Flashback : Apple communique et passe à l'action

La redaction |
Après une période de silence, Apple commence à communiquer sur le malware Flashback/Flashfake, signe de l'importance de ce problème. Dans une fiche technique elle rappelle d'abord qu'elle a sorti une mise à jour de Java pour OS X 10.6 et 10.7 destinée à boucher la faille de sécurité exploitée par Flashback.

Apple ajoute qu'elle va mettre au point et distribuer un outil pour détecter et supprimer Flashback. Elle avait fait de même en juin dernier face au malware MacDefender. Si le principe est le même, cela passera par une mise à jour de la liste noire des malware, un annuaire intégré à OS X depuis Snow Leopard (lire Mac OS X : une nouvelle option antimalware).

Apple poursuit son explication en affirmant qu'elle travaille avec plusieurs fournisseurs d'accès à travers le monde pour désactiver le réseau de serveurs utilisés par les auteurs de ce malware. La note se conclut avec des explications pour désactiver Java dans Safari lorsqu'on est resté sur OS X 10.5 Leopard. Apple pousse la précaution jusqu'à pointer vers les mêmes explications chez Mozilla et Google pour leurs navigateurs respectifs.

Dr. Web, la société de Boris Sharov, qui avait la première alertée sur l'ampleur de l'infection par ce malware a expliqué hier à Forbes que son registar avait reçu une demande d'Apple pour fermer son domaine. Au prétexte qu'il faisait partie de ce noeud de serveurs utilisé pour diffuser et contrôler ce malware. Alors qu'il sert au contraire à induire le malware en erreur pour tenter de l'intercepter et comprendre son fonctionnement (nb : un spécialiste en sécurité nous confiait ce week-end qu'il utilisait des batteries de machines virtuelles OS X pour se faire passer pour des clients Mac standards, se faire contaminer et étudier ces malwares lorsque de nouveaux se manifestent).

Boris Sharov met cette action contre son site sur le compte d'une erreur de jeunesse. Cependant, elle met aussi en relief selon lui l'impréparation d'Apple lorsqu'il s'agit de travailler avec les firmes spécialisées dans le domaine : « Pour ce qui est de Microsoft, nous avons toutes les adresses des membres de l'équipe de sécurité alors qu'on ne connaît pas le groupe antivirus d'Apple ».

L'été dernier, Apple avait aussi réagi un peu brutalement vis-à-vis d'un chercheur connu, Charlie Miller, en supprimant son compte développeur lorsqu'il avait mis à jour une faille d'iOS 5 et en avait fait la démonstration dans une application soumise à l'App Store. Ce n'est que plus tard, une fois la faille corrigée, qu'Apple lui a attribué la partenité de la découverte, comme il est de tradition (lire Apple : mauvaise perdante avec Charlie Miller ? & iOS 5.0.1 : la faille découverte par Charlie Miller est corrigée).

Quoi qu'il en soit, Boris Sharov doute de l'efficacité à vouloir faire cesser les activités de ces serveurs alors que leur nombre est probablement important aujourd'hui. Il aurait fallu qu'Apple se saisisse de cette faille de sécurité dans Java bien plus tôt, explique-t-il, lorsqu'Oracle l'avait comblée en février dernier sur Windows. Aujourd'hui il s'agit pour Apple de rattraper le temps perdu et de préparer l'avenir en changeant certaines procédures.

Sur le même sujet :
- Malware : le Mac face à sa première crise majeure ?
- Flashback : 600 000 Mac infectés ?
avatar Steeve J. | 

@cowboy funcky :
Tiens ta réponse :

godofwar3.rr.nu
ironmanvideo.rr.nu
killaoftime.rr.nu
gangstasparadise.rr.nu
mystreamvideo.rr.nu
bestustreamtv.rr.nu
ustreambesttv.rr.nu
ustreamtvonline.rr.nu
ustream-tv.rr.nu
ustream.rr.nu

avatar thauron | 

PA5CAL :
C'est Apple, et non Oracle qui est fautif dans cette perte de temps -laxisme quasi criminel- concernant une MàJ corrigeant la faille de sécurité JAVA...
C'est Apple qui confond politique commerciale et sécurité quand elle limite l'application du patch à une version d'OS X supérieure à Leopard... Si Microchiotte avait limité l'application de ses patch comblant des trous de sécurité de ses OS à des version postérieures au 28 août 2009, on aurait crié au scandale ! Pour Apple, doit-on se taire et observer le silence souvent assourdissant de sa société informatique fétiche ? Non ! Je suis suis sur mac depuis 1992 et j'ai toujours voulu penser librement et différent !

avatar PA5CAL | 

@ hirtrey «2 mots : Oracle Février» : la semaine dernière j'ai téléchargé la version preview de Java 7 datée du 5 avril 2012 (b19) depuis le site d'Oracle.

