Fermer le menu
 

J’ai affronté mon premier malware sur Mac

Nicolas Furno | | 12:15 |  115

Quand j’ai quitté Windows, d’abord pour Linux avant de passer sur macOS, la promesse de ne plus avoir à gérer les innombrables virus et autres malwares qui pullulaient sur le système de Microsoft était un des arguments les plus séduisants. C’était entre la fin des années 1990 et la première moitié des années 2000, une époque où l’on installait tous des antivirus qui ne protégeaient pas vraiment les PC, mais qui les ralentissaient assurément.

Ne plus avoir à gérer Norton et compagnie faisait envie et je me souviens que c’était un argument qui revenait très souvent dans les débats enflammés sur les forums et autres canaux IRC (la belle époque…). Bref, j’ai abandonné l'univers Windows au profit d’un autre, beaucoup plus sécurisé. Et pendant quelques années, on n’a jamais vraiment entendu parler de virus ou d’autres saletés virtuelles sur Mac.

Un virus sur Mac ? Oui, mais. (Photo Robert S. Donovan CC BY-NC 2.0)
Un virus sur Mac ? Oui, mais. (Photo Robert S. Donovan CC BY-NC 2.0)

Mais depuis cinq ou six ans, ils ont fait leur retour dans l’actualité Apple. Le constructeur a ajouté une liste, XProtect, pour contrer les malwares connus avec Snow Leopard, ce qui n’a pas empêché quelques attaques spectaculaires. C’est souvent Flash qui a servi de vecteur — plusieurs centaines de milliers de Mac infectés en 2012 —, parfois aussi Java, mais dernièrement, c’est Transmission qui a été utilisé. Ke.Ranger a fait énormément parler de lui au printemps dernier et même s’il n’a concerné « que » quelques milliers de Mac, il a suscité beaucoup d’agitation.

Alors que je n’ai jamais vraiment souffert de virus pendant mes années Windows (la lenteur des anti-virus, en revanche…), j’ai été confronté à au moins un malware, nommé Trovi et qui agit depuis longtemps manifestement. Pas sur un PC, mais sur un Mac, et pas plus tard qu'hier soir. J’ai été désarmé face à ce programme malveillant, je n’avais aucun outil installé pour le supprimer et il était plus agressif que je ne l’imaginais.

Je ne sais pas comment ce malware est arrivé. C’est la première question que l’on se pose naturellement : pourquoi moi ? Cela ne devrait pas m’arriver, je suis censé m’y connaître et faire attention ! J’ai quelques pistes sur l’origine : ce Mac est sous la télé dans le salon et il est essentiellement utilisé en tant que media-center, ce qui explique que je ne le surveillais pas attentivement. Il arrive que l'on visite des sites de téléchargement susceptibles de propager des logiciels malveillants. Et Flash et Java étaient installés et pas forcément mis à jour, ce qui est une très mauvaise idée.

Mais au fond, tout cela n’a aucune importance. Inutile de s’apitoyer ou pire, de se moquer des victimes, cela peut probablement arriver à n’importe qui, surtout si on ne surveille pas de près sa machine. J’aurais dû être plus prudent, évidemment, mais ce Mac était protégé en théorie. Entre XProtect et GateKeeper, les sécurités de base proposées par Apple étaient bien en place, mais elles ont failli à leur devoir.

XProtect n’a pas fait son travail de protection, alors que le fichier (ici sur un autre Mac) contient bien une référence au malware en question (Trovi).
XProtect n’a pas fait son travail de protection, alors que le fichier (ici sur un autre Mac) contient bien une référence au malware en question (Trovi).

Il faut dire que ce logiciel malveillant — ou ces logiciels, je ne sais pas exactement — était présent depuis longtemps. J’ai retrouvé des fichiers vieux de près d’un mois, signe qu’il s’est probablement installé et qu’il est resté inactif pendant longtemps. Ces dernières semaines, le seul signe étrange était une abondance de publicités dans Safari : sur certains sites, une fenêtre de publicité s’ouvrait à chaque premier clic sur chaque page. J’ai installé un bloqueur de publicité, cela n’y a rien fait, et puis surtout, ce phénomène se reproduisait de plus en plus partout, y compris sur des sites normalement sans publicités.

