[MàJ] Intego : un spyware OSX/OpinionSpy distribué avec des applications

Anthony Nelzin-Santos |
Intego a publié aujourd'hui une note de sécurité faisant état de la découverte d'un spyware baptisé OSX/OpinionSpy. Le risque est qualifié, et pour cause : alors que jusqu'ici les menaces venaient essentiellement de logiciels piratés et modifiés disponibles sur les réseaux P2P, elle toucherait cette fois des applications et écrans de veille disponibles sur des sites comme MacUpdate ou VersionTracker.

FR_Intego%20Security%206-1-10%20v7-1.pdf%20(page%201%20sur%203)

La réputation de ces sites n'est pas à mettre en cause : les applications et écrans de veille en eux-mêmes sont « sains », mais le spyware est téléchargé pendant le processus d'installation (l'installeur, lui, est vérolé). Il s'identifie comme un programme d'« étude de marché », prétendant « récolter des informations sur la navigation et les achats des utilisateurs habituellement utilisées dans des études de marche ».

Comme il demande le mot de passe administrateur, il s'exécute en tant que root (et se relance automatiquement), et peut donc accéder à tout fichier stocké sur le Mac. Elle analyse les fichiers, consommant du temps processeur, ainsi que le réseau, consommant de la bande passante. Elle injecte du code dans Safari, Firefox et iChat, et envoie des données diverses comme des adresses courriel, des en-têtes de message iChat, etc.

L'application collecte donc bien des données, mais pas celle qu'elle prétendait, et représente donc un possible problème pour la vie privée des utilisateurs. Evidemment, Intego indique que VirusBarrier X5 et X6 sont capables de repérer et neutraliser OSX/OpinionSpy, dont il existe déjà une variante sous Windows depuis quelques années.

[MàJ@19h20] Intego a commencé à publier les applications et écrans de veille contenant ce spyware. Tous les écrans de veille installant ce spyware ont été créés par 7art-screensavers :

- Secret Land ScreenSaver v.2.8
- Color Therapy Clock ScreenSaver v.2.8
- 7art Foliage Clock ScreenSaver v.2.8
- Nature Harmony Clock ScreenSaver v.2.8
- Fiesta Clock ScreenSaver v.2.8
- Fractal Sun Clock ScreenSaver v.2.8
- Full Moon Clock ScreenSaver v.2.8
- Sky Flight Clock ScreenSaver v.2.8
- Sunny Bubbles Clock ScreenSaver v.2.9
- Everlasting Flowering Clock ScreenSaver v.2.8
- Magic Forest Clock ScreenSaver v.2.8
- Freezelight Clock ScreenSaver v.2.9
- Precious Stone Clock ScreenSaver v.2.8
- Silver Snow Clock ScreenSaver v.2.8
- Water Color Clock ScreenSaver v.2.8
- Love Dance Clock ScreenSaver v.2.8
- Galaxy Rhythm Clock ScreenSaver v.2.8
- 7art Eternal Love Clock ScreenSaver v.2.8
- Fire Element Clock ScreenSaver v.2.8
- Water Element Clock ScreenSaver v.2.8
- Emerald Clock ScreenSaver v.2.8
- Radiating Clock ScreenSaver v.2.8
- Rocket Clock ScreenSaver v.2.8
- Serenity Clock ScreenSaver v.2.8
- Gravity Free Clock ScreenSaver v.2.8
- Crystal Clock ScreenSaver v.2.6
- One World Clock ScreenSaver v.2.8
- Sky Watch ScreenSaver v.2.8
- Lighthouse Clock ScreenSaver v.2.8

Pour le moment, seule une application est affectée, MishInc FLV to MP3. Intego devrait tenir cette liste à jour sur son blog.
