J’ai affronté mon premier malware sur Mac
Quand j’ai quitté Windows, d’abord pour Linux avant de passer sur macOS, la promesse de ne plus avoir à gérer les innombrables virus et autres malwares qui pullulaient sur le système de Microsoft était un des arguments les plus séduisants. C’était entre la fin des années 1990 et la première moitié des années 2000, une époque où l’on installait tous des antivirus qui ne protégeaient pas vraiment les PC, mais qui les ralentissaient assurément.
Ne plus avoir à gérer Norton et compagnie faisait envie et je me souviens que c’était un argument qui revenait très souvent dans les débats enflammés sur les forums et autres canaux IRC (la belle époque…). Bref, j’ai abandonné l'univers Windows au profit d’un autre, beaucoup plus sécurisé. Et pendant quelques années, on n’a jamais vraiment entendu parler de virus ou d’autres saletés virtuelles sur Mac.
Mais depuis cinq ou six ans, ils ont fait leur retour dans l’actualité Apple. Le constructeur a ajouté une liste, XProtect, pour contrer les malwares connus avec Snow Leopard, ce qui n’a pas empêché quelques attaques spectaculaires. C’est souvent Flash qui a servi de vecteur — plusieurs centaines de milliers de Mac infectés en 2012 —, parfois aussi Java, mais dernièrement, c’est Transmission qui a été utilisé. Ke.Ranger a fait énormément parler de lui au printemps dernier et même s’il n’a concerné « que » quelques milliers de Mac, il a suscité beaucoup d’agitation.
Alors que je n’ai jamais vraiment souffert de virus pendant mes années Windows (la lenteur des anti-virus, en revanche…), j’ai été confronté à au moins un malware, nommé Trovi et qui agit depuis longtemps manifestement. Pas sur un PC, mais sur un Mac, et pas plus tard qu'hier soir. J’ai été désarmé face à ce programme malveillant, je n’avais aucun outil installé pour le supprimer et il était plus agressif que je ne l’imaginais.
Je ne sais pas comment ce malware est arrivé. C’est la première question que l’on se pose naturellement : pourquoi moi ? Cela ne devrait pas m’arriver, je suis censé m’y connaître et faire attention ! J’ai quelques pistes sur l’origine : ce Mac est sous la télé dans le salon et il est essentiellement utilisé en tant que media-center, ce qui explique que je ne le surveillais pas attentivement. Il arrive que l'on visite des sites de téléchargement susceptibles de propager des logiciels malveillants. Et Flash et Java étaient installés et pas forcément mis à jour, ce qui est une très mauvaise idée.
Mais au fond, tout cela n’a aucune importance. Inutile de s’apitoyer ou pire, de se moquer des victimes, cela peut probablement arriver à n’importe qui, surtout si on ne surveille pas de près sa machine. J’aurais dû être plus prudent, évidemment, mais ce Mac était protégé en théorie. Entre XProtect et GateKeeper, les sécurités de base proposées par Apple étaient bien en place, mais elles ont failli à leur devoir.
Il faut dire que ce logiciel malveillant — ou ces logiciels, je ne sais pas exactement — était présent depuis longtemps. J’ai retrouvé des fichiers vieux de près d’un mois, signe qu’il s’est probablement installé et qu’il est resté inactif pendant longtemps. Ces dernières semaines, le seul signe étrange était une abondance de publicités dans Safari : sur certains sites, une fenêtre de publicité s’ouvrait à chaque premier clic sur chaque page. J’ai installé un bloqueur de publicité, cela n’y a rien fait, et puis surtout, ce phénomène se reproduisait de plus en plus partout, y compris sur des sites normalement sans publicités.
À ce stade, j’étais alors très suspicieux et j’ai ouvert le moniteur d’activité de macOS, ce qui a confirmé instantanément les doutes que je pouvais encore avoir. Des dizaines et des dizaines de processus que je ne connaissais pas, associés à un utilisateur qui « n’existe pas » sur le Mac. Ils ont tous des noms bizarres pour mieux induire l’utilisateur trop curieux en erreur : si on ne sait pas ce que l’on regarde, on passerait totalement à côté.
Idem dans la Console, où ces mêmes processus envoyaient des milliers et des milliers de messages en permanence. Là encore, cela ne veut rien dire pour un néophyte, ce qui est malin de la part du script malveillant : il est difficile à détecter. Pour ma part, j’ai trouvé dans les logs de la Console des chemins d’accès et j’ai commencé à fouiller.
Il ne m’a pas fallu longtemps pour trouver les emplacements où ce malware agissait. J’ai retrouvé tous les noms bizarres des processus dans le dossier bibliothèque à la racine du Mac, dans /private/var, dans celui dédié aux LaunchDeamon où tous les processus qui tournent à l’arrière-plan sont situés. L’action de base du script est évidente : se cacher au milieu du système en répartissant ses fichiers à plein d’endroits différents, et s’assurer une présence même en cas de redémarrage.