À ce stade, j’étais alors très suspicieux et j’ai ouvert le moniteur d’activité de macOS, ce qui a confirmé instantanément les doutes que je pouvais encore avoir. Des dizaines et des dizaines de processus que je ne connaissais pas, associés à un utilisateur qui « n’existe pas » sur le Mac. Ils ont tous des noms bizarres pour mieux induire l’utilisateur trop curieux en erreur : si on ne sait pas ce que l’on regarde, on passerait totalement à côté.

La preuve de l’infection : des dizaines de processus plus ou moins actifs qui polluent le Mac. — Cliquer pour agrandir
La preuve de l’infection : des dizaines de processus plus ou moins actifs qui polluent le Mac. — Cliquer pour agrandir

Idem dans la Console, où ces mêmes processus envoyaient des milliers et des milliers de messages en permanence. Là encore, cela ne veut rien dire pour un néophyte, ce qui est malin de la part du script malveillant : il est difficile à détecter. Pour ma part, j’ai trouvé dans les logs de la Console des chemins d’accès et j’ai commencé à fouiller.

La Console trahit l’activité frénétique du malware, sans que l’on sache exactement ce qu’il fabrique. — Cliquer pour agrandir
La Console trahit l’activité frénétique du malware, sans que l’on sache exactement ce qu’il fabrique. — Cliquer pour agrandir
Catégories: 
Tags : 

Les derniers dossiers

Ailleurs sur le Web


115 Commentaires

avatar fousfous 07/07/2016 - 12:24 via iGeneration pour iOS

Ça semblé évident que ceux qui vont avoir des problèmes sont ceux qui ne téléchargent pas sur le MAS et qui rentrent leur mot de passe administrateur la moindre fois qu'une application le demande...
Donc le problème ne vient pas d'Apple mais de certains utilisateurs qui estiment être suffisamment bon pour se passer de ses protections, d'ailleurs ce genre de personnes c'est ceux qui se disent sur Mac depuis longtemps et qui arrêtent pas de râler en disant que tout était mieux avant...
Et on voit aussi les dégâts des apps qui sont sensé nettoyer le système mais qui font plus de dégâts qu'autre chose... On remarque aussi que ce sont les mêmes qui utilisent ça et qui râlent parce que le Mac devient lent...

En gros tout cela peut être évité si l'utilisateur arrête de se penser suffisamment fort pour contourner les protections systèmes, mais vu la tonne d'aigri qu'il y a ici c'est pas prêt d'arriver...

avatar Un Type Vrai 07/07/2016 - 13:52

"d'ailleurs ce genre de personnes c'est ceux qui se disent sur Mac depuis longtemps et qui arrêtent pas de râler en disant que tout était mieux avant..."

Amalgame à 2 cents.

avatar C1rc3@0rc 08/07/2016 - 04:22

@Un Type Vrai

@fousfous neglige en effet un element fondamental: on parle de malware ici, pas de virus. Et le problème c'est que si le Mac est quasi exempt de virus, un keylogger, un trojan ou meme un peripherique USB vérolé peuvent parasiter le Mac sans grande difficulté.
Bien évidement, utiliser des softs provenant des App store, éliminer définitivement Flash et Java des navigateurs et utiliser les dernieres mise-a-jour permettent d'éviter des risques, mais c'est pas efficace a 100%.

Et puis il y a un autre element a prendre en compte: le premier malware sur les navigateurs WEB, c'est la pub, et sur Mac c'est MacOS Yosemite!
On a deja eu des alertes avec par exemple une librairie largement utilisés pour la gestion de mise a jour.

Et puis il faut aussi bien prendre en compte un problème bien réel: le Mac devient de plus en plus compliqué et cher, les promotions de logiciels sont de plus en plus fréquentes, Apple complique la vie des utilisateurs et des developpeurs, les app store sont des archaïsmes quant a la recherche dans la jungle de softs,... bref tout ça aide les producteurs de malware.

Il est clair que l'utilisateur a un role actif pour l'installation de la majorité de malware, mais il n'est pas non plus responsable a 100% et la est le probleme!



avatar Avenger 07/07/2016 - 14:30

Wouaaa, quel bel ensemble de préjugés!