avatar Shepherd | 
[quote=oniiychan] @Luisdeejay Voilà le genre d'info que l'on reverra si "Apple doit s'ouvrir au milieu de gamme". Je ne vois pas vraiment le rapport... Un PC à 400 euros n'est pas forcément moins bien protégé qu'un PC à 1000 euros.... Il en va de même pour les MAC non ? Mon ancien MB blanc ne courrait pas plus de risque que mon nouveau MPB ou mon IMAC... De base, il faut arrêter de confondre l'OS et la bécane...[/quote] Luisdeejay voulait simplement dire : si Apple s'ouvre au milieu de gamme, ses parts de marché augmenteront et l'intérêt des "bad guys" pour la plateforme Mac augmentera en proportion.
avatar bugman | 
J'utilise pour ma part qu'un seul compte (administrateur) sur ma machine (mais j'ai quelques compétences). Je m'interroge sur le fait que ce soit un bien d'avoir deux comptes sur sa machine (pour un utilisateur lambda (sans préjugé aucun)) : un admin (pour les installs) et un compte simple pour l'utilisation. En fait je fais assez confiance au système (bien que non exempt de failles ce n'est pas "Beyrouth" non plus), c'est pour cela mon choix d'un seul compte. Deux comptes vont t'ils mieux le protéger (l'utilisateur), sachant que si il veut installer une application il risque de le faire en admin (sans se poser plus de question que cela et sans se rendre compte que même ensuite en user "normal", et bien, c'est trop tard de toutes façon !) (et sans connaissance de cause) ? Un admin sur une machine est indispensable, il faut simplement qu'il soit au minimum informé de ce que ses droits permettent. Des gros coups de "sudo" m'ont appris à savoir ce qu'un admin peut faire sur un unix, c'est en forgeant... (pas en se cachant derrière un compte plus ou moins restreint). Les livres techniques, les forums, ..., ça a du bon aussi.
avatar Shepherd | 
@Luisdeejay Nos réponses se sont croisées :-).
avatar aresis | 
[quote]Deux comptes vont t'il mieux le protéger (l'utilisateur), sachant que si il veut installer une application il risque de le faire en admin (sans se poser plus de question que cela et sans se rendre compte que même ensuite en user "normal", et bien, c'est trop tard !) de toutes façon (et sans connaissance de cause) ?[/quote] Voilà, de ce que je comprends avec mon manque de culture Mac, les pensées qui me viennent... Bref, toujours autant besoin d'explication...!
avatar oniiychan | 
[b]@Luisdeejay[/b] [b]@Shepherd[/b] Au temps pour moi, je ne l'avais effectivement pas interprété de cette façon... ;)
avatar Shepherd | 
[quote=P'tit Suisse] D'autres le diront mieux que moi : 1 ) Il faut absolument désactiver le compte root. [/quote] A ma connaissance, le cpte root est désactivé par défaut. Suis-je dans l'erreur ?
avatar olm | 
@aresis: Je crois que depuis un compte standard tu peut aussi installer des applications, avec le mot de passe du compte administrateur.
avatar Jojaile | 
Le compte root est désactivé par défaut. Il est activable depuis un compte admin. C'était d'ailleurs un gros problème avec certaines personnes qui se sont fait piraté leur session en vnc, le pirate prenait le contrôle de la machine avec un vnc mal configuré et activait le compte root.
avatar bugman | 
@ aresis : Disons que quand tu rentres ton mot de passe administrateur l'application (l'installateur) à ce moment là a les droits admin (bref, il peut faire beaucoup de chose (qui peuvent être néfastes)), généralement c'est pour avoir accès à certains dossiers (enfin, je pense). C'est pour cela qu'il faut avoir une grande confiance en ses sources avant de donner ses droits à une application.
avatar P'tit Suisse | 
@Shepherd Je crois me rappeler qu'il est activé par défaut (sous le nom Autres) lors de l'installation avec le DVD, mais je peux me tromper. @aresis Deux comptes vont t'il mieux le protéger (l'utilisateur), sachant que si il veut installer une application il risque de le faire en admin. Ben non. Le compte utilisateur protège d'éventuelles intrusions Internet, dans la mesure où les données sensibles sont sur un compte administrateur (muni d'un mot de passe). Il n'empêche pas d'installer un spyware et de l'autoriser - avec le mot de passe administrateur - à voler vos données où qu'elles soient. Je n'ai du reste jamais compris que de petits programmes demandent un mot de passe administrateur pour s'installer. Enfin, c'est vrai que ce n'est pas Beyrouth. Perso, j'ai une sacrée paix sous OSX malgré des heures de navigation dans des baies et des golfes pas très clair.