Face à cette découverte, j’ai entrepris un nettoyage manuel : j’ai ouvert tous les dossiers du système pour repérer soit les noms des processus listés dans le moniteur d’activités, soit les dossiers modifiés récemment. Et j’ai supprimé à tour de bras tout ce qui me semblait suspect, passant par le terminal pour m’assurer que tout était bien retiré. Le souci, c’est qu’à chaque fois que je supprimais un dossier, deux ou trois autres venaient le remplacer. Il fallait en venir à la source, mais c’était plus facile à dire qu’à faire.
En effet, j’ai noté une réaction du programme malveillant, comme s’il avait été programmé pour se défendre. Jusque-là très discret — nonobstant les publicités dans Safari, on ne l’avait jamais vu agir —, il est devenu hyper actif. Le malware ouvrait régulièrement Safari pour changer mes paramètres, supprimer mes extensions et installer une extension nommée Trovi. Quand je cherchais dans Google des informations sur un logiciel anti-malware, il quittait le navigateur. J’ai ouvert Firefox, mais il a fait la même chose, changeant même la page d’accueil pour un clone de Google, probablement du phishing.
Reconnaissant (enfin…) que je n’allais pas éradiquer tout seul ce corps étranger de mon Mac, je me suis résigné à installer un anti-malware, chose que je n’aurais jamais imaginé faire sur Mac. J’ai opté pour l’outil de MalwareBytes qui a le principal avantage d’être gratuit. Après avoir lutté pour l’installer — il m’a fallu créer une autre session uniquement pour lancer l’application —, j’ai lancé l’analyse. Il a trouvé quelques fichiers, les a placé à la corbeille et m’a demandé de redémarrer le Mac... Mais le système n’a jamais redémarré.
Est-ce la faute de l’anti-malware ou d’un nettoyage trop agressif de ma part ? Toujours est-il qu’il manquait quelque chose pour qu'El Capitan redémarre normalement. À ce moment-là, après une bonne heure à lutter contre ce logiciel malveillant, j’ai rendu les armes, formaté le disque dur et réinstallé le système d’exploitation. Fort heureusement, ce Mac était utilisé comme media-center et l’essentiel était stocké en externe, ce qui a simplifié considérablement la procédure.
À l’arrivée, j’ai perdu une soirée et probablement encore une autre pour tout réinstaller et configurer comme c’était avant. Ça, ce n’est pas grave. En revanche, je ne sais pas exactement ce que ce malware a fait. S’il s’est contenté d’ajouter de la publicité dans Safari, je m’en fiche pas mal. S’il a analysé des semaines d’utilisation du Mac, transmis l’historique de navigation, voire mémorisé toutes les touches saisies en permanence, c’est un vrai problème. Dois-je changer tous mes mots de passe en prévention ? Heureusement, il y a 1Password, mais sur une période aussi longue, qui sait ce qui a pu se passer ?
C’est bien ça qui me gêne le plus : ne pas savoir. Et me dire que les protections de base d’Apple ne suffisent pas, puisque j’ai été infecté malgré elles. Comment éviter les logiciels malveillants à l’avenir ? Je n’ai pas de vraie solution hélas, à moins d’installer un anti-malware, mais sera-t-il vraiment efficace ? Le mieux reste les sauvegardes régulières et la surveillance constante : dès que l’on repère quelque chose de suspect, on ne se pose pas de questions, on efface et on revient en arrière.
C’est une bonne pratique, mais elle est contraignante et elle effraiera la majorité des utilisateurs. Par défaut, Flash et Java se mettent à jour automatiquement, mais il vaut mieux veiller régulièrement à ce que cela soit bien le cas. Sans compter qu’un malware malin sait se faire discret et ne pas gêner l’utilisation de l’ordinateur, ce qui rend sa détection quasiment impossible si on ne sait pas où regarder.
Les créateurs de ces scripts malveillants ont probablement un bel avenir devant eux…
Avez-vous déjà affronté un malware sur votre Mac ou sur celui d'un tiers ? C'est la question que nous vous posons dans notre dernier sondage !
Comment s’en protéger ?
