Malware : le Mac face à sa première crise majeure ?

Christophe Laporte |



Le Mac a-t-il connu sa première crise "majeure" en matière de sécurité avec Flashback ? Les déclarations de Docteur Web, l'éditeur russe d'antivirus, ont mis le feu aux poudres. D'après ses dires, ce malware aurait trouvé refuge sur plus de 600 000 ordinateurs estampillés d'une pomme.


Une "première" bien malheureuse qui suscite de la méfiance avec cette question en toile de fond : l'éditeur a-t-il manipulé les chiffres pour se faire un peu de publicité ?

Igor Soumenkov de Kaspersky vole au secours de son confrère. Suite à ces déclarations, l'éditeur de sécurité a également étudié la propagation de la dernière variante de Flashback (aussi baptisé Flashfake) : Trojan-Downloader.OSX.Flashfake.ab. Ce dernier prend la forme d'un applet Java, qui essaie de berner l'utilisateur en lui proposant d'installer une mise à jour d'Adobe Flash Player.

Bien entendu, au lieu de télécharger et installer le module d'Adobe, l'applet installe en douce le cheval de Troie qui entre alors immédiatement en contact avec un serveur distant dont il attend les instructions. Le composant installé est capable d'en télécharger d'autres et de les exécuter. Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit.

C'est la communication entre le trojan et ses bases qui a permis à Docteur Web et à Kaspersky de donner une estimation du nombre de Macintosh touché par Flashback. Igor Soumenkov explique que ses équipes ont fait de la rétroconception de l'algorithme permettant à Flashfake de communiquer avec des serveurs distants.

Pour se connecter à son "maître", le malware utilise des noms de domaine. Ces derniers sont générés à l'aide de deux algorithmes. Le premier est basé sur la date du jour. Le second est conçu à l'aide de plusieurs variables qui sont chiffrées à l'intérieur du trojan.

Une fois l'algorithme décortiqué, Kaspersky a enregistré le nom de domaine relatif au 6 avril et a enregistré les différentes requêtes qui lui ont été faites par les ordinateurs infectés. Le nom de domaine en question est : krymbrjasnof.com. À titre d'information, ce nom de domaine a été déposé le 5 avril.

Les conclusions de Kaspersky sont très proches de Dr. Web. En moins de 24 heures, le serveur a reçu 620 000 connexions de bots. Kaspersky rappelle que chaque bot possède un identifiant unique, ce qui lui laisse à penser que son estimation est relativement précise.



En matière de propagation géographique, les conclusions de Kaspersky sont également similaires à celles de son confrère. Les États-Unis sont le principal pays touché avec plus de 300 000 IP. On trouve ensuite le Canada, le Royaume-Uni et l'Australie.



Seul point d'interrogation pour Kaspersky : les ordinateurs qui se sont connectés à ses serveurs sont-ils bien des Mac ? L'éditeur de sécurité a basé ses estimations sur les en-têtes laissés par le bot lors de chaque connexion.




Cette donnée peut être aisément manipulée, mais non seulement les concepteurs de ce Cheval de Troie n'ont aucun intérêt à le faire et d'autre part, la faille utilisée a été bouchée sur les autres plates-formes il y a plusieurs mois.

600 000 Mac infectés ? À titre de comparaison, Apple a vendu l'année dernière près de 18 millions d'ordinateurs. En fonction des estimations, le parc de Macintosh encore en activité oscille entre 45 millions et 75 millions d'unités.

On pourra toujours mettre en doute la position de Kaspersky, mais une chose est certaine, si cette histoire est avérée, Apple paie là son incroyable laxisme en matière de sécurité concernant Java. Oracle a publié un correctif réglant cette faille de sécurité qualifiée de critique à la mi-février. Il a fallu attendre près de deux mois avant que la firme de Cupertino propose le sien (lire aussi Nouvelle mise à jour Java pour OS X [MàJ]).

Ce n'est pas la première fois qu'Apple joue avec le feu au sujet de Java. En 2009, elle avait réglé une faille assez grave avec quasiment sept mois de retard sur les autres (lire : Java sur Mac se traine des failles depuis six mois).

Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom.

La situation à l'avenir devrait toutefois s'arranger. Suite à un accord intervenu entre Apple et Oracle (lire : Java : un accord entre Apple et Oracle), Java SE 7, la prochaine version majeure de Java, ne sera plus distribuée par Apple, mais directement par Oracle. Une première developer preview de JDK 7 pour Mac OS X est déjà disponible au téléchargement depuis plusieurs mois (lire : Java : Oracle clarifie ses plans pour Mac et lorgne sur iOS).

Cette affaire de Cheval de Troie intervient alors que les chercheurs en sécurité avaient tendance à distribuer les bons points à l'élève Apple ces derniers mois, aussi bien au sujet d'iOS que d'OS X. Dans un sens comme dans un autre, les choses en matière de sécurité peuvent aller très vite…

Sur le même sujet :
- L'incroyable business des failles de sécurité
- Flashback : Office 2004 et utilitaire de détection
avatar ziggyspider | 
Pas sûr que supprimer Java et Flash suffise. Il faudrait carrément supprimer tout accès à internet sauf l'Apple Store et le MacApp Store … Et si ça ne suffit pas, supprimer l'élément le plus dangereux, celui qui est entre la chaise et le clavier !
avatar dahu_s | 
@Apple92 +1 Win 7 64bits avec un i7 quadcore à 2.8Ghz avec un anti virus je ne vois aucune différence .... SSD en plus donc moins de 60 sec entre l'allumage du PC et l'arrivée sous le bureau complètement chargé
avatar Gagolak | 
Les gens surfent sur des sites de merde et voient la soit disant install qui apparaît et cliquent continuer... C'est normal aussi de filer tes clés de bagnole à des inconnus^^ Rien de comparable aux saloperies qui se rependent toutes seules sur un PC sans antivirus ;-)
avatar daito | 
La rédaction a beau le tourner dans tous les sens mais là où Mac4ever sont restés à juste titre modéré sur cette affaire, MacG s'engouffre dans la brèche de l'emballement médiatique et du sensationnel à désir de rentabilité en titrant la news "le Mac face à sa première crise majeure ". Comme d'habitude je dirais surtout au vu de la bibliographie de l'auteur de cette news. Mis à part ça, on a là encore du brouhaha médiatique et je dirais un coup de génie de l'éditeur (russe) d'anti-virus qui a révélé l'affaire. Ce n'est pas la première fois qu'un éditeur d'anti-virus essaie de caresser le Macusers en lui brandissant la peur du virus ou du malware pour vendre ses solutions de protection mais cet éditeur inconnu jusqu'à maintenant a eu la bonne idée de faire peur avec UN CHIFFRE : le chiffre de nombre de MacUsers touchés par le malware. Un chiffre que personne ne vérifie réellement mais peu importe, la sauce a pris, tous les média se sont jetés sur l'info et on a eu droit à une déferlante d'âneries en tout genre. Dans tous les cas, l'opération "com" de cet éditeur russe sorti de nul part a réussi. En l'occurrence la plupart des médias, toujours avide d'affaire liée à Apple, ont complètement occulté plusieurs points qui bien sûr montrent que toute cette affaire relève plus du pétard mouillé : - On parle souvent de ce Flashback comme un virus (dans les commentaires de cette news aussi) alors que c'est un Cheval de Troie qui donc s'installe par décision de l'utilisateur et qui ne se propage pas, contrairement aux nombreux virus qui font la joie des utilisateurs PC. - Le chiffre d'utilisateurs touchés est de 600000. À la fin de l'année dernière (keynote d'Octobre 2011) Tim Cook a évoqué un parc installé de Mac de 58 millions de machine. En d'autres termes, ce cheval de Troie aurait touché un peu plus de 1% des utilisateurs.....OK..... - Les médias n'ont aussi jamais évoqué le fait que la composante tierce Java n'est plus installée par défaut sur Mac.
avatar daito | 
