AV. On telecharge un fichier, et on le passe a ce type de scanner. S'il contient un malware, poubelle, et surtout on les "ouvre" jamais avant le scan.

Reste une protection d'un autre genre se sont les "monitor" d'I/O qui reportent les lecture/ecritures qu'elles viennent du reseau ou qu'elles s'operent sur disque. Et la y a Hands Off de One Periodic Inc. qui est une reference. Ça evitera pas qu'un malware s'installe mais ca previendra que ses donnees sont envoyées sur le Net et que son disque est scannée depuis une application ou depuis un acces distant!

avatar BeePotato 04/01/2017 - 15:32 (edité)

@ C1rc3@0rc : « Donc si on utilise un compte avec droit d'utilisateur et pas d'administrateur et que l'on garde activé les options de securité de MacOS, l'ecrasante majorité des malwares ne peuvent pas s'installer sur MacOS. »

Pour ce qui est des options de sécurité (notamment la quarantaine pour les fichiers téléchargés), c’est vrai.
Pour ce qui est du compte utilisateur non-administrateur, c’est complètement faux. La majorité des malwares n’ont besoin que des droits offerts par un compte utilisateur lambda pour faire ce qu’ils font. Il faut donc arrêter de répéter cette légende.

avatar r e m y 04/01/2017 - 15:59 via iGeneration pour iOS

@BeePotato

Même la quarantaine, ce n'est pas toujours suffisant...
Que ce soit les malwares subtilisant la signature d'un développeur dûment enregistré, ou ceux qui sont carrément diffusés via le Mac AppStore, GateKeeper les laisse passer sans aucun probleme.

avatar BeePotato 04/01/2017 - 18:09

@ r e m y : « Même la quarantaine, ce n'est pas toujours suffisant... »

En effet.
D’où l’usage du terme « notamment » par moi (pour signaler qu’il n’y avait pas que la quarantaine d’impliquée dans la protection anti-malware) et du terme de « majorité » par C1rc3@0rc (pour signaler que toutes ces mesures de sécurité ne suffisent pas à bloquer la totalité des malwares). ;-)

« Que ce soit les malwares subtilisant la signature d'un développeur dûment enregistré, ou ceux qui sont carrément diffusés via le Mac AppStore, GateKeeper les laisse passer sans aucun probleme. »

GateKeeper et la quarantaine sont deux choses différentes. La quarantaine intervient avant GateKeeper et fournit une occasion d’empêcher le lancement même d’un logiciel utilisant la signature d’un développeur enregistré.

À condition, comme toujours, que l’utilisateur prenne le temps de réfléchir savoir s’il y a vraiment une bonne raison pour que le soi-disant PDF qu’il essayait d’ouvrir soit annoncé par Mac OS comme une application sur le point d’être lancée… et là, malheureusement, ce n’est pas gagné. :-)

Il n’y a donc que le cas de l’App Store qui contourne la sécurité qu’offre la quarantaine.

avatar C1rc3@0rc 05/01/2017 - 00:18 (edité)

Tu aurais pu rajouter SIP.
Mais en fait, si on resume ces systemes, ils reviennent au final a afficher 3 dialogues avant de lancer un soft:
- etes vous certain de vouloir lancer l'application xxx?
- etes vous vraiment certain de vouloir lancer l'application xxx?
- etes vous vraiment et absolument certain de vouloir lancer l'application xxx?

en planquant un peu plus a chaque fois le bouton "Ok"

La prochaine etape ce sera un 4eme dialogue:
- etes vous certains de vouloir lancer l'application xxx et d'etre totalement sobre?
avec un bouton "ok" qui se deplace au fur et a mesure que le curseur s'en rapproche...

Apple a de la chance, celle d'avoir un OS basé sur Unix (FreeBSD en l'occurence), qui dispose d'un vrai systeme de gestion de droit qui pourri literalement la vie du programmeur de virus. Parce que pour les reste, il s'agit de mesures preventives qui soit verifient qu'il n'y a pas de signature de malware connu, soit que si le fichier contient un virus, ben on saura qui accuser grace a la signature developpeur.

Dans les faits, Apple serait un peu plus serieux et coherent en installant d'office 2 comptes lors de l'installation de la machine, un compte administrateur et un compte utilisateur, et interdire totalement le lancement d'executables en mode utilisateur (sauf pour les applications installées par l'administrateur en bonne et due forme, bien sur)

avatar BeePotato 05/01/2017 - 10:18 (edité)

@ C1rc3@0rc : « Tu aurais pu rajouter SIP. »

Ben non, puisque je parlais de la quarantaine, en réponse à un commentaire qui parlait de signature de logiciel (et donc de GateKeeper). Pas de rapport direct avec SIP, donc.

