Fermer le menu
 

J’ai affronté mon premier malware sur Mac

Nicolas Furno | | 12:15 |  115

Il ne m’a pas fallu longtemps pour trouver les emplacements où ce malware agissait. J’ai retrouvé tous les noms bizarres des processus dans le dossier bibliothèque à la racine du Mac, dans /private/var, dans celui dédié aux LaunchDeamon où tous les processus qui tournent à l’arrière-plan sont situés. L’action de base du script est évidente : se cacher au milieu du système en répartissant ses fichiers à plein d’endroits différents, et s’assurer une présence même en cas de redémarrage.

Quelques-uns des dossiers et fichiers liés au malware. — Cliquer pour agrandir
Quelques-uns des dossiers et fichiers liés au malware. — Cliquer pour agrandir

Face à cette découverte, j’ai entrepris un nettoyage manuel : j’ai ouvert tous les dossiers du système pour repérer soit les noms des processus listés dans le moniteur d’activités, soit les dossiers modifiés récemment. Et j’ai supprimé à tour de bras tout ce qui me semblait suspect, passant par le terminal pour m’assurer que tout était bien retiré. Le souci, c’est qu’à chaque fois que je supprimais un dossier, deux ou trois autres venaient le remplacer. Il fallait en venir à la source, mais c’était plus facile à dire qu’à faire.

En effet, j’ai noté une réaction du programme malveillant, comme s’il avait été programmé pour se défendre. Jusque-là très discret — nonobstant les publicités dans Safari, on ne l’avait jamais vu agir —, il est devenu hyper actif. Le malware ouvrait régulièrement Safari pour changer mes paramètres, supprimer mes extensions et installer une extension nommée Trovi. Quand je cherchais dans Google des informations sur un logiciel anti-malware, il quittait le navigateur. J’ai ouvert Firefox, mais il a fait la même chose, changeant même la page d’accueil pour un clone de Google, probablement du phishing.

Régulièrement, le malware installait de force cette extension et supprimait toutes les autres.
Régulièrement, le malware installait de force cette extension et supprimait toutes les autres.

Reconnaissant (enfin…) que je n’allais pas éradiquer tout seul ce corps étranger de mon Mac, je me suis résigné à installer un anti-malware, chose que je n’aurais jamais imaginé faire sur Mac. J’ai opté pour l’outil de MalwareBytes qui a le principal avantage d’être gratuit. Après avoir lutté pour l’installer — il m’a fallu créer une autre session uniquement pour lancer l’application —, j’ai lancé l’analyse. Il a trouvé quelques fichiers, les a placé à la corbeille et m’a demandé de redémarrer le Mac... Mais le système n’a jamais redémarré.

Est-ce la faute de l’anti-malware ou d’un nettoyage trop agressif de ma part ? Toujours est-il qu’il manquait quelque chose pour qu'El Capitan redémarre normalement. À ce moment-là, après une bonne heure à lutter contre ce logiciel malveillant, j’ai rendu les armes, formaté le disque dur et réinstallé le système d’exploitation. Fort heureusement, ce Mac était utilisé comme media-center et l’essentiel était stocké en externe, ce qui a simplifié considérablement la procédure.

L’anti-malware a bien repéré un logiciel malveillant
L’anti-malware a bien repéré un logiciel malveillant.

À l’arrivée, j’ai perdu une soirée et probablement encore une autre pour tout réinstaller et configurer comme c’était avant. Ça, ce n’est pas grave. En revanche, je ne sais pas exactement ce que ce malware a fait. S’il s’est contenté d’ajouter de la publicité dans Safari, je m’en fiche pas mal. S’il a analysé des semaines d’utilisation du Mac, transmis l’historique de navigation, voire mémorisé toutes les touches saisies en permanence, c’est un vrai problème. Dois-je changer tous mes mots de passe en prévention ? Heureusement, il y a 1Password, mais sur une période aussi longue, qui sait ce qui a pu se passer ?

C’est bien ça qui me gêne le plus : ne pas savoir. Et me dire que les protections de base d’Apple ne suffisent pas, puisque j’ai été infecté malgré elles. Comment éviter les logiciels malveillants à l’avenir ? Je n’ai pas de vraie solution hélas, à moins d’installer un anti-malware, mais sera-t-il vraiment efficace ? Le mieux reste les sauvegardes régulières et la surveillance constante : dès que l’on repère quelque chose de suspect, on ne se pose pas de questions, on efface et on revient en arrière.