"Rarement lu un tel ramassis de stupidités. J 'ai un MBP et un pc Windows 7 core i7. Je peux te dire que mon windows 7 laisse mon dual core Mac sur place... Donc arrêtez de sortir des âneries de personnes contaminés par le marketing Apple." Toi aussi question âneries tu te défends bien. Car comparer un MBP avec un Core2duo et un PC core i7 (deux générations de proc différentes), c'est juste pas très honnête pour défendre ton argument (ou contredire un autre).
avatar Anonyme (non vérifié) | 
@ lightup : L'UAC hurle quand il considère que l'icône n'est pas personnelle (en général quand elle est public). Mais bon il vaut mieux perdre un peu de temps et sécuriser au maximum son système. C'est comme me dire "Je ne ferme pas ma voiture car il faut faire une manoeuvre de poignet en plus pour que je rentre dedans". L'UAC c'est à l'image de la serrure, c'est pas fait pour faire joli... @ laurent s from nancy : Pas plus que les autres... Quand tu vois l'état des PC chez le gens en général, tu pleurs... Anecdote assez sympa mais il suffit de voir Chrome et le nombre de gens qui ne savent pas qu'ils l'ont installé et qu'ils l'utilisent.
avatar liocec | 
@Kelv : '"Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine...." Hahaha, il y en a qui devraient sortir de leur grotte.' Je confirme pourtant mes propos, c'est toi qui devrais prendre un MacBook air et tu vas pleurer juste 18 sec plus tard en t'apercevant de ton ignorance. Il est 4 à 5 fois plus rapide à usage identique qu'une machine quasi identique avec seven et un antivirus + un parfeu. Et je te parle pas de la mise en veille / hors veille... Et j'ai juste un parc de 5 PC dont 2 pour gamer et 1 Mac pro, donc je peux comparer facilement !
avatar noooty | 
@karayuschij : c'est peut-être lui l'auteur... Il lui a juste suffit de mettre un compteur sur son serveur virulent....
avatar liocec | 
@Apple92 : 'J 'ai un MBP et un pc Windows 7 core i7. Je peux te dire que mon windows 7 laisse mon dual core Mac sur place... ' Déjà mbp de quand, et Pc de quand ? Les 2 sont des portables, parce qu'une tour n'a pas les mêmes limites de consommation, etc... Quels cpu, quelles vitesses, combien de mémoire ? SSD, disque dur, 5400, 7200 tr/mn... Comparons se qui est comparable.... T'as mis quoi comme protection ? Quel antivirus, quel parfeu ?
avatar noooty | 
@viksilver : tu vas sur utilitaire, tu corrigés les permissions de tes disques, et tu vérifies s'il faut réparer les disques, interne et timemachine... Si ça continue, sert toi d'onyx...
avatar noooty | 
@lightup : c'est quoi un uac?
avatar Anonyme (non vérifié) | 
@noooty : L'uac c'est du Windows. Pour faire simple, quand tu veux faire une tâche qui va écrire/modifier dans certains endroits spécifiques, tu vois une fenêtre "Vous être vraiment sûr?". En profondeur c'est totalement différent mais dans l'utilisation sa ressemble un peu à SUDO sur Ubuntu (les distributions Linux qui l'intègrent et Mac je crois). Dans le fichier sudoers est écrit pour que l'utilisateur s'il invoque "sudo" utilise le système en tant que root (administrateur) alors que par défaut il n'est qu'un utilisateur (il ne peut pas installer de logiciels, mettre à jour le système,...). Le mécanisme est différents mais le concept est plus ou moins le même où le 1er utilisateur créé n'a aucun pouvoir d'administrateur mais à ce petit truc en plus qui le rend proche de dieu sur sa machine sauf modifications volontaires :p.
avatar Jeff Tremblay | 
Je garde un doute sur le sérieux de ces affirmations concernant le nombre d"ordinateurs infectés. 94 625 pour le Canada, c'est un chiffre énorme, vraiment énorme.
avatar Apple92 | 
À tous ceux hargneux qui m'attaquent; j'explique juste que w7 est hyper réactif donc arrêtez la mauvaise foi.