Pour vous protéger et surtout protéger vos proches qui ne sont pas forcément aussi habiles avec un ordinateur que vous, voici quelques conseils :
- Ne pas saisir le mot de passe administrateur au hasard, voire utiliser une session standard et un mot de passe complexe et difficile à saisir ;
- Configurer GateKeeper pour n’accepter que les apps du Mac App Store et les apps signées, voire uniquement le Mac App Store ;
- Vérifier que le fichier
XProtect.plistest mis à jour régulièrement : dans les Préférences Système, ouvrir le panneau « App Store », la case « Installer les fichiers de données système et les mises à jour de sécurité » doit bien être cochée ; - Surveiller de temps en temps le moniteur d’activité :
- Ouvrir l’application et dans le menu « Présentation », cocher « Toutes les opérations » ;
- Dans la liste d’utilisateurs, vérifier qu’il n’y a que les comptes des sessions ouvertes, plus ceux du système :
- root
- _appleevents
- _captiveagent
- _coreaudiod
- _displaypolicyd
- _distnote
- _iconservices
- _locationd
- _mdnsrespond
- _netbios
- _networkd
- _nsurlsessiond
- _softwareupdate
- _spotlight
- _usbmuxd
- _windowserver
- Maintenir à jour tous les logiciels, en particulier Flash et Java ;
- Télécharger les logiciels sur le site de l'éditeur plutôt que sur les sites catalogue (MacUpdate, CNet télécharger, Softonic, etc.) ;
- En cas de doute, demander de l’aide : les forums de MacGeneration contiennent de nombreux sujets sur les malwares qui touchent les Mac, avec des explications à chaque fois pour s’en débarrasser.
Image de couverture : Brian Barnett (CC BY-NC-ND 2.0)
Je n'ai jamais utilisé de Mac mais je suis sous Windows depuis 20 ans et je n'ai jamais eu le moindre problème de virus/malware/etc... Ma conclusion : être conscient, quelle que soit la plateforme, que des saletés n'attendent qu'une erreur de votre part pour s'incruster !
Jamais utilisé de Mac ? Mais alors, qu'est-ce que tu viens faire ici ? hum ?
En plus de 25 ans de Windows, j'ai quand même reçu Melissa à la fin des années 90, sur le PC du boulot avec l'anti-virus à jour. Heureusement, c'était le matin, pas de coup de fatigue qui m'aurait fait cliquer là où il ne faut pas.
Internet est organisé de telle sorte que les gens vont se tromper. C'est inéluctable.
Par exemple, télécharger.com, cnet.com, download.com vont régulièrement être des pourvoyeurs de trojans AU SEIN d'installateur maison associé à des logiciels parfaitement innocents (et sans que leurs véritables éditeurs/distributeurs aient demandé quoi que ce soit).
Combien même ces sites sont de bonne foi, ils apparaissent presque toujours en premier résultat de recherche google/bing. Ils sont donc un formidable vecteur d'attaque pour tous les margoulins du monde. Y a beaucoup d'efforts derrière pour les pervertir.
Si ça tenait qu'à moi, tous ces sites seraient fermés et il serait interdit de distribuer un logiciel sous forme binaire hors du site officiel de l'éditeur ou service qu'il gère explicitement.
-
Je pense que l'éclosion de Trovi et ses copains sont une des principales motivations derrière le "rootless" de El Capitan et Sierra.
A terme, il sera impossible pour un logiciel utilisateur de:
- modifier le système
- accéder aux fichiers sans que l'utilisateur ait explicitement ciblé (via une interaction) un dossier ou document
- s'interfacer avec quoi que ce soit hors médiateurs bridés et cloisonnés par le système. (suppression de tous les mécanismes classiques de unix/osx (rpc, dylib, injection mach, etc))
macOs ne fait pas confiance par défaut aux logiciels installés par l'utilisateur lui même. Et c'est nécessaire.
"- modifier le système
- accéder aux fichiers sans que l'utilisateur ait explicitement ciblé (via une interaction) un dossier ou document
- s'interfacer avec quoi que ce soit hors médiateurs bridés et cloisonnés par le système. (suppression de tous les mécanismes classiques de unix/osx (rpc, dylib, injection mach, etc))" Oui, pour un système à jour, il est bon de rappeler que les logiciels même bien sécurisés sont truffés de bugs amenant à des failles de sécurité plus ou moins grave. Utiliser comme on le voit souvent ici, un système dont des failles ont été découvertes et rendues publiques, mais non à jour (coucou les OS X < Lion) font encourir à leur utilisateur un risque majeur, peu importe les mécanismes de sécurité mis autour, puisque les failles les plus graves permettent d'outre passer ces mécanismes.
---
Autre point : les sauvegardes c'est bien, mais il faut qu'elles soient faites sur plusieurs supports si les données sont critiques. En effet avoir un timemachine, qui aura été vérolé ne sera pas très utile lors d'une restauration de données. Sauf à relire les sauvegardes dans un environnement insensible (par exemple un Linux si c'est un OS X qui a été corrompu) et a ne récupérer que les données après passage dans un outil de nettoyage.
Internet est organisé de telle sorte que les gens vont se tromper. C'est inéluctable.
Une erreur est si vite arrivée. L'autre jour j'active mon nouvel iPhone SE. Je fais pourtant très attention à ne pas activer iCloud, et paf ! je n'ai rien vu alors que je guettais et faisais particulièrement attention.