avatar bugman | 
@ P'tit Suisse : merci pour la confirmation. :D Non, l'utilisateur root n'est pas activé par défaut.
avatar Moonwalker | 
Bugman a raison de rappeler qu'un compte standard n'est pas la solution ultime. Comme je l'ai dit, l'objectif est de limiter la casse. La vraie solution passe par une meilleure connaissance de Mac OS X. Le root n'est pas activé par défaut et il n'est pas à activer. Les droits d'un compte administrateur peuvent se résumer à tout ce que vous pouvez faire sur un compte administrateur sans avoir besoin d'un mot de passe. Par exemple, installer une application telle que Firefox en glissé/déposé dans /Applications ne requière aucune identification, contrairement à un compte standard. Sur un compte administrateur, la demande d'authentification est équivalente à un sudo dans le terminal. Une application qui demande cette identification pour s'installer à accès à tous les recoins de votre machine. Il faut savoir ce que l'on fait, la nature de ce qu'on installe. Un peu de jujotte n'est pas inutile non plus. Dans le cas qui nous occupe, un économiseur d'écran n'a nul besoin d'accéder aux dossiers sensibles de l'OS. Les économiseurs d'écran sont pour le dossier ~/Bibliothèque/Screen Savers, voire /Bibliothèque/Screen Savers si on les destine à plusieurs utilisateurs d'une même machine. Ce sont des fichiers .saver caractéristiques. Le reste est à bannir. L'OS réputé le plus sûr dans sa configuration par défaut est OpenBSD. Il a été conçu dans cet esprit. La sécurité avant tout. Mais si vous ne savez par vous en servir, si vous ne comprenez pas les conséquences de vos actions sur son fonctionnement, un utilisateur de Windows XP et IE6 sera plus en sécurité que vous sur la toile. Maintenant, si vous pensez que le prix de votre tranquillité passe par Intego, c'est un choix tout aussi respectable que celui d'apprendre les principes des systèmes Unix et de digérer les 267 pages du Guide de la Sécurité sur Mac OS X. https://www.macg.co/news/voir/156191/snow-leopard-le-guide-de-securite-est-en-ligne
avatar iDuplo | 
Tiens Intego à sortit un nouveau virus?
avatar Mabeille | 
Welcome into real life Neo.
avatar Anonyme (non vérifié) | 
Et on appelle ça un spyware??? Entrer son password admin pour une "étude de marché" relève de la bétise... Bref, il n'y a aucun risque avec un mac: les virus n'existe pas et pour les spywares, il faut vraiment le vouloir... Bref, bravo à Intego pour la tentative d'arnaque, mais franchement, là, c'est gros comme un camion!
avatar Shepherd | 
[quote=cubb74] Et on appelle ça un spyware??? Entrer son password admin pour une "étude de marché" relève de la bétise... Bref, il n'y a aucun risque avec un mac: les virus n'existe pas et pour les spywares, il faut vraiment le vouloir... Bref, bravo à Intego pour la tentative d'arnaque, mais franchement, là, c'est gros comme un camion! [/quote] Amusant de constater que peu enregistrent ce qui est vraiment important dans cette news. Certes, cette menace use d'une technique d'ingénierie sociale grossière, mais la prochaine fois, elle sera peut-être beaucoup plus fine. A moins d'avoir des compétences très pointues en matière de fonctionnement de l'OS et de sécurité, bien stupides seront un jour ceux qui se pensent trop futés pour se faire prendre.
avatar Kalki | 
4 pages de mauvaise fois ! hihi
avatar Spark54000 | 
remède ?
avatar 123sylvainv | 
le bon sens peut-être ?