C’est une bonne pratique, mais elle est contraignante et elle effraiera la majorité des utilisateurs. Par défaut, Flash et Java se mettent à jour automatiquement, mais il vaut mieux veiller régulièrement à ce que cela soit bien le cas. Sans compter qu’un malware malin sait se faire discret et ne pas gêner l’utilisation de l’ordinateur, ce qui rend sa détection quasiment impossible si on ne sait pas où regarder.

Les créateurs de ces scripts malveillants ont probablement un bel avenir devant eux…

Avez-vous déjà affronté un malware sur votre Mac ou sur celui d'un tiers ? C'est la question que nous vous posons dans notre dernier sondage !


Comment s’en protéger ?

Pour vous protéger et surtout protéger vos proches qui ne sont pas forcément aussi habiles avec un ordinateur que vous, voici quelques conseils :

  • Ne pas saisir le mot de passe administrateur au hasard, voire utiliser une session standard et un mot de passe complexe et difficile à saisir ;
  • Configurer GateKeeper pour n’accepter que les apps du Mac App Store et les apps signées, voire uniquement le Mac App Store ;
  • Vérifier que le fichier XProtect.plist est mis à jour régulièrement : dans les Préférences Système, ouvrir le panneau « App Store », la case « Installer les fichiers de données système et les mises à jour de sécurité » doit bien être cochée ;
  • Surveiller de temps en temps le moniteur d’activité :
    • Ouvrir l’application et dans le menu « Présentation », cocher « Toutes les opérations » ;
    • Dans la liste d’utilisateurs, vérifier qu’il n’y a que les comptes des sessions ouvertes, plus ceux du système :
      • root
      • _appleevents
      • _captiveagent
      • _coreaudiod
      • _displaypolicyd
      • _distnote
      • _iconservices
      • _locationd
      • _mdnsrespond
      • _netbios
      • _networkd
      • _nsurlsessiond
      • _softwareupdate
      • _spotlight
      • _usbmuxd
      • _windowserver
  • Maintenir à jour tous les logiciels, en particulier Flash et Java ;
  • Télécharger les logiciels sur le site de l'éditeur plutôt que sur les sites catalogue (MacUpdate, CNet télécharger, Softonic, etc.) ;
  • En cas de doute, demander de l’aide : les forums de MacGeneration contiennent de nombreux sujets sur les malwares qui touchent les Mac, avec des explications à chaque fois pour s’en débarrasser.

Image de couverture : Brian Barnett (CC BY-NC-ND 2.0)

Catégories: 
Tags : 

Les derniers dossiers

Ailleurs sur le Web


115 Commentaires Signaler un abus dans les commentaires

avatar alan1bangkok 07/07/2016 - 12:31 via iGeneration pour iOS

J'ai Adobe Flash , surf sur les sites de streaming et de cul depuis des années , toujours pas de problèmes

avatar ecosmeri 07/07/2016 - 12:44 via iGeneration pour iOS

@alan1bangkok :
Ca a le mérite d'etre clair mdr. Je touche du bois aussi par contre j'ai pas flash et je regarde pas de streaming je telzcharge

avatar mac_adam 07/07/2016 - 16:20

Ah bon, on dit comme ça maintenant : toucher du bois ? Pour tirer la sève je présume ?



avatar pifpaf 07/07/2016 - 13:00

J'aime bien surtout que "Sans compter qu’un malware malin sait se faire discret et ne pas gêner l’utilisation de l’ordinateur, ce qui rend sa détection quasiment impossible si on ne sait pas où regarder. "
Sinon évidemment peut-être utilises tu un disque dur externe dédié poubelle .

avatar rolmeyer 07/07/2016 - 12:31 via iGeneration pour iOS

Ni flash ni Java j'arrive à m'en passer.

avatar frankm 07/07/2016 - 15:35

Moi aussi et depuis 2 ans maintenant

avatar bonnepoire 07/07/2016 - 19:29 (edité)

J'arrive à m'en passer. Pour Flash j'utilise Chrome que je n'utilise jamais que dans ce but.

avatar Yoskiz 07/07/2016 - 12:32 via iGeneration pour iOS

Très, très, très intéressant votre témoignage.

C'est quand mémé flippant.
J'utilise LittleSnitch qui me permet de "voir" ce qu'on ne voit pas : le trafic de connexions entrantes et sortantes.
Sans les connaître par-cœur je peux quand même identifier une connexion légitime.