avatar Anonyme (non vérifié) | 
Solution : - désactiver Java dans Safari - remplacer FlashPlayer par l'extension YouTube5 pour safari ...et le tour est joué
avatar Soner | 
@Jcale : Solution : Éteindre son Mac. Et le tour est joué.
avatar Florian Innocente | 
[b] @ lyon3 : Peut être y a t'il un juste milieu entre "il ne se passe rien" et "crise majeure" comme est titré l'article. [/b] On peut discuter sur le titre (parfois on rame pour trouver un titre qui colle bien, et on y arrive pas toujours). Encore que là, il n'est peut-être pas si hors jeu que ça. [b] Vous auriez éventuellement pu saluer l'idée d'Apple, qui est de ne plus installer par défaut des composants inutiles pour le grand public et qui sont sources de problèmes.[/b] Ainsi que c'est écrit vers la fin de l'article… mais il fallait aller jusque là :-)
avatar linky-monky | 
J'ai un pote qui est infecté, comment faire pour le désinstaller ?
avatar lmouillart | 
@Apple92 Certes, Mac OS X SL, Lion et ML est plus lent sur les accès en mémoire, les accès disques, le calcul cpu, gpugpu, traitement gpu qui font que Windows 7 64bits est plus rapide et plus réactif. Les utilisateurs de produit Apple ne cherchent pas la performance, ni même d'avoir le système le plus réactif mais un système plutôt joli et bien pensé.
avatar Anonyme (non vérifié) | 
@Soner Pas con...
avatar liocec | 
@Apple92 : 'À tous ceux hargneux qui m'attaquent; j'explique juste que w7 est hyper réactif donc arrêtez la mauvaise foi.' Mais on ne t'attaque pas, on défend avec force nos idées, bon parfois ça dérape un peu, désolé...
avatar Mac Mac | 
Pas de doute. On est à windaube-land.
avatar Apple92 | 
@lmouillart : '@Apple92 Certes, Mac OS X SL, Lion et ML est plus lent sur les accès en mémoire, les accès disques, le calcul cpu, gpugpu, traitement gpu qui font que Windows 7 64bits est plus rapide et plus réactif. Les utilisateurs de produit Apple ne cherchent pas la performance, ni même d'avoir le système le plus réactif mais un système plutôt joli et bien pensé.' Oui mais je n'ai pas dit qu'ils cherchaient la performance, je dis juste: arrêtez de raconter n'importe quoi sur Windows. Il y a un point commun entre les utilisateurs Mac os et GNU/Linux: une mauvaise foi évidente et un discours partisan. Pour info: j'utilise massivement les 3 os.
avatar GrudeBruk | 
Faut arrêter les conneries, ce n'est pas l'utilisation d'un OS plus qu'un autre qui vous mettra à l'abris. Le maillon faible est la crédulité des gens et leurs propension à faire confiance, que ce soit par ignorance ou laxisme. Les antivirus ont toujours existé, autant sur Mac OS, Linux que Windows. Les utilisateurs Windows ont pour avantage d'être beaucoup plus/mieux préparé et d'avoir beaucoup plus d'outils pour lutter contre la vermine (les éditeurs étant aussi beaucoup plus prompt pour colmater une faille), quand le Macuser se sent lui intouchable et n'ira pas chercher plus loin. Il faut aussi arrêter les clichés: Windows ça rame, tu chope tout les virus,trojan, spyware, malware du monde ... La moindre opération prend 3 plombes ... et tout les autres clichés du genre et ils sont nombreux. Ce qui pourri Windows, ce sont les fabriquants qui rajoutent toute leurs daubes logicielles, surcouche, shareware .... Perso je suis un gros utilisateur de Thinkpad sur lesquels je me fais systématiquement une installation propre de Windows et en installant que les soft dont j'ai besoin, ces machines sont des tueries.(puissance, stabilité, fiabilité) Elles l'étaient du temps d'IBM, elles le sont toujours avec Lenovo. J'ai abandonné Apple car j'en avais assez de payer deux fois plus cher du matos limite obsolète sous prétexte de design. Et puis OSX chie sérieux dans la colle sur un réseau hétérogène.