avatar coink | 
Peut être faut-il éviter de donner son mot de passe root à une applette d"étude de marché" ? ^_^
avatar aleximac | 
Et voila la rançon du succès de la plateforme. Les utilisateurs Mac n'étant pas plus méfiants que les utilisateurs Windows (voire moins, à force d'entendre qu'il n'y a pas de virus ou de malware sur Mac), forcement certains s'y feront prendre.
avatar pitou69 | 
Expliqué comme ça, ça semble provenir du Saint Esprit... "les applications et écrans de veille en eux-mêmes sont « sains » mais le spyware est téléchargé pendant le processus d'installation" ... faut m'expliquer là. c'est qu'à la base les applications ou écrans de veille ne sont pas sains ! Ils ne sont pas infectés plus tard, mais sont développé pour avoir ce comportement.
avatar Gimli fils de Gloin | 
C'est décidé, je passe sous Windows, qui est bien plus sûr.
avatar Anonyme (non vérifié) | 
@pitou69 : c'est l'installeur qui est vérolé, j'ai rajouté la précision.
avatar jmquidet | 
Pour en savoir plus: [url] http://www.intego.com/fr/news/diverses-applications-mac-distribuees-gratuitement-installent-le-spyware-osx-opinionspy.asp
avatar kubernan | 
Et pi bien sûr, y a qu'Intego pour enlever ce truc, même pas de démarche expliquant comment l'enlever sans eux.
avatar lemoustique | 
Google va devoir repassé chez Windows, c'est sûr..
avatar joelcro | 
Ce qui revient à quelqu'un qui sonne à la porte : "Bonjour, je fais une étude de marché, puis avoir les clés de votre maison, de votre voiture et cos codes de carte bleue?"
avatar loukonmac | 
MMMMMM et ce ne serait pas Intego qui l'aurait écris par hasard.... juste comme cela.....
avatar mad_mac | 
tiens sur le blog d'intego on peut lire : " Note: We are preparing a list of software that installs this spyware, and will be publishing it later today or tomorrow" on va bien voir si les freeware en question sont infectés ! :-//
avatar MacGyver | 
a partir du moment ou tu veux installer une petite appli et que celle-ci "s'identifie comme un programme d'« étude de marché »" bah ya pas trop de risque que je l'installe.....
avatar Moonwalker | 
Pas nouveau... Il y a quelques mois, un logiciel avait été signalé comme tel dans les commentaires MacUpdate par des utilisateurs. Désolé, je ne me souviens plus lequel.
avatar luisdeejay | 
Voilà le genre d'info que l'on reverra si "Apple doit s'ouvrir au milieu de gamme".
avatar bugman | 
Si ça collect, ça envoi bien sur un serveur ! Mais que font les polices ! on peut avoir l'adresse IP (pour la bloquer juste au cas où). Merci.
avatar Moonwalker | 
Selon le communiqué Intégo OSX/OpinionSpy réalise les actions suivantes : [quote]Cette application, dépourvue d’interface, est exécutée en tant que « root » (elle demande un mot de passe administrateur lors de l’installation) et dispose de tous les privilèges pour accéder à n’importe quel fichier sur l’ordinateur de l’utilisateur infecté et le modifier.[/quote] Donc, si une application par simple glissé-déposé vous demande votre mot de passe administrateur = corbeille. Arrêtez d'utiliser un compte administrateur pour le tout venant. Créez un compte Standard. [quote]Si, pour quelle que raison que ce soit, l’application cesse de s'exécuter, elle est relancée via launchd, la fonction de lancement de services à l’échelle du système.[/quote] Vérifiez l'origine des fichiers dans System/Library/LaunchAgents ; /System/Library/LaunchDaemons ; /Library/LaunchAgents ; /Library/LaunchDaemons [quote]Elle ouvre une porte dérobée HTTP à l’aide du port 8254.[/quote] Fermez ce port à l'aide de LittleSnitch ou de IPFW (vous pouvez utiliser WaterRoof pour cela si vous n'êtes pas familier de la ligne de commande). [quote]Le spyware lui-même ne se trouve pas dans ces applications, mais il est téléchargé pendant le processus d’installation.[/quote] Là encore, un logiciel comme LittleSnitch vous informera de suite de toute tentative de sortie. Une première liste ici = http://www.globalsecuritymag.com/Intego-Security-Memo-Preliminary,20100601,17834.html Des screensavers, pas très jolis d'ailleurs. Intego est toujours prompt à instaurer une psychose rémunératrice par le style de ses communiqués. Keep cool and awake.