Je m'interroge également concernant iOS : les applications n'ont accès qu'à leurs propres fichiers.
Cela peut-il arriver également sur iOS ?

En faisant une sauvegarde iCloud ou iTunes avant de faire une restauration, peut-on "embarquer" un malware dans la sauvegarde ?

Beaucoup de questions sans réponses à moins que vous ayez un avis ?

avatar byte_order 07/07/2016 - 12:54 (edité)

> Sans les connaître par-cœur je peux quand même identifier une connexion légitime

Méfiez vous quand même, d'autres malwares déguiseront probablement leurs connexions en des connexions paraissant légitimes. D'autant que l'audience de LittleSnitch l'expose tellement que fatalement les devs de malwares vont s'y attaquer.
Rien de pire que de se cacher de son ennemi dans son propre territoire...

> En faisant une sauvegarde iCloud ou iTunes avant de faire une restauration,
> peut-on "embarquer" un malware dans la sauvegarde ?

Oui, bien sûr.

avatar Yoskiz 07/07/2016 - 13:25 via iGeneration pour iOS

@byte_order :
D'accord merci, j'entendais que sur iOS il n'y avait aucun moyen d'installer une cochonnerie vu son fonctionnement...

A bon entendeur...

avatar christcake 07/07/2016 - 12:39 via iGeneration pour iOS

Hello, malware similaire rencontré sur un iMac après installation d'un logiciel pour télécharger des vidéos YouTube en parallèle d'une mise à jour de Flash.
Même progression dans l'analyse du problème : moniteur, console, identification de traces d'installation un peu partout (dans /tmp de mémoire), constat de la création de plusieurs utilisateurs root cachés par le système (uid inférieur ou supérieur à 500, je ne sais plus).
Après une tentative infructueuse d'utilisation du soft de Malwarebytes un nettoyage manuel, tout est à peu près rentré dans l'ordre, "à peu près" car dans Mail, Trovi est toujours présent lors d'un clic droit. Et, surtout, l'iMac met énormément de temps à redémarrer.
Je vais donc probablement procéder à un reformatage et reinstall complète...
A noter que jusqu'ici je n'avais lu aucun article sur ce malware, donc merci MacGé

avatar mac_adam 07/07/2016 - 16:31 (edité)

Moi non plus je n'en avais jamais entendu parler. Pourtant il sévit depuis au moins deux ans, et apparemment les principaux antivirus n'ont pas la parade !

avatar andr3 07/07/2016 - 12:48 via iGeneration pour iOS

Pas de flash dans Safari ou Firefox et flash est nécessaire, alors j'ouvre Chrome.

avatar Moonwalker 07/07/2016 - 12:59 (edité)

J'hallucine.

Ça vous arrive de lire les forums techniques ? Deux ans qu'on y peste contre les adwares et, entre de nombreux autres, de ce machin V.Search.

Et puis, Flash et Java pas à jour ? WTF !!!

Vous lisez vos propres news ? oO

Si on télécharge chez les bizarres, autant prendre ses précautions. Sortez couvert !

Et puis arrêtez avec la légende urbaine du mac invincible, immunisé. Ça fait dix ans qu'on nous signale le contraire. Ça me fait penser aux gens au début de l'épidémie de Sida : je ne suis pas PC, je m'en fiche. Ça ne me concerne pas.

On ne vous dit pas d'installer des anti-trucs, mais de faire attention à ce que vous installez !

Ça passe pour le mari de Mme Michu, mais un type comme vous, informaticien "éclairé", non !

C'est bien le type qui se faisait appelé Nico Linux sur les forums qui a écrit ce papier ? Hé ! les pingouins, on vous apprend quoi sur la banquise ?

Et à part ça, se sont XProtect et Gatekeeper qui ont failli ? La bonne blague.

Si j'installe une #@% sur ma machine, je suis le seul responsable.

Sinon, de judicieux conseils en fin d'article.

J'ajouterais ceci :

– ne rien télécharger chez Softonic, CNet Download et MacUpadate ;
– se méfier comme de la peste les installateurs de logiciels proposés alors qu'un simple glissé déposé dans le répertoire Applications devrait suffire ;
– ne pas installer MPlayerX et uTorrent, même provenant de leur site d'origine.
– dans le doute, ne rien faire.
– les mises à jour de sécurité Apple ne sont pas optionnelles. On les fait, et tant pis si ça casse quelques chose par rapport à votre logiciel préféré.
– LittleSnitch (apprenez les trois mots d'anglais nécessaires et arrêtez de faire des manières)

Il faut être pris pour être appris mais l'expérience des uns sert rarement aux autres.

avatar heret 07/07/2016 - 22:52

Ça passe pour le mari de Mme Michu, mais un type comme vous, informaticien "éclairé", non !

