Malware : le Mac face à sa première crise majeure ?

Christophe Laporte |



Le Mac a-t-il connu sa première crise "majeure" en matière de sécurité avec Flashback ? Les déclarations de Docteur Web, l'éditeur russe d'antivirus, ont mis le feu aux poudres. D'après ses dires, ce malware aurait trouvé refuge sur plus de 600 000 ordinateurs estampillés d'une pomme.


Une "première" bien malheureuse qui suscite de la méfiance avec cette question en toile de fond : l'éditeur a-t-il manipulé les chiffres pour se faire un peu de publicité ?

Igor Soumenkov de Kaspersky vole au secours de son confrère. Suite à ces déclarations, l'éditeur de sécurité a également étudié la propagation de la dernière variante de Flashback (aussi baptisé Flashfake) : Trojan-Downloader.OSX.Flashfake.ab. Ce dernier prend la forme d'un applet Java, qui essaie de berner l'utilisateur en lui proposant d'installer une mise à jour d'Adobe Flash Player.

Bien entendu, au lieu de télécharger et installer le module d'Adobe, l'applet installe en douce le cheval de Troie qui entre alors immédiatement en contact avec un serveur distant dont il attend les instructions. Le composant installé est capable d'en télécharger d'autres et de les exécuter. Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit.

C'est la communication entre le trojan et ses bases qui a permis à Docteur Web et à Kaspersky de donner une estimation du nombre de Macintosh touché par Flashback. Igor Soumenkov explique que ses équipes ont fait de la rétroconception de l'algorithme permettant à Flashfake de communiquer avec des serveurs distants.

Pour se connecter à son "maître", le malware utilise des noms de domaine. Ces derniers sont générés à l'aide de deux algorithmes. Le premier est basé sur la date du jour. Le second est conçu à l'aide de plusieurs variables qui sont chiffrées à l'intérieur du trojan.

Une fois l'algorithme décortiqué, Kaspersky a enregistré le nom de domaine relatif au 6 avril et a enregistré les différentes requêtes qui lui ont été faites par les ordinateurs infectés. Le nom de domaine en question est : krymbrjasnof.com. À titre d'information, ce nom de domaine a été déposé le 5 avril.

Les conclusions de Kaspersky sont très proches de Dr. Web. En moins de 24 heures, le serveur a reçu 620 000 connexions de bots. Kaspersky rappelle que chaque bot possède un identifiant unique, ce qui lui laisse à penser que son estimation est relativement précise.



En matière de propagation géographique, les conclusions de Kaspersky sont également similaires à celles de son confrère. Les États-Unis sont le principal pays touché avec plus de 300 000 IP. On trouve ensuite le Canada, le Royaume-Uni et l'Australie.



Seul point d'interrogation pour Kaspersky : les ordinateurs qui se sont connectés à ses serveurs sont-ils bien des Mac ? L'éditeur de sécurité a basé ses estimations sur les en-têtes laissés par le bot lors de chaque connexion.




Cette donnée peut être aisément manipulée, mais non seulement les concepteurs de ce Cheval de Troie n'ont aucun intérêt à le faire et d'autre part, la faille utilisée a été bouchée sur les autres plates-formes il y a plusieurs mois.

600 000 Mac infectés ? À titre de comparaison, Apple a vendu l'année dernière près de 18 millions d'ordinateurs. En fonction des estimations, le parc de Macintosh encore en activité oscille entre 45 millions et 75 millions d'unités.

On pourra toujours mettre en doute la position de Kaspersky, mais une chose est certaine, si cette histoire est avérée, Apple paie là son incroyable laxisme en matière de sécurité concernant Java. Oracle a publié un correctif réglant cette faille de sécurité qualifiée de critique à la mi-février. Il a fallu attendre près de deux mois avant que la firme de Cupertino propose le sien (lire aussi Nouvelle mise à jour Java pour OS X [MàJ]).

Ce n'est pas la première fois qu'Apple joue avec le feu au sujet de Java. En 2009, elle avait réglé une faille assez grave avec quasiment sept mois de retard sur les autres (lire : Java sur Mac se traine des failles depuis six mois).

Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom.

La situation à l'avenir devrait toutefois s'arranger. Suite à un accord intervenu entre Apple et Oracle (lire : Java : un accord entre Apple et Oracle), Java SE 7, la prochaine version majeure de Java, ne sera plus distribuée par Apple, mais directement par Oracle. Une première developer preview de JDK 7 pour Mac OS X est déjà disponible au téléchargement depuis plusieurs mois (lire : Java : Oracle clarifie ses plans pour Mac et lorgne sur iOS).