La sécurité informatique, dans son sens le plus large, va poser de plus en plus de sérieux problèmes. Pourquoi? Parce que, maintenant, afin de pouvoir utiliser sereinement un ordinateur, une tablette ou un smartphone, il faudrait que l'utilisateur passe des heures et des heures à se renseigner sur ce qui est bon à faire ou pas. Sur l'évolution des malwares, spams, virus, etc. Pour beaucoup de personnes, utiliser un ordinateur, une tablette ou un smartphone est presque devenu plus une obligation, nécessité, qu'une réelle envie. On demande l'impossible à ces utilisateurs.

Cela part dans tous les sens, cela change tout le temps. Ce qui est valable aujourd'hui, ne le sera plus demain.

Et les personnes comme toi, "fousfous", qui pointe systématiquement l'utilisateur du doigt, prêt à l'accuser des tous les maux, est tout simplement aveugle face à l'évolution qui est imposée à des personnes qui n'en demandent pas autant.

Si demain, on te dit que le code de la route change tous les mois, de façon assez conséquente, aurais-tu envie de passer du temps à te mettre à jour afin de garder l'utilisation de ta voiture? J'en doute fort. C'est un peu exagéré, comme comparaison, mais c'est exactement ce qu'il se passe avec l'informatique.

avatar fousfous 07/07/2016 - 14:29 via iGeneration pour iOS

@Avenger :
Bah non y a une solution, ne pas contourner les protections d'Apple...

avatar Avenger 07/07/2016 - 14:46 (edité)

Les protections d'Apple sont loin d'être parfaites.

http://www.01net.com/actualites/un-nouveau-malware-pour-mac-os-x-contour...

De plus, ce n'est même pas une question de contourner ou pas les protections d'Apple.

Un simple exemple, en espérant que tu seras à même de comprendre. On sait que Flash Player est un truc à ne pas installer, pour diverses raisons. Pourquoi? Parce que toi et moi passons beaucoup de temps à nous renseigner sur l'informatique.

Maintenant, imagine une ménagère qui utilise un ordinateur juste pour consulter ses emails et aller sur internet. Ok? Elle va sur internet et, tout d'un coup, un message lui signale qu'elle doit mettre Flash Payer à jour. La page lui affiche un gros bouton "Télécharger Flash Player". Pour elle, c'est logique, elle clique dessus et va se retrouver, sans le savoir, à télécharger une application malveillante. L'installeur lui demande le mot de passe, ce qu'elle fait. Pourquoi refuserait-elle de faire cela, puisque cela lui semble tout à fait normal. Et voilà, sans contourner le moins du monde les protections d'Apple, cette utilisatrice se retrouve avec un merde sur son Mac.

avatar fousfous 07/07/2016 - 15:01 via iGeneration pour iOS

@Avenger :
Si tu respectes les protections d'Apple en laissant MAS uniquement je t'assure que tu ne peux pas avoir le moins malware.
C'est tout il suffit juste de ne pas télécharger en dehors du MAS, après si on fait ça faut pas se plaindre après que son Mac marche moins bien...

avatar mac_adam 07/07/2016 - 16:08

@oufouf :
Désolé mais, au risque de me répéter une énième fois, il y a sur l'App Store des applications mal foutues qui provoquent des bugs du système.
Plus rarement on peut y trouver des applications vérolées : par exemple, il y a quelques mois ce développeur qui, trois mois après s'être fait éjecté avec son application vérolée de l'App Store, a pu y revenir avec en gros la même appli dont il avait changé le nom et repeint la façade !
Cela dit, ne télécharger que sur l'App Store réduit notablement les risques, c'est sûr.

avatar bugman 07/07/2016 - 17:56

@fousfous : Mais, comment faisais tu avant l'arrivé du MAS pour survivre dans cette jungle ?

Et pour la millième fois, il existe des applications qui ne peuvent être sur le store pour une question de politique sécuritaire made in Apple. Un parfait exemple est Little Snitch (qui pour le coup te permet de mieux sécurisé ta machine, vu que c'est un firewall).

Et que fais tu des applications qui n'ont pas de versions autonomes (comme certains plug-ins audio par exemple) ?

Ou simplement, je trouve où sur le MAS certains logiciels professionnels quand leurs éditeurs ne veulent pas y être ? Je me vois mal m'en passer si j'en suis satisfait (et de par leurs fonctions et de par leurs sérieux) pour ton petit plaisir personnel.

avatar Avenger 07/07/2016 - 18:33

@ foufou,

Décidément, tu es borné! Adobe Acrobat Reader, VLC, Onyx, tu les trouves peut-être sur le MAS? Pourtant, ce sont de fabuleux logiciels bien utiles. En Belgique, l'application pour lire la carte d'identité, on ne la trouve pas sur le super, merveilleux MAS.