J'hallucine ! Le mec écrit dans un site concernant l'informatique, alors il est informaticien, éclairé de surcroît ! Mais il est vrai que, quand je conduis ma bagnole, je fais de la mécanique auto...

avatar Moonwalker 08/07/2016 - 20:26

"Utilisateur éclairé" si tu préfères.

Le "mec" était présent sur les forums de MagGeneration depuis des années, et il n'y faisait pas tapisserie, loin de là.

Il a fait fi de tous les principes de sécurité qu'on y rabâche à longueur d'année.

Je mets à son crédit l'honnêteté de son témoignage, une preuve pas l'absurde de ce que l'on dit souvent mais que peu entendent : vous n'êtes à l'abris de rien, vous êtes la faille principale de votre OS.

avatar byte_order 07/07/2016 - 12:58

Je trouve très dangereux aussi que sous macOS le type de fichier soit encore déduit de son nom et non de son contenu. Tout comme sous Windows, hélas, d'ailleurs.

Résultat, en suffixant ".txt " (avec un espace) un exécutable on peut le faire apparaitre dans le Finder (et la boite d'ouverture de fichiers du système) comme un document texte, alors qu'une simple identification rapide de son contenu devrait amener le système à l'afficher pour ce qu'il est : un exécutable dont le nom fait croire que c'est un document de type texte, ce qui change tout.

Je crois d'ailleurs qu'il y a eu un malware Mac qui a exploité cette faille récemment...

avatar oomu 07/07/2016 - 13:09

Trovi, je l'ai croisé régulièrement chez des étudiants.

En fait Trovi arrive par vague; Il correspond à des campagnes de spam/pubs.

Dans tous les cas, j'ai trouvé l'installation de logiciels ou accès à des services promettant des films ou musiques gratuites.

Mais ce n'est pas aussi simple. Il y a des campagnes concertées entre des faussaires de logiciels (faux installateurs), sites malveillants (fausses pub, faux popup imitant le système) et des gens mettant en place des vrai/faux contenus désirés par les gens. Des traquenards.

Il n'y a pas forcément besoin de flash ou de hacks sophistiqués à coup de techniques de "r0xx0r".

L'accumulation de popup + ou - légaux (nos cookies !) et pubs agressives pour des logiciels à la limite de la légalité (mackeeper) et des habitudes enseignées sous windows (les millions de programmes "gratuit" préchargés qui vous harcèlent ensuite de popup) enseignent de TRES mauvais réflexe aux gens.

De très nombreux étudiants, pendant 16 ans de boulot à leur contact, m'ont démontré définitivement que les gens estiment le "popup" comme naturel, comme une corvée banale et que donc un "popup" mystérieux sous Os X n'est pas une raison de s'inquiéter, suffit juste de le fermer, voir de taper le mot de passe. (3 jours plus tard: la guerre).

-
Un peu comme le docteur House, j'ai tendance à dire que les gens "mentent" quand ils disent "j'ai RIEN FAIT ! rien touché ! rien installé ! rien modifié ! et subitement PAF !"

Les gens bricolent énormément leurs machines: ils installent des greffons qu'ils oublient. Ils expérimentent des "tips", "hacks", "tweaks" de l'os qu'ils oublient, ils suivent des "tutoriels" pour permettre de pirater Adobe CC et consorts puis ils oublient. Ils ont suivi des "guides" sur d'obscures vrai/faux site torrent puis ils oublient.

On va me hurler dessus que je juge tout le monde en bloc. C'est vrai je fais ça.

avatar b0ris 07/07/2016 - 13:12 via iGeneration pour iOS

Très intéressant ce témoignage... On sent un état d'esprit du type "je prends un Mac, il ne pourra rien m'arriver" ;-)
Je n'ai jamais utilisé de Mac mais je suis sous Windows depuis 20 ans et je n'ai jamais eu le moindre problème de virus/malware/etc... Ma conclusion : être conscient, quelle que soit la plateforme, que des saletés n'attendent qu'une erreur de votre part pour s'incruster !

avatar Moonwalker 07/07/2016 - 13:14 (edité)

+10 000

avatar oomu 07/07/2016 - 13:47

"On sent un état d'esprit du type "je prends un Mac, il ne pourra rien m'arriver" ;-)"

c'est ce que de nombreux acheteurs ont compris de la publicité Apple.