avatar bigham | 
@karayuschij: C'est expliqué dans l'article. Paragraphe 5-7
avatar Kelv | 
"Je confirme pourtant mes propos, c'est toi qui devrais prendre un MacBook air et tu vas pleurer juste 18 sec plus tard en t'apercevant de ton ignorance. Il est 4 à 5 fois plus rapide à usage identique qu'une machine quasi identique avec seven et un antivirus + un parfeu. " Je vois pas en quoi ça justifie le ridicule de la remarque. Moi aussi j'ai eu le loisir d'avoir tout un tas de machine et je me permets pas de faire un jugement aussi simpliste et général.
avatar Azety | 
rien qu'en voyant l'interface du truc y'a de quoi avoir la puce à l'oreille.
avatar stravinsky | 
http://tempsreel.nouvelobs.com/video/xpxwww.VID/etats-unis-des-orang-outans-equipes-d-ipad.html Apparemment, ils sont venus en force défendre leur marque préférée sur Macdégénération. Je salue bien bas ces nouveaux utilisateurs qui représentent parfaitement le client Apple....
avatar Laurent S from Nancy | 
@Kelv : Si le Macbookair est plus rapide, c'est peut-être aussi grâce à son système de stockage entièrement flash...
avatar Cowboy Funcky | 
@ stravinsky T'as raison, à toi, on ne prêterait pas un iPad...
avatar Mithrandir | 
@Apple92 : Ben moi c'est l'inverse comme quoi. Mon MacBook de base est bien plus rapide que mon PC portable de la mort sous 7.
avatar Caleros | 
Je me demande encore ce que font autant d'utilisateurs Windows sur MacGé...
avatar expertpack | 
@Caleros : ils troll, car les virus sont l'affaire de tous. Moins de machine = moins de virus
avatar Frodor | 
Chrome n'integre-t-il pas un équivalent à Flash et Java, pour pas que nous ne les installions ?
avatar subsole | 
@Frodor, C'est pire qu'avec Safari. Adobe Flash Player est intégré à Google Chrome et activé par défaut. Les mises à jour disponibles pour ce plug-in sont automatiquement intégrées à celles de Chrome. Pour Java c'est exactement comme sur Safari, on l'installe si on en a besoin. @A "certains autre", évitez les amalgames ! Pour information dans le cas ce malwre, ce n'est pas Flash qui est en cause mais, les utilisateur qui téléchagent un malware qui se fait passé pour Flash : Rien n'est possible si l'on a pas l'excellente idée de mettre à jour/télécharger le Player Flash à partir de n'importe quels sites de stream, boules et hack, plutôt que depuis le site de l'éditeur Adobe
avatar subsole | 
Suite, et fin ;-) D'une manière générale, il est absolument nécessaire de faire les Màj de vos applications/drivers/plugs directement à partir des sites des éditeurs (AppStore, etc)/développeurs, à partir de liens que vous aurez trouvés vous même, aidés par vos petits doigts et Google et mis en signets, et non en cliquant comme un bourrin sur un lien"proposer""n'importe ou"
avatar nogui | 
@Apple92 "À tous ceux hargneux qui m'attaquent; j'explique juste que w7 est hyper réactif donc arrêtez la mauvaise foi." Soigner le mal par le mal alors ? Franchement , dans ton 1er commentaire, j'ai hésité , puis je me suis dis : Non ,il fait exprès sur ce coup la , c'est pour dénoncer les conclusions à l'emporte pièce .... Ben non , même pas :-( Avoues que ta comparaison ne vaut pas un clou quand même ... Non ? Si je dis qu'un iMac i7 sous SL dépasse un Pentium sous vista , tu vas dire quoi ? Quand on dit une connerie , faut l'avouer parfois .. ;-)
avatar nogui | 
@stravinsky "Je salue bien bas ces nouveaux utilisateurs qui représentent parfaitement le client Apple...." Jaloux qu'ils aient un QI supérieur au tien ? Toi au milieu je suis sur qu'on te distinguerai pas ;-)
avatar nogui | 