Pour ne pas perdre le fil, je te rappelle qu'il est ici question de récupérer des versions que la mise-à-jour automatique d'Apple ne propose pas.

avatar Manueel | 

@TequilaPhone "C'est russe donc c'est malhonnête ?"
négatif (apprend à lire)
Le travail de Dr Boris Sharov coute très cher
Boris Sharov n'est pas un philanthrope
Comprendre qui et pourquoi cette dépense
et on saura qui on essaye d'arnaquer

avatar TequilaPhone | 

@Manueel
[quote]Le travail de Dr Boris Sharov coute très cher
Boris Sharov n'est pas un philanthrope
Comprendre qui et pourquoi cette dépense
et on saura qui on essaye d'arnaquer[/quote]
Source ?

avatar thauron | 

PA5CAL : Comment fait l'utilisateur lambda pour récupérer ta soit-disant version de JAVA ? Parce que sur le site de JAVA/Oracle, on a ça : http://www.java.com/fr/download/manual.jsp

Et une version à jour qui ne soit pas une preview et qui soit téléchargeable le jour où Oracle fait un correctif ???

avatar hirtrey | 

@PA5CAL: Tu es en train de mélanger pour mieux persuader. Les preview ne sont pas livré en standard avec OSX. Les prochaines versions OSX ne contiendront plus Java en standard mais pour l'instant c'est Apple qui livre et maintient Java sur sa plateforme et non Oracle.

Il n'y a aucune mise a jour sur le site d'oracle pour les versions livrées par Apple. Tout passe par Apple.

Quand je veux télécharger la version en cours (la 6 et non la 7 !!!!) sur le site d'oracle, il est mentionné :
"Apple fournit sa propre version de Java. Utilisez la fonction de mise à jour du logiciel (disponible dans le menu Apple), afin de vérifier que vous disposez de la version la plus récente de Java pour votre Mac." http://www.java.com/fr/download/manual.jsp#apple

avatar PA5CAL | 

@ thauron : si tu tiens à faire des comparaisons, Microchiotte a laissé béantes durant des années des failles de sécurité pourtant publiées, et le scandale a été plus que limité.

La vérité, c'est qu'on fait toute une montagne d'un problème dans le seul but de vendre des solutions qui, soyons honnête, n'ont qu'une efficacité toute relative.

Des failles, il y en aura, toujours et dans tous les systèmes. Il y en a aujourd'hui sûrement de nombreuses autres sur Mac, certaines connues, parmi lesquelles quelques-unes sont même peut-être déjà exploitées en silence, et d'autres inconnues, dont une partie que personne ne découvrira sans doute jamais. Elles peuvent être corrigées ou perdurer sans que le public n'en sache rien. Si les éditeurs voulaient vendre des logiciels parfaits, ils ne vendraient jamais rien. En tant que client, on le sait (ou du moins on devrait le savoir), et on fait avec.

Après, toute la question est de savoir, pour chaque acteur (éditeur, client, utilisateur, pouvoirs publics), quel est le niveau de la menace pour lui-même, et quels sont les moyens les mieux adaptés pour y faire face raisonnablement (parce que le remède ne doit pas être pire que le mal). La sécurité totale est impossible, et sa recherche n'est économiquement pas souhaitable.

Je suis particulièrement concerné par les questions de sécurité, personnellement et professionnellement, sur Mac et sur PC. Et pourtant l'apparent laxisme d'Apple ne me gêne pas outre-mesure. Tu noteras que ce sont les vendeurs de sécurité qui hurlent au loup le plus fort, certainement pas ceux qui sont effectivement en charge de l'assurer (professionnellement).

avatar PA5CAL | 

@hirtrey : ce n'est pas en te limitant aux pages "grand public" que tu trouveras quoi que ce soit. La totalité de Java pour Mac est disponible chez Oracle, particulièrement à destination des développeurs, ça c'est un fait. Ça permet d'avoir des versions plus récentes que celles proposées par la mise-à-jour d'Apple. Et on trouve aussi encore la version 6 sur leur site.

avatar hirtrey | 

Tu en as pas marre de raconter n'importe quoi ! Aucune version ou mise a jour pour java 6 OSX sur le site d'oracle. Donne moi un seul lien !!

Et oui je suis un utilisateur grand public, Apple ne vends pas spécialement au geek !

avatar lmouillart | 

Apple se fout royalement de la sécurité de la même manière que Microsoft se foutait royalement de la sécurité dans le année 90. C'est pas sexy, ça fait pas vendre puisque c'est le minimum demandé et c'est un gros centre de coût. Seuls les revers persistant forceront Apple à revoir sa stratégie et pas uniquement en proposant d'évoluer en prison sous prétexte que vivre à l’extérieur est dangereux.

avatar Vanton | 

@Le Chapelier :
Parce qu'il n'était pas arrogant Miller en balançant son app sur l'app store avant de fanfaronner ?

Y a pas qu'Apple qui a déconné dans cette histoire.

avatar Vanton | 

@legascon :
Ça a été repris par des médias plus importants et généralistes.

avatar lukasmars | 

@PA5CAL

J'ai rarement lu une succession de posts aussi décousus que les tiens, a quelle logique obeit ta pensée ?

Tu voulais quoi ? , exonérer Apple ? accabler Oracle ou les éditeurs d'anti virus ?