Pour mes clients, je travaille beaucoup avec TeamViewer. Mais on ne le trouve pas sur le MAS.

De plus, c'est ignorer que beaucoup d'utilisateurs ne savent même pas ce qu'est vraiment l'AppleStore, comme cela fonctionne, etc. Sors un peu de ton univers. Ouvre les yeux.

Tu n'as même pas pris le peine de lire mes messages correctement. Car ce que je voulais souligner, ce que, de plus en plus, il faut être terriblement bien informé pour utiliser les outils informatiques le plus sereinement possible.

Ce n'est pas ton fameux MAS qui va empêcher quelqu'un de tomber dans le piège d'un SPAM. Les pirates s'adaptent et deviennent de plus en plus futés pour piéger les utilisateurs. Et ce n'es pas ton MAS qui va changer cela. C'est la formation des utilisateurs.

avatar frankm 07/07/2016 - 15:32

La ménagère de 50 ans que je connais est administrée par mes soins, elle n'a pas le mot de passe admin.

avatar Avenger 07/07/2016 - 18:29

Oui, c'est une solution ultime. Personnellement, je n'aime pas cette situation, n'ayant pas envie d'être dérangé pour la moindre demande de mot de passe. J'éduque, tant que faire se peut, ma clientèle afin qu'elle soit un minimum autonome sans-moi. Et je lui explique clairement les situations pour lesquelles il faut me impérativement me contacter sous peine de faire pire que bien. :-)

avatar BigMonster 08/07/2016 - 12:56

@ frankm

[La ménagère de 50 ans que je connais est administrée par mes soins…]

Je veux bien, moi aussi, administrer quelques ménagères, mais seulement si elles ont 30 ans ou moins.

avatar Rictusi 07/07/2016 - 18:30 (edité)

En fait techniquement si les règles du code de la route changent, tu DOIS te mettre à jour, sinon tu es un danger pour toi-même et les autres, en plus d'être dans l'illégalité.
Il y a donc deux solutions:
- Soit comme tu le dis tu ne veux rien changer à tes habitudes, et alors tu arrêtes simplement d'utiliser un tel outil.
- Soit tu te mets à jour et tout va bien.

Que tu en ais l'envie ou non, cela ne change strictement rien à la situation et ne rend pas la chose plus "excusable".

avatar Avenger 08/07/2016 - 14:11

@ Rictusi, merci pour ce fou rire, en ce début d'après-midi! Je suis donc un danger pour moi-même et les autres et, en plus, je suis dans l'illégalité. Excusez-moi d'être modeste et de reconnaître qu'il m'est impossible de connaître à 100% le code de la route. Et je ne vois pas en quoi cela fait de moi quelqu'un plus dangereux, sur la route?

Et vous, Rictusi, connaissez-vous parfaitement et complètement le code de la route, en toute bonne foi?

avatar Rictusi 08/07/2016 - 22:50

@Avanger.
De rien, le rire est gratuit et ça me fais plaisir.
Je ne tiens pas m'avancer sur ma connaissance du code de la route ou des autres, j'ai le permis et tout les points mais qui à dit que je conduisais déjà ? ^^ je répondais juste à cela:
"Si demain, on te dit que le code de la route change tous les mois, de façon assez exagéré, comme comparaison, mais exactement ce qu'il se passe avec l'informatique".
Donc je ne dis pas que tu es un danger ou dans l'illégalité, je dis juste que quand tout change comme tu le décris, les seules choix qui s'offrent à toi, sont ceux que j'ai mentionné. Mais c'était sans attaque personnel ne t'inquiètes pas, et j'allais juste au bout de ta comparaison, même si comme tu le soulignais ce n'était pas forcément la meilleure, comme toutes les comparaisons auto/info. D'ailleurs leur seule ressemblance est d'être un outil. Mais encore une fois c'est sans attaque, tu as le droit de penser différemment ! :)

avatar lolo-69 07/07/2016 - 18:42

" mais vu la tonne d'aigri qu'il y a ici c'est pas prêt d'arriver... "
Rassurez-vous.
A vous seul, votre idolâtrie béate, votre parti-pris, votre manque d'objectivité et votre aveuglement envers la Sainte-Pomme compense lââârgement la "tonne" d'aigris que vous fustigez...
Votre doudou-mania n'a pas de bornes.

avatar heret 07/07/2016 - 22:31 (edité)

@fousfous
Ne sort pas de chez toi, reste dans ton lit sous un bon édredon et un masque respiratoire sur la figure, tu pourrais te choper un virus.