Petite histoire :
Récemment je voulais lui installer chez un ami, en contrôle à distance par teamviewer, Avast car son anti-virus livré avec son nouveau PC était - comme d'hab - gratuit pour 30 ou 60 jours.
Je vais donc sur le site d'Avast et clique pour télécharger. Pour ceux qui l'ont fait régulièrement, vous savez que - selon l'affluence peut-être - des fois vous téléchargez directement sur avast.com, des fois vous êtes renvoyé sur 01.net, célèbre plateforme de distribution de malwares (quoi que le téléchargement d'Avast soit clean chez eux).
Pour cette fois, j'étais renvoyé sur 01.net.
J'ai été surpris de voir s'afficher une notification dans Chrome (provenant certainement de l'extension navigateur de son anti-virus) alertant sur le fait que ce site était connu pour distribuer des logiciels publicitaires en plus des logiciels téléchargés !!!
HOURRA ! Mais pourquoi tous les anti-virus ne font pas ça !?
Ça aiderait -peut-être - à l'éducation des gens.
- Fin de l'histoire *bisou sur le front*-
c'est en effet une bonne nouvelle que 01.net commence enfin à être mis dans les poubelles des antivirus.
Vivement les autres. Puis l'opprobre public de ces sites. Puis la guerre de Microsoft et Google contre eux. Puis la Loi...
Personnellement mon premier réflexe sur un ordinateur personnel infecté aurait été de le déconnecter d'internet. Pour faire les recherches, j'aurai utilisé un autre ordinateur (surtout si tu dis qu'il t'a changé la page d'accueil par un faux google etc...). Continuer à utiliser l'ordinateur, connecté, alors même que tu sais qu'il est infecté, je ne pense pas que ce soit une bonne idée.
Après lecture ça semble en effet tomber sous le sens.
Des détails sur Trovi/vsecure/genieo
http://blog.qisupport.com/remove-trovi-com-iesafarichromefirefoxopera-manual-removal/
https://support.norton.com/sp/en/us/home/current/solutions/v103225891_EndUserProfile_en_us
On voit ici que les évolutions de El Capitan et Sierra ont comme conséquence de rendre impossible des trojans du genre de Trovi. (compte admin ou pas, root ou pas, mot de passe ou pas, le système ne laissera pas un logiciel écrire dans les dossiers systèmes pour installer des scripts)
intéressant article de MacG de 2015 :) https://www.macg.co/os-x/2015/01/les-conseils-dapple-pour-supprimer-les-adwares-86788
-
Trovi est vieux. Vieux et dépassé. Mais c'est intéressant de revenir sur lui.
Maintenant le truc dans le vent, c'est les trojans qui cryptent vos fichiers (par exemple ceux du dossier Documents qui sera synchronisé grâce au gentil icloud drive sur tous vos macs...)
Puis imposer autant que possible un popup promettant de décrypter les documents contre des sous.
Ici, Gatekeeper et le Cloisonnement des applications (sandboxing) ont pour but de rendre inefficace ou sans intérêt ce genre de trojan. (Le trojan ne pourrait crypter QUE les fichiers auquel l'utilisateur aurait explicitement donné l'accès).
@oomu :
Ces liens ne sont guère d'utilité pour cette "variante" de Trovi, bien plus agressive et pernicieuse qu'on peut l'imaginer.
Par contre, peux-tu expliciter ce que tu dis à propos des évolutions de El Capitan et Sierra qui ne permettront pas à un malware de bidouiller le système ?
Mon iMac infecté était sous la dernière version de El Capitan
Ce que je ne sais pas, c'est si le cryptage du disque avec Filevault
= décryptage complet du disque à l'ouverture de chaque session ?
= cryptage et décryptage permanent en arrière-plan au fur et à mesure de l'utilisation des applications et données ?
Si c'est le second cas qui prévaut, ces trojans crypteurs peuvent-ils crypter des fichiers déjà cryptés par Filevault ? (Il semblerait que oui d'après mes souvenirs du ransomware Ke.Ranger cité dans l'article).
Il y a quelques mots clés intéressant dans ce témoignage : Flash, Java, sites de téléchargement ...
Beaucoup de facteurs sont ici réunis pour une infection pour peu que la fameuse interface chaise/clavier (ou canapé/télé dans ce cas plus précis) ne prête pas trop attention à ce qui se passe sur ladite machine.
Le fond du problème n'est pas le Mac ou macOS mais bel et bien l'humain. La technique est là pour aider, pas pour décider (enfin pas encore) et il faut que l'humain agisse de manière responsable. Ainsi, il évitera les problèmes.
@Zearnal
L'humain est souvent accusé ici quand il s'agit de Mac, plus rarement quand il s'agit de Windows ...
Méditons ....