avatar Moonwalker | 
A noter que 7art a été signalé dès le 12 mars comme étant un diffuseur de spywares dans les commentaires sur MacUpdate. http://www.macupdate.com/info.php/id/33674/7art-radiating-clock http://www.macupdate.com/info.php/id/33675/7art-galaxy-rhythm-clock http://www.macupdate.com/info.php/id/32907/7art-water-color-clock FLV to MP3 est l'application déjà repérée par les utilisateurs MacUpdate l'année dernière. Egalement signalée depuis mars sur le site de VersionTracker : http://www.versiontracker.com/dyn/moreinfo/macosx/75146631
avatar oniiychan | 
[b]@Moonwalker[/b] Je "plussoie" !!! Ce n'est quand même pas compliqué de se protéger un minimum, ou du moins de faire un peu gaffe :) J'utilise LittleSnitch depuis un moment, parfait petit soft, super discret EDIT : En même temps, sur n'importe quelle plateforme, nous savons tous que la plupart des spywares, malwares et autres vilaines bêbêtes sont "pensées" et plus ou moins "développées" par les sociétés éditrices elles-même, hein... Bon, non mais !
avatar Moonwalker | 
@oniiychan : je n'irais jamais jusque là. Disons qu'ils profitent d'un bon filon universel = la peur. OpinionSpy n'est que nouvelle version du célèbre PremierOpinion. Ce qui me désole dans cette affaire, c'est le peu ou pas de réactivité de MacUpdate et VersionTracker face au signalement des utilisateurs. Rappel : on n'est jamais à l'abris de rien quelque soit l'OS. Il faut se défier autant des marchands de peur que d'un faux sentiment de sécurité.
avatar youpla77 | 
Qu'apple commence déjà à activer le firewall par défaut dans leur OS, ce sera déjà ça....
avatar oniiychan | 
[b]@Moonwalker[/b] "Disons qu'ils profitent d'un bon filon universel => la peur" Ce qui est déjà grave en soit... :( Le gros problème vient aussi de l'utilisateur, qui, même ayant remarqué une infection de sa machine, s'en soucie comme de sa première galoche - Du moment que son ordi démarre, redémarre et qu'il peut toujours lancer son MSN :))) Bon là je suis volontairement mauvais, mais ça m'amuse en cette fin de journée
avatar oniiychan | 
[b]@Luisdeejay[/b] Voilà le genre d'info que l'on reverra si "Apple doit s'ouvrir au milieu de gamme". Je ne vois pas vraiment le rapport... Un PC à 400 euros n'est pas forcément moins bien protégé qu'un PC à 1000 euros.... Il en va de même pour les MAC non ? Mon ancien MB blanc ne courrait pas plus de risque que mon nouveau MPB ou mon IMAC... De base, il faut arrêter de confondre l'OS et la bécane...
avatar Brewenn | 
Je suis persuadé que tous les donneurs de leçons se feraient avoir comme des gamins, si un indélicat prenait la main sur un utilitaire ayant très bonne réputation dans le monde Mac et qui réclame le password admin pour commencer ses procédures. Mais bourré d'orgueil qu'ils sont, ils ne viendraient pas s'en vanter en ces lieux.