J'ai pas compris ta position sur le sujet qui pourtant fait consensus il me semble : Apple a encore beaucoup a apprendre sur la réactivité face aux failles de sécurité des logiciels tiers. Ce fait ne me semble pas discutable.

avatar Manueel | 

@lmouillart "Apple se fout royalement de la sécurité"

Je te croyais intelligent lmouillart.
Apple ne se fout pas royalement de la sécurité
Elle sait que c'est grâce au différentiel Windows/Mac qu'elle augmente ses parts de marché
Que ce soit sur Mac, sur Iphone ou sur Ipad, Apple est morte si elle se fait dépasser dans ce domaine essentiel.
Et ne crois pas qu'Apple l'ignore

avatar Steeve J. | 

@lukasmars :
Bien sur qu'Apple a des tords dans cette affaire mais tu avoueras qu'il y a encore beaucoup de non-dit et que la plupart des sites internet omettent de spécifier qu'il n'y aurait que 1% ou moins de Macs infectés, que ce malware existe déjà depuis 1 an, qu'il se retrouve principalement sur des sites pornographiques et des noms de domaines russes, qu'il n'y a pas marqué adobe flash player mais juste flash player dans son installateur etc.
D'ailleurs Open DNS bloque déjà les ordres du botnet et bloque son utilisation donc peut être même que Dr Web aurait pu l'anéantir directement mais la pub aurait eu moins de répercutions (pas certain ?)

avatar thauron | 

PA5CAL : Visiblement tu n'as pas compris mon intervention. Je parle de cette tendance qu'à Apple à confondre politique commerciale et sécurité... Je suis OK qu'aucun système ne soit pas 100% sûr. Cependant j'insiste sur le point qu'Apple fait des choix dangereux en ne permettant pas à des versions plus anciennes d'OS X d'accéder aux correctifs... de failles de sécurité !

avatar Apple92 | 

Apple is God.

avatar Trollolol | 

Steeve J
"D'ailleurs Open DNS bloque déjà les ordres du botnet et bloque son utilisation donc peut être même que Dr Web aurait pu l'anéantir directement"

Bloquer des noms de domaines et faire tomber les serveurs de C2 + ceux qui les gèrent, c'est pas la même chose. T'sais que même pour les méchants faut qu'un juge donne sont accord pour entrer et pouvoir saisir physiquement les machines, si les gens de chez Microsoft sont accompagner par des U.S. Marshals, des avocats, ... quand ils font des raids chez les vilains pirates US c'pas pour rien.

avatar Apple92 | 

Believe in God.

avatar Apple92 | 

Apple is good for you.

avatar Apple92 | 

Believe in what is good for you.

avatar Apple92 | 

Believe in and help people who help you. Believe in God, believe in one Apple.

avatar PA5CAL | 

@lukasmars:
« J'ai rarement lu une succession de posts aussi décousus que les tiens, a quelle logique obeit ta pensée ? » « Apple (...blabla...) Ce fait ne me semble pas discutable »

Je te rassure, d'autres que toi comprennent parfaitement ce que j'ai exposé ici, et beaucoup m'ont dit penser comme moi. Le problème, c'est certainement que je remets justement en cause ce qui n'est pas discutable pour toi.

J'ai clairement exposé mon point de vue sur l'affaire Flashback. L'acteur que je mets en cause dans mes commentaires, c'est la société Dr. Web sur laquelle porte principalement l'article. À mon sens, ses errements justifieraient pleinement la fermeture de ses sites. Il y a des limites à ne pas dépasser, quels que soient les prétextes invoqués.

Sur la problématique de sécurisation plus généralement, je pense qu'on tente de nous focaliser à dessein sur des points qui sont loin d'être les plus importants. Laxisme ? La faute à Apple ou à Oracle ? ... En fait, on s'en fout. On incrimine les uns ou les autres sans trop connaître la question, mené par le bout du nez par des margoulins qui cherchent à en tirer bénéfice. Si l'on veut réellement être protégé, on ne peut compter ni sur l'inviolabilité du système (ou la correction rapide des failles) ni sur l'efficacité d'un anti-virus. Les solutions sont ailleurs... la sécurité est un métier.

avatar PA5CAL | 

@ thauron : « Apple fait des choix dangereux en ne permettant pas à des versions plus anciennes d'OS X d'accéder aux correctifs... de failles de sécurité »

Dans le principe, je ne peux être que d'accord avec toi là-dessus (dans le détail, je me disais seulement que l'utilisateur pouvait tout de même faire un peu plus que ce qu'Apple proposait).

Je pousserai même la critique plus loin en dénonçant l'abandon par Apple de caractéristiques logicielles importantes des versions précédentes, qui rendent trop rapidement obsolètes des systèmes encore relativement récents. C'est l'un des problèmes qui m'avaient poussé à me détourner de Windows il y a quelques années (quand on avait une nouvelle version tous les deux ans, et 400 configurations différentes à maintenir simultanément), mais force est de constater qu'Apple semble aujourd'hui prendre la même voie.

Pages

CONNEXION UTILISATEUR