Depuis quelques temps j'ai de façon occasionnelle (ça n'arrive pas tout le temps) un bug ou un virus quand je suis sur le site de MacG (et uniquement ce site) : des mots dans l'article ou dans les commentaires sont soulignés par un double liseré vert, et une petite fenêtre apparait lorsque je les survole. J'ai également des pubs qui apparaissent sous forme de bandeaux sous les illustrations dans les articles. Ce ne sont pas les pubs habituelles de MacG (site sur lequel j'ai désactivé Adblock).
Je tiens à préciser que cela ne m'arrive que sur Chrome, et que c'est sur le mac de mon boulot, sur lequel je ne suis jamais allé sur le moindre site "douteux", je n'ai jamais rien téléchargé etc. J'ai supprimé Chrome et je l'ai réinstallé mais cela n'a rien changé.
Une idée de ce que cela pourrait être et comment m'en débarrasser ? Merci beaucoup !
c'est du intellitxt.
C'est soit dans la page web elle-même, donc de la volonté du webmaster, soit l'œuvre d'un adware.
Je n'utilise pas Chrome. Essayez Opera.
@Moonwalker
Ah super, merci d'avoir identifié le nom du problème, je vais voir ce que je peux faire. Ce que je ne comprends pas néanmoins c'est que cela ne m'arrive que sur MacG...
Merci en tout cas !
tel qu'il le décrit, ça ressemble plutôt à de l'injection hors de contrôle du site web.
Dans le code d'une page du forum :
script type="text/javascript" src="/script">http://macgeneration.fr.intellitxt.com/intellitxt/front.asp?ipid=87521">/script
Dans le code de cette page elle-même :
script type="text/javascript" src="/script">http://macgeneration.fr.intellitxt.com/intellitxt/front.asp?ipid=3793">/script
nb : j'ai enlevé < et > pour que cela reste lisible dans ce message.
greffons chrome:
des greffons peuvent éventuellement être dans:
~/Library/Application Support/Google/Chrome/Default/Extensions
/Library/Application Support/Google/Chrome/Default/Extensions
puis les classiques:
/Library/Internet\ Plug-Ins/
~/Library/Internet\ Plug-Ins/
l'adresse chrome://extensions/ dans chrome, devrait vous renseigner aussi.
Ce double sous-ligné vert ressemble effectivement à Vsearch sous l'un de ses centaines de noms:
lisez ceci:
https://discussions.apple.com/thread/6394001?tstart=0
https://discussions.apple.com/thread/6337531?tstart=0
Il est certainement installé + bas que simplement Chrome (il installe des scripts pour se réactiver systématiquement dans chromes et les autres).
---------
Ce qui suit est un "rant".
"et que c'est sur le mac de mon boulot, sur lequel je ne suis jamais allé sur le moindre site "douteux""
désolé, mais vous avez un jour installé un truc "douteux". Soit par un attachement mail, soit par un site qui n'avait pas l'air douteux mais vous a envoyé une pub/popup/autre que vous avez suivi et + ou - donné le droit à Chrome de faire n'importe quoi. Soit par bien plus traitre, un installateur d'un logiciel tout à fait légitime mais pris depuis un site qui repaquetage les logiciels avec des TROJANS.
Vlc et Mplayer sont des cibles classiques.
Bref, d'une manière ou d'une autre.
Rassurez vous: vous, vous passez votre temps à bosser honnêtement, avoir une vie de famille et faire des chouettes trucs avec votre mac. Les escrocs eux bossent toute la journée pour escroquer les gens, se vendre des outils d'escrocs et s'organiser en bande de malfaiteurs des forfaits.
Ils sont évidemment + aguerris que vous: ils y consacrent tout leur temps. C'est aussi un business: les "hacks" se vendent. C'est industrialisé.
Bref: se faire avoir, c'est presque un signe que vous avez une vie saine, vous, consacrée à des choses constructives. Plutôt que de se dédier à pourrir autrui.
@Oomu
Merci pour l'aide, je vais y jeter un oeil. Et au pire j'irai voir le service informatique de mon université (je bosse à mi-temps pour une fac) et je leur passerai le bonjour de leur collègue Oomu !
Sinon quand je disais que je n'avais rien fait de "douteux" avec c'est que vraiment cette machine n'a qu'un usage "institutionnel". Toutes les cochoncetés possibles je les fais avec mon mac perso, qui lui ironiquement n'a pas de problème.
Blague à part, ce qui reste bizarre est que seul le site Macg est "infecté" par ce problème...
@oomu :
Qui sait, il est peut-être trader ? ;-)
@MiRouF :
Je crois que cela doit venir de leur publicité, car ça m'arrive tout le temps sous Chrome et parfois sous Safari
Le nul! Il a un malware!
Dans l'absolu total de la Vérité Cosmique ? oui le danger existe. A tout instant le danger existe.