avatar sambucus | 
@Moonwalker Avec justesse, @joelcro traduit en mots simples le sens de ce type d'événements. Le problème, c'est que la formulation utilisée par ces délinquants est totalement perverse et l'utilisateur lambda n'est pas formé pour dépister la perversion. En principe, nous avons tendance à faire à priori un peu confiance en nos interlocuteurs, sinon c'est la désespérance. De fait, chacun de nous n'est pas en état de vigilance permanente. Il en résulte qu'il y a une grande inégalité face à ce type d'agression. Ce n'est pas qu'une question de bon sens. Il faut une alerte qui déclenche la bonne réaction, celle de bon sens ou celles plus techniques que vous développez avec à propos et sollicitude. Vous êtes une personne très avertie de tout ce qui touche l'informatique et Mac OS X en particulier. Pourtant, l'utilisateur lambda, même s'il a débuté sur un MacPlus et Mac OS 4.0, n'est pas forcément familier de vos explications pourtant pertinentes et de surcroît mesurées. J'ai essayé LittleSnitch sur votre recommandation. J'avais des alertes constantes dont je ne comprenais pas un traitre mot tellement c'était abscons. Alors, j'en suis venu à Intego. Quant à utiliser certaines fonctions, je laisse la programmation de base et basta. J'éprouve un peu plus de sécurité. Mais lorsque je lis sur les forums, les commentaires de chacun lorsqu'il est question de sécurité, j'ai l'impression d'être idiot. Aujourd'hui, je trouve que @bugman pose une question pertinente, quoique je ne sois pas sans savoir que d'ici à ce qu'il y ait une police du net qui soit active contre ce type de délinquance, il y aura encore pas mal de victimes qui en plus auront peut-être le sentiment d'être coupables d'être des victimes, parce qu'ils n'ont pas su être à la hauteur. C'est dire si c'est pervers. Question tout de même : vaut-il la peine d'ouvrir 1) un compte root, bardé d'un mot de passe complexe; 2) un compte administrateur utilisé pour les (dés-)installations; 3) un compte normal ?
avatar Moonwalker | 
Tu n'as pas à activer l'utilisateur root. Au contraire, il faut le laisser reposer en paix. Il faut savoir qu'en tant qu'administrateur de ta machine, tu es un root-admin en puissance. A chaque fois qu'on te demande ton mot de passe, c'est cette puissance qui est requise. Par conséquent, tu ouvres grandes les portes de ton OS. Un programme ne peut outre-passer tes propres droits. Un compte Standard limite le risque de casse. Le compte administrateur ne devrait servir qu'à l'administration. La force de Mac OS X, c'est son apparente simplicité. La faille de Mac OS X c'est aussi cette apparente simplicité. En réalité, il s'agit d'un Unix complexe qui répond à toutes les lois du genre. Il est sûr si on sait s'en servir et qu'on connait ses lois. Le temps de MacOS est révolu depuis longtemps, il faut lire le manuel et bien plus. C'est à mon avis le vrai grand mensonge d'Apple. MacOS est mort, le temps du Macintosh des années 80-90 est mort. Le Finder est un menteur. "Je ne connais rien à l'informatique, donc j'ai un Mac" est amusant mais totalement aberrant. La réalité, c'est que vous avez une NeXTStation camouflée en Macintosh.
avatar P'tit Suisse | 
@Moonwalker Merci pour ces infos précises. @sambucus D'autres le diront mieux que moi : 1 ) Il faut absolument désactiver le compte root. 2) Il est préférable de travailler sur un compte administrateur offline. 3) Le compte standard sert à la navigation Internet (avec coupe-feu, mémoire virtuelle sécurisée et mode furtif).
avatar JPTK | 
RAF :o)
avatar aresis | 
Mais alors, une question : Si j'utilise un compte standard, en pratique, comment cela se passe-t-il ? Dès que j'ai besoin d'installer etc je repasse en compte admin ? Et puis ensuite, je re change de session pour les utiliser ? J'avoue ne pas comprendre... du tout comment cela se passe en pratique. Si quelqu'un veut bien m'expliquer svp..?! (Ma copine est sur mac, mais moi, il reste encore 4-5 jours avant que je ne reçoive mon premier...)
avatar Anonyme (non vérifié) | 
- Evidemment, Intego indique que VirusBarrier X5 et X6 sont capables de repérer et neutraliser OSX/OpinionSpy . -

Pages

CONNEXION UTILISATEUR