-
"Ma conclusion : être conscient, quelle que soit la plateforme"

c'est fondamental. Ne rien fait sans être conscient de ce qu'on fait (attentif). Dans le doute, laisser l'ordi tranquille.

En fait je conseille ceci aux gens, en particulier ceux qui veulent pas s'embarrasser de ces histoires d'ordinateurs sans intérêts:

"N'installez RIEN. N'utilisez AUCUN service en ligne. N'allez sur AUCUN SITE. Ne faites RIEN. Sauf ce qui vous est nécessaire pour votre travail/hobby/passion. Pour ces rares cas: soyez simplement attentif sur les adresses et ce que vous lisez.

Si vous avez besoin de _ADOBE_ CC, vous allez sur le ADOBE.com. Rien d'autre. Jamais.

Si un site/logiciel parait compliqué et tordu, c'est parce que c'est effectivement VOLONTAIREMENT compliqué et tordu: n'utilisez pas.

Si on vous demande de suivre une procédure dont vous ne pouvez pas mesurer l'impact parce que trop abscons/techniques, c'est qu'il ne faut PAS la faire.

Si vous trouvez un site où tous vos films et artistes favoris sont gratuits, c'est qu'on vend vous aux escrocs.

Si c'est trop beau pour être vrai, c'est que c'est trop beau pour être vrai.
"

Je prône effectivement le zéro-ajout. Autant que possible.

avatar Moonwalker 07/07/2016 - 13:59

Cette publicité date de 2006 !

La majorité du parc était encore sur PPC avec Tiger et Panther.

À cette époque elle était vraie.

Les gens mettent plus facilement à jour leur système que leurs préjugés.

avatar Vanton 07/07/2016 - 15:27 via iGeneration pour iOS

@oomu :
C'est en ça que le fermeture de l'iPad et dans une moindre mesure du Mac est un vrai progrès pour l'utilisateur lambda. Ça emmerde beaucoup celui qui sait (ou celui qui croit savoir, et ils sont peut-être même plus nombreux) mais c'est vital pour que l'informatique soit bien vécue par le grand public.

Reste que se pose la question de l'apprentissage. À trop tourner en rond dans sa prison dorée, on ne risque pas d'apprendre à évoluer en dehors. C'est une des dimensions de ton discours qui me gêne un peu : il faut bien prendre des risques, expérimenter, quitte à se planter, pour apprendre et avancer. Le maintien dans l'absolue sécurité n'est-il pas finalement un facteur de risque à long terme, en empêchant de s'offrir la connaissance nécessaire à la défense ?

avatar byte_order 07/07/2016 - 16:19 (edité)

> C'est en ça que le fermeture de l'iPad et dans une moindre mesure
> du Mac est un vrai progrès pour l'utilisateur lambda.

Oui.
Le hic c'est que cette fermeture se fait au profit financier d'Apple qui en profite pour instaurer une douane à tout commerce entre l'utilisateur propriétaire de son matériel pourtant et un fournisseur d'application.

Pour éviter cet abus, il faudrait pouvoir s'assurer que l'autorité qui contrôle les certificats de signature soit indépendante des intérêts financiers des distributeurs d'applications, Apple y compris.

Quand on devra (enfin, vous, car moi c'est niet) lâcher 30% de commission à Apple pour avoir le droit d'installation une application payante, ou, pire encore, pour consommer du contenu payant avec, vous trouvevez peu être qu'entre zero sécurité et une sécurité dans les mains d'un monopole ponctionnant 30% de chaque achat y'a p'tet une troisième voie possible conciliant sécurité et absence de monopole...

avatar byte_order 07/07/2016 - 15:56

A ce titre la pub "I'm a Mac" sur les virus est prémonitoire : le jeune Mac n'est pas exposé au virus tandis que le plus vieux PC l'est.
Le jeune Mac a vieilli lui aussi, et, surprise, sa santé est plus fragile maintenant que quand il était jeune.

C'est facile de ne pas être exposé aux malware quand votre plateforme représente une population d'utilisateurs très restreinte.
C'est nettement moins le cas quand vous êtes nettement plus répandu, qu'on vous connait bien et depuis longtemps, que les mauvais habitutes se sont installés et qu'il est devenu plus difficile d'en changer.

Sous BeOS y'a jamais eu de virus.
Mais y'a jamais non plus eu plus de 100000 utilisateurs au mieux...

Pages