Sinon, je dois avoir la dernière version (et c'est bien la dernière) de Disinfectant sur une disquette 400K, quelque part...

avatar Nicolas Lellouche 07/07/2016 - 12:27 via iGeneration pour iOS

Interessant témoignage ! Tu devrais transmettre à Apple par le Bug Report tout ça, il n'est pas normal que ce malware passe malgré XProtect !

Et autre conseil, pour ceux qui ont Google Chrome, désinstallez simplement (cette merde d') Adobe Flash Player, il pose 90% des problèmes de sécurité sur OS X (euu… macOS), je l'ai abandonné en 2011 et je ne regrette pas une seconde ! Pour Java, c'est une question d'usage, je l'ai installé sur une machine virtuelle de mon côté !

Bref, encore merci Nicolas pour ce partage d'expérience !

avatar iphonophile 07/07/2016 - 12:50 via iGeneration pour iOS

@nicolellouche :
Mais comment il peut faire vu qu'il a formater et réinstaller ??

avatar Nicolas Lellouche 07/07/2016 - 13:22

Je ne parlais évidemment pas de son cas où c'était trop tard. Mais en général avoir ces extensions installées n'est vraiment pas nécessaire !

avatar occam 07/07/2016 - 12:29

ArsTechnica fait aussi la une sur trois nouveaux malwares Mac, à lire d'urgence :
http://arstechnica.com/security/2016/07/after-hiatus-in-the-wild-mac-bac...

En plus des recommandations excellentes de Nicolas Furno, il faudrait mentionner LittleSnitch :
https://www.obdev.at/products/littlesnitch/index.html
indispensable pour surveiller tout ce qui sort de votre système.

avatar pat3 07/07/2016 - 14:57 via iGeneration pour iOS

@fousfous :
My 2 pences :
- j'utilise Firefox, dans lequel j'ai désactivé toutes les mémorisations de mots de passe (je n'utilise plus que 1password pour ça); quand Firefox ne passe pas, j'utilise Safari; quand ni Firefox ni Safari ne passent, soit je passe mon tour, soit j'utilise une version de Chromium à jour (1er cas d"utilisation de Chromium);
- je n'ai pas Flash, juste une version à jour de Chromium que j'ouvre pour regarder les vidéos en flash sur des sites paresseux (2e cas d'utilisation de Chromium) - mais maintenant que l'INA et Allociné sont passés eux aussi à l'HTML5, j'ai beaucoup moins de raisons d'utiliser Flash;
- j'ai toujours la dernère mise à jour de Java, soit sur le site d'Oracle, soit fournie par Apple;
- je ne streame pas, je télécharge;
- j'utilise LittleSnitch et je vérifie régulièrement les liens sortants, à l'ouverture de tous logiciels, et je n'autorise que ce qui me semble nécessaire (parfois, je dois lâcher du lest pour faire fonctionner le logiciel, mais il m'arrive aussi assez fréquemment de changer de logiciel parce que je le trouve trop intrusif;
- j'utilise le logiciel de MalwareBits;
- je surveille mes mails de façon draconienne, et j'utilise Gmail pour tout abonnement à risque (mon compte Gmail est un compte poubelle). J'ai hésité à acheter spam sieve, si quelqu'un a des retours d'usage, je suis preneur.

En 30 ans de Mac, j'ai dû croiser 1 cheval de Troie et un malware… mais je reste prudent ;-)

avatar fousfous 07/07/2016 - 15:02 via iGeneration pour iOS

@pat3 :
Tu es au courant qu'il y a flash dans chromium hein? Avec les mêmes failles de sécurité

avatar frankm 07/07/2016 - 15:35

Il faut faire sans Flash. Si un site requière Flash alors il y en aura bien un autre qui proposera ce que vous cherchez sans Flash

Pages