« Mais en fait, si on resume ces systemes, ils reviennent au final a afficher 3 dialogues avant de lancer un soft: »

Bizarre. Chez moi, il n’y a que deux systèmes conduisant à l’affichage d’alertes avant certains lancements de logiciels : la quarantaine et GateKeeper. Je ne vois pas comment tu arrives à trois.

Et contrairement à ce que tu tentes de faire croire, les alertes en question sont plus informatives que ce que tu racontes — si on prend la peine de les lire et d’essayer de les comprendre, bien sûr (et c’est là que s’effondre généralement tout effort de sécurisation reposant sur l’utilisateur).
L’alerte affichée par le système de quarantaine, par exemple, ne se contente pas de demander si on est sûr de vouloir exécuter tel machin. Avant tout, elle alerte sur le fait que le machin en question est une application exécutable téléchargée depuis internet. Ce qui permet donc à l’utilisateur d’éviter de se faire avoir par un exécutable tentant de se faire passer pour un fichier inerte.
Quant à l’alerte affichée par GateKeeper, avec les réglages par défaut elle ne demande pas « êtes-vous sûr de vouloir etc. », elle dit juste « vous ne pouvez pas lancer ça ».

On est finalement assez éloigné de la situation caricaturale que tu dépeignais. :-)

« Apple a de la chance, celle d'avoir un OS basé sur Unix »

Notons que c’est moins lié à de la chance qu’à un choix.

« qui dispose d'un vrai systeme de gestion de droit »

Notons toutefois que la gestion des droits d’accès n’est pas l’apanage des systèmes Unix, d’autant que ce qui permet de gérer le plus finement (et donc efficacement) les droits d’accès dans Mac OS, ce sont les ACL, plutôt que le systèmes de droits Unix.

« qui pourri literalement la vie du programmeur de virus. »

De virus, sans doute. Mais pas de la majorité des malwares qu’on rencontre de nos jours, qui sont plutôt de type cheval de Troie et qui, lorsqu’ils arrivent à être exécutés par l’utilisateur (le but de tout cheval de Troie), disposent alors de tous les droits nécessaires pour accéder aux données qui les intéressent.

« et interdire totalement le lancement d'executables en mode utilisateur (sauf pour les applications installées par l'administrateur en bonne et due forme, bien sur) »

Superbe idée ! Qui va, à n’en pas douter, contribuer à améliorer grandement l’ergonomie et la sécurité du système. :-P
Pour ajouter un logiciel, l’utilisateur devra donc soit passer sur le compte administrateur et y autoriser le lancement du nouveau logiciel (et paf l’ergonomie et la facilité d'utilisation !), soit saisir l’identifiant et le mot de passe du compte administrateur pour le faire directement depuis sa session (histoire de retrouver un minimum de facilité d’utilisation).

Sauf que dans les deux cas se pose la même question : si on est en présence d’un utilisateur capable de décider de passer outre un avertissement le prévenant que ce qu’il croyait être un PDF est en fait une application exécutable, puis éventuellement de passer outre une autre alerte lui expliquant qu’il ne doit pas lancer cet application parce qu’elle n’est pas signée par un développeur connu, en quoi est-ce que le fait de lui imposer une validation du lancement via un compte administrateur changera quoi que ce soit ?
La faille, dans cette situation, c’est l’utilisateur.

Il y a déjà en place des mécanismes permettant à l’utilisateur prudent d’éviter d’exécuter accidentellement un logiciel qu’il ne voulait pas exécuter. Pas la peine de les remplacer par un autre qui fera exactement la même chose, juste de façon moins pratique.
Et l’utilisateur imprudent, décidé à exécuter son logiciel malgré les bâtons que le système essaye de lui mettre dans les roues, mènera son projet à bien en contournant ces bâtons. Pas la peine de les remplacer par un autre qui sera contourné de la même façon.

avatar bobdu87 03/01/2017 - 19:31

malwarebit anti malware : gratuit, rapide et efficace.

J'ai fait un petit scan récent de ma machine à laquelle je fais pourtant très attention. verdict, 3 malware invisible car caché par addblock et co...

avatar mat 1696 03/01/2017 - 22:59 via iGeneration pour iOS

@bobdu87

Je sais pas comment vous faites... Moi en trois ans (et pourtant 5 mois sous Mavericks, plus soutenu) pas une seule cochonnerie...

avatar SpleenXXX 03/01/2017 - 19:55

Le seul qui vaille le coup est Malware Bytes sous Mac.

avatar YARK 03/01/2017 - 18:19

...sans compter le malware Ive qui amaigri les batteries et le malware Cook qui transforme la pomme en trognon...

avatar Guillaume06 03/01/2017 - 18:20 via iGeneration pour iOS

@YARK :
Mdr bien trouvé hahaha

avatar Madame Mim 03/01/2017 - 22:26 via iGeneration pour iOS

@YARK

Excellent😄

avatar Hangaroa 04/01/2017 - 00:16 via iGeneration pour iOS

@YARK

Excellent ;)

Pages