@lmouillart "Certes, Mac OS X SL, Lion et ML est plus lent sur les accès en mémoire, les accès disques, le calcul cpu, gpugpu, traitement gpu qui font que Windows 7 64bits est plus rapide et plus réactif." En fonction de quoi ? Que quelle machine ? Marrant ça comme tu deviens vague quand ça t'arranges .. Tu racontes un peu n'importe quoi la ... Toi le défenseur d'unix en plus ? MDR Un apéro trop sévère ? ;-D "Les utilisateurs de produit Apple ne cherchent pas la performance, ni même d'avoir le système le plus réactif mais un système plutôt joli et bien pensé." Windows plus réactif que MacOSX ? Bon aller un café salé je vois que ça .....
avatar Wolf | 
N'empeche que c'est 2 Popoff qui ont sonné l'alerte. D'ici qu'ils soient à l'origine du problème, y'à pas loin.
avatar Steeve J. | 
@wolf : + 10000 En plus Dr Web n'a vraiment pas une bonne réputation et personne ne le dis.
avatar Dwigt | 
@ Daito On parle parfois de virus par amalgame, mais dans le cas présent c'était devenu le terme adapté. En février, des trous de sécurité ont été découverts dans Java et aussitôt patchés par Oracle. Début avril, les éditeurs d'antivirus ont découvert une nouvelle variante de Flashback, exploitant les failles découvertes en février. Ces failles permettaient en fait l'exécution du code sans qu'un mot de passe ait été demandé, par simple visite d'une page. Donc ce qui était au départ un trojan est désormais un virus. Ce sont ces failles-là qui ont enfin été corrigées par les mises à jour de Java fournies enfin par Apple.
avatar iJack | 
"Non il semblerai que desormais, le virus ait muté et ne demande plus de mdp, il exploite juste une faille dans la machine virtuelle java, faille comblé si vous avez fait vos mises à jours depuis le 3 avril." Raison de plus de ne pas être ADM de sa machine, mais simple utilisateur. Dans ce cas, le malware en question ne peut obtenir le compte ADM ou ROOT par magie, puisqu'il hérite du droit de simple user/surfer. Il est donc OBLIGE de demander un compte ADM ou ROOT, avec le bon mot de passe associé, pour pouvoir agir (si je dis une connerie, ne vous gênez pas :). Dommage que ce ne soit pas proposé par défaut, et personne ici n'a évoqué cette possibilité :( Certes le malware ne se gênera pas de demander un user/pw à l'utilisateur, mais ça ne se passera pas dans son dos...
avatar karayuschij | 
@ bigham Merci, ça m'avais échapé ;)
avatar lightup | 
En tout cas, ce n'est pas la faute d'OS X, mais de l'utilisateur et/ou de Java
avatar spae0899 | 
Etrange que ce soit uniquement des pays anglophones.... Etrange également que ce soit le fameux Dr Web qui ai découvert cela. Ce ne serait pas lui qui oeuvre pour une solution antivirale pour PC et Mac ? De la à dire qui il en est pour qq chose, j'en pense pas moins !
avatar Mabeille | 
@spae0899 un grand classique ton commentaire, il n'empêche qu'il n'est pas très malin.
avatar Philactere | 
@spae0899 : 'De la à dire qui il en est pour qq chose, j'en pense pas moins !' Oui c'est bien connu, tous les médecins inoculent des virus à leurs patients pour avoir du boulot et les carrossiers rayent systématiquement les voitures parquées dans la rue.
avatar Mabeille | 
@Soner enfin le soucis c'est peut être justement qu'Apple livre Java elle même. Pourquoi ne pas laisser faire Oracle?
avatar daito | 
@Dwigt, Oui c'est vrai, la dernière forme de Flashback pouvait s'installer sans l'intervention de l'utilisateur et sans entrée de mot de passe, ce qui est une première sur Mac lol. (mais si j'ai bien compris, après la première infection il demandait le mot de passe administrateur pour pouvoir entrer plus profondément dans le système). Mais, à mon sens ce n'est toujours pas un virus dans la mesure où ce malware, une fois dans le Mac, ne se propage pas......il me semble.

Pages

CONNEXION UTILISATEUR