-
Concrètement, en pratique, sur ios, Non.
pourquoi ?
iOS est non seulement bridé au niveau de l'app store. Il faut déjà foutre un trojan dans l'app store.
Oui, cela s'est produit sur l'app store une fois ou deux. Mais c'est déjà un premier frein redoutable et qui donc ralenti et augmente les coûts pour le pirate. Et après coup, Apple peut réagir en supprimant du store et blacklistant sur ios.
Mais SURTOUT les apps sur ios sont totalement cloisonnées: même si elles sont des trojans ou traitresses, elles ne peuvent pas s'imposer dans les autres apps, elles ne peuvent pas obtenir les documents de votre bibliothèque photo ou autres apps sans que vous ayez explicitement autorisé l'accès. Et elles ne peuvent pas installer dans ios des "services".
Notez bien que MacOs évolue vers ce modèle pour toute application mise en quarantaine ou signée: elles sont dans leurs coins tant que vous n'ouvrez pas explicitement des brèches.
Un trojan dans son coin tout seul, tout de suite ça perd de son sel.
Oomu c'est le meilleur mais faut pas lui dire sinon il devient encore plus chiant :D
@Yoskiz :
Juste se méfier du jailbreak.
Merci Nicolas pour cet article !
Mais du coup j'ai une remarque : à la fin tu listes les comptes utilisateur qu'on peut retrouver dans le Moniteur d'activité, j'en ai trouvé deux autres qui ne semblent pas poser de problème :
- _nsurlsessiond
- _displaypolicyd
C'est un oubli de ta part ou il faut que je m'inquiète ?!...
--
Raoul
MBA 2015 / OS X 10.11.5
@raoulb Non, ce sont bien des utilisateurs du système, j'ai mis à jour la liste.
_nsurlstoraged ?
« J’ai opté pour l’outil de MalwareBytes qui a le principal avantage d’être gratuit. [...]
j’ai lancé l’analyse. Il a trouvé quelques fichiers, les a placé à la corbeille et m’a demandé de redémarrer le Mac... Mais le système n’a jamais redémarré.
Est-ce la faute de l’anti-malware ou d’un nettoyage trop agressif de ma part ? »
Pourquoi poser la question ?
Vous avez opté pour l'option de la nonchalance puis de la radinerie et vous l'avez payé, voilà tout.
Ce n'est pa la faute de MalwareByte. Le logiciel est payant, seul l'utilitaire de nettoyage est gratuit. Une fois la désinfection terminé (si cette dernière réussi) le logiciel vous propose de télécharger la version complète, qui inclut une protection anti-virus pour éviter de se faire infecté une seconde fois.
Il faut arrêter de croire que sous prétexte que c'est gratuit, le produit est forcément moins bon qu'un autre!
Je ne suis pas vraiment d'accord pour la "radinerie". MacKeeper par exemple est gratuit puis payant et fiche un bronx énorme dans l'ordinateur prétextant du nettoyage, c'est surtout un espion avec une pub ultra agressive sur le net.
Concernant MalwareByte j'ai été souvent en relation avec le développeur pour Mac, lui ai refilé quelques lignes de code pour supprimer plusieurs malwares. Le type est vraiment dédié à aider la communauté Apple de se débarrasser des saletés qui se nichent dans les navigateurs, les MacKeepers et autre Genieo qui pourrissent les machines.
Je travaille dans une école et je vois régulièrement des étudiants avec des machines infectées par de fausses mises à jour flash et pseudo logiciels de nettoyage là ou Malwarebyte fait un bon boulot tout en étant (pour l'instant) gratuit. Ils travaillent d'ailleurs sur une version entreprise (en bêta) érable en ligne de commande... comme quoi ca a l'air de bien tourner.
Amusant de conseiller MalwareBytes qui n'est pas sur l'App Store d'Apple...
Situation paradoxale, après que certains aient affirmés haut et fort qu'il ne fallait installer que des logiciels venant de l'App Store.
@ Orus
Le problème est que pour tout scanner, un anti-virus doit pouvoir accéder à absolument tout, et cela va à l'encontre des règles de l'AppStore.
@ docmib
« Je ne suis pas vraiment d'accord pour la "radinerie" »
Ah bon, et comment qualifies-tu le fait qu'il n'ait pas voulu acheter la version payante mais s'est contenté de celle qui est gratuite comme il le dit lui-même ? Il n'était pas radin mais trop pauvre peut-être ?
Toujours être très prudent avec les logiciels de nettoyage ! Il vaut mieux ne cocher que les rares cases dont on comprend le contenu : par ex, poubelle, cache du navigateur...
Trop concentrée, la javel ça ne nettoie plus, ça décape !
"Et Flash et Java étaient installés et pas forcément mis à jour, ce qui est une très mauvaise idée."
Erreur première... Ou en tout cas erreur digne de mon père, qui n'en pige pas une...