Cette affaire de Cheval de Troie intervient alors que les chercheurs en sécurité avaient tendance à distribuer les bons points à l'élève Apple ces derniers mois, aussi bien au sujet d'iOS que d'OS X. Dans un sens comme dans un autre, les choses en matière de sécurité peuvent aller très vite…

Sur le même sujet :
- L'incroyable business des failles de sécurité
- Flashback : Office 2004 et utilitaire de détection
avatar Kelv | 
"Je confirme pourtant mes propos, c'est toi qui devrais prendre un MacBook air et tu vas pleurer juste 18 sec plus tard en t'apercevant de ton ignorance. Il est 4 à 5 fois plus rapide à usage identique qu'une machine quasi identique avec seven et un antivirus + un parfeu. " Je vois pas en quoi ça justifie le ridicule de la remarque. Moi aussi j'ai eu le loisir d'avoir tout un tas de machine et je me permets pas de faire un jugement aussi simpliste et général.
avatar Azety | 
rien qu'en voyant l'interface du truc y'a de quoi avoir la puce à l'oreille.
avatar stravinsky | 
http://tempsreel.nouvelobs.com/video/xpxwww.VID/etats-unis-des-orang-outans-equipes-d-ipad.html Apparemment, ils sont venus en force défendre leur marque préférée sur Macdégénération. Je salue bien bas ces nouveaux utilisateurs qui représentent parfaitement le client Apple....
avatar Laurent S from Nancy | 
@Kelv : Si le Macbookair est plus rapide, c'est peut-être aussi grâce à son système de stockage entièrement flash...
avatar Cowboy Funcky | 
@ stravinsky T'as raison, à toi, on ne prêterait pas un iPad...
avatar Mithrandir | 
@Apple92 : Ben moi c'est l'inverse comme quoi. Mon MacBook de base est bien plus rapide que mon PC portable de la mort sous 7.
avatar Caleros | 
Je me demande encore ce que font autant d'utilisateurs Windows sur MacGé...
avatar expertpack | 
@Caleros : ils troll, car les virus sont l'affaire de tous. Moins de machine = moins de virus
avatar Frodor | 
Chrome n'integre-t-il pas un équivalent à Flash et Java, pour pas que nous ne les installions ?
avatar subsole | 
@Frodor, C'est pire qu'avec Safari. Adobe Flash Player est intégré à Google Chrome et activé par défaut. Les mises à jour disponibles pour ce plug-in sont automatiquement intégrées à celles de Chrome. Pour Java c'est exactement comme sur Safari, on l'installe si on en a besoin. @A "certains autre", évitez les amalgames ! Pour information dans le cas ce malwre, ce n'est pas Flash qui est en cause mais, les utilisateur qui téléchagent un malware qui se fait passé pour Flash : Rien n'est possible si l'on a pas l'excellente idée de mettre à jour/télécharger le Player Flash à partir de n'importe quels sites de stream, boules et hack, plutôt que depuis le site de l'éditeur Adobe
avatar subsole | 
Suite, et fin ;-) D'une manière générale, il est absolument nécessaire de faire les Màj de vos applications/drivers/plugs directement à partir des sites des éditeurs (AppStore, etc)/développeurs, à partir de liens que vous aurez trouvés vous même, aidés par vos petits doigts et Google et mis en signets, et non en cliquant comme un bourrin sur un lien"proposer""n'importe ou"
avatar nogui | 
@Apple92 "À tous ceux hargneux qui m'attaquent; j'explique juste que w7 est hyper réactif donc arrêtez la mauvaise foi." Soigner le mal par le mal alors ? Franchement , dans ton 1er commentaire, j'ai hésité , puis je me suis dis : Non ,il fait exprès sur ce coup la , c'est pour dénoncer les conclusions à l'emporte pièce .... Ben non , même pas :-( Avoues que ta comparaison ne vaut pas un clou quand même ... Non ? Si je dis qu'un iMac i7 sous SL dépasse un Pentium sous vista , tu vas dire quoi ? Quand on dit une connerie , faut l'avouer parfois .. ;-)
avatar nogui | 
@stravinsky "Je salue bien bas ces nouveaux utilisateurs qui représentent parfaitement le client Apple...." Jaloux qu'ils