Je ne prétends pas que mon mac est clean (en fait j'en sais fichtrement rien, il fonctionne sans problème apparent), mais il y a une chose qui me turlupine:
Comment oser pondre un article sur la vulnérabilité des mac aux virus, en prenant en exemple un mac dont les deux principale porte d'entrée des virus n'étaient pas mis à jour? Est-ce que les autres mac de la maison ont été infecté? Apparement non, parce que eux avait été mis à jour, non pas au niveau de l'Os, mais des deux plus grandes portes d'entrées des virus dans tout le monde informatique...
En fait apparemment non, les macs sont toujours autant bien protégé (toujours aussi une histoire de part de marché), pour autant que les softs qui vont sur internet sont mis à jour, Java et Flash en premier lieu...
Tout ça pour dire que oui il est dangereux de ne pas faire les mises à jour flash et Java, mais cela n'a strictement rien à voir avec mac ou osx, windows ou linux... C'est propre à des à des techno antédiluvienne, que les gens n'arrivent pas à abandonner (j'ai quand même failli lâcher un gros LOL, en pensant que quelqu'un qui devrait être un peu plus au courant avait toujours flash d'activer sur un ordi, surtout si celui-ci était utilisé comme média center)
Le problème se situe toujours entre la chaise et l'écran, et ici 'lus précisément, entre le canapé et l'écran ;) Un peu comme je n'ai jamais eu de virus sous window, bien que j'ai Boot Camp d'installé et strictement aucun anti-virus...
Allez un peu de courage, avoue-nous que tu n'allais pas que sur des sites légaux, mais que tu t'es largement promené sur des sites de streaming illégaux, voir tu pratiques le piratages de film...
Merci pour l'article .. il amene a reflechir et m'a donne quelques gouttes de sueurs jusqu'aux verifications d'usages.
Merci pour cet article, je vais flipper maintenant.
@Nicolas Furno : "Je ne sais pas comment ce malware est arrivé."
Alors que plus loin dans l'article tu racontes : "...Il arrive que l'on visite des sites de téléchargement susceptibles de propager des logiciels malveillants...". A ce stade je ne vois pas pourquoi il faudrait s'étonner de se retrouver avec ce cher Trovi sur sa machine car tel qu'énoncé par Wikipedia (tout de suite ca fait classe de citer Wikipedia, comme si je savais de quoi je parlais !) https://en.wikipedia.org/wiki/Browser_hijacking : "...Many Browser Hijacking programs (...) are included as "offers" in the installer for another program, ..." . Trovi n'a pas la capacité technique de s'installer tout seul, son installation doit être acceptée par l'administrateur.
"cela peut probablement arriver à n’importe qui" Je suis en désaccord avec cette phrase. Du moment que l'on lit ce que l'on accepte d'installer sur sa machine il y'a peu de chance de se retrouver dans cette situation (ce n'est que mon avis hein).
"...Maiis ce Mac était protégé en théorie. Entre XProtect et GateKeeper, les sécurités de base proposées par Apple étaient bien en place, mais elles ont failli à leur devoir."
Les sécurités proposées par Apple n'ont pas failli à leur devoir, au contraire, l'administrateur à insister pour installer un programme/plugin téléchargé en dehors du Mac App Store en cliquant sur "Suivant" et "j'accepte" de multiples fois, ce programme installant son "sponsor gratuit" comme décrit dans les contrats de license los de l'installation. Puis ensuite l'administrateur en entrant son mot de passe admin pour dire au système "j'autorise à installer ca, je sais ce que je fais". A partir de là, mettre la faute sur MAC OS X (ou quel que soit l'environnement de travail) c'est ne pas vouloir prendre ses responsabilités. L'élément entre l'écran et la chaise à failli à son devoir.
En même temps, les mécanismes actuels de macOS repose sur un contrôle à l'entrée, pas ensuite. Il suffit donc de bien présenté pour convaincre l'utilisateur de dire au garde à l'entrée de le laisser entrer et ensuite c'est la fête.
Un contrôle uniquement à l'entrée est insuffisant.
"Un contrôle uniquement à l'entrée est insuffisant" - Je suis en désaccord avec toi là dessus car de mon point de vue (peut-être étriqué, qui sait?) rien ne remplacera jamais le contrôle humain, l'humain est l'administrateur de l'ordinateur et du système en non l'inverse.
"Il suffit donc de bien présenté pour convaincre l'utilisateur de dire au garde à l'entrée de le laisser entrer et ensuite c'est la fête" - Là encore je suis légèrement en désaccord car (toujours de mon avis personnel) l'humain est le maître de la machine et c'est lui qui a le dernier mot et qui doit être responsable. Pour moi, si l'humain n'est pas capable de cela c'est de mon avis comme revenir à dire que sur la route on va laisser conduire des humains qui ne sont pas capables d'être maîtres de leurs véhicules. Oui ok on peut rétorquer que c'est probablement une des raisons pour lesquelles les véhicules autonomes commencent à voir le jour. Mais soyons réalistes pour quelques minutes : devenir des assistés qui ne prennent même pas la peine de comprendre les implications de leurs décisions est-ce vraiment l'avenir que nous voulons pour nous mêmes et nos enfants ? A cela je réponds "non". Et si nous devons faire des erreurs dans ce cheminement de continuer/devenir à être responsable et intelligents, et nous en faisons car c'est inhérent à notre nature, nous allons aussi apprendre et nous éduquer.
Maintenant il ne s'agit là que de mon avis et je respecte vos avis à vous tous. Mais sachez que mon avis sur ce sujet j'y crois dur comme fer et je ne reculerais devant rien, même pas Gatekeeper au volant d'une Tesla !
@le ratiocineur masqué :
Autant je suis d'accord sur la sécurité informatique autant je ne suis pas d'accord pour l'analogie avec la sécurité routière et les voitures autonomes. On ne peut pas dire que l'on soit maître de son véhicule en roulant à 130 km sur l'autoroute étant donné que l'on n'est pas fait pour se mouvoir à cette vitesse. Pour l'informatique, il faudrait apprendre aux gens à utiliser internet et bien comprendre tout ce qui peut arriver quand on surfe sur certains sites. Beaucoup de gens ne savent pas ce qu'est un malware et ne connaissent encore moins les moyens de s'en protéger. De plus ces personnes laisseront certainement les programmes avoir accès à tout ce qu'ils demandent en pensant : "il sait mieux que moi ce dont il a besoin".
J'ai une question qui peut paraître idiote : ces malwares s'installent seulement par le téléchargement de logiciels ou peuvent-ils s'installer également lors de lectures de vidéo en streaming ?
@ jmdt
Le moyen de propagation classique est l'installation via un autre logiciel :
Comme sous Windows, tu entends parler sur 01.net ou ailleurs d'un super logiciel et te propose de le télécharger. Sauf que ce que tu vas télécharger, c'est le locigiel en question, mais aussi des logiciels "sponsor" ou que sais-je qui n'ont rien à voir et vont te pourrir la vie. Mais au final, c'est TOI qui l'a installé, toi qui a cliqué sur OK, suivant, j'installe tout ce qu'on me propose.
La solution est simple : Toujours télécharger un logiciel à la source, là d'où il vient. Pas depuis chez 01.net, mais depuis, en priorité :
1. l'AppStore
2. Si le logiciel n'est pas dispo sur l'AppStore, aller sur le site de l'éditeur.
Si 01.net ne donne pas l'adresse exacte de l'éditeur/auteur du logiciel qu'il promeut, méfiance !! Logiciel à éviter comme la peste.
Par contre, quand tu regardes une vidéo en streaming, à moins d'utiliser un lecteur Flash avec une version de Flash qui n'est pas à jour, il y n'a pas de risques à ma connaissance. Et si tu vas sur des sites "à risque", actives toutes les options de protection de la vie privée, ne pas hésiter sur les bloqueurs de pubs et autres trackers, et vas-y en mode de navigation "privée".
Quoiqu'il en soit, aucun logiciel à risque ne peut s'installer sans le consentement de l'utilisateur sur Mac jusqu'à présent.
Nicolas se serait donc fait infecter à l'insu de son plein gré ? :p
Ce témoignage reflète ce que j'ai maintes fois constaté autour de moi. Lorsque l'on commence à développer un comportement à risques, en particulier en allant visiter des sites douteux (certains sites de téléchargements illégaux ou douteux, ainsi que certains sites de boules notamment), la probabilité de se chopper un malware agressif prend l'ascenseur. Attention, je ne dis pas que ce sont les seules portes d'entrée (on l'a vu comme indiqué dans l'article avec Transmission), mais c'est très souvent le cas.
Bref, quand on commence à sortir des sentiers battus (et l'on peut très vite sortir des sentiers battus), il faut penser à faire beaucoup plus attention et à se protéger bien mieux qu'avec les mesures de bases intégrées à OS X ou à Windows.
Il ne devrait y avoir aucun tabou à utiliser des anti-virus ou des solutions comme MAM, même sur Mac. D'autant que l'on n'est plus dans les années 90 ou au début des années 2000; nos ordinateurs sont désormais suffisamment puissants, et ces logiciels suffisamment optimisés, pour que ces derniers ne ralentissent pas la machine même en fonctionnant en tâches de fond (à moins d'avoir un netbook, et encore, un netbook de base).
Certains intervenants me répondront que ces solutions ne sont pas fiables à 100 %, qu'elles laissent parfois passer des cochonneries, c'est vrai. Mais c'est toujours bien mieux que de ne rien faire et s'en remettre uniquement aux protections intégrées à l'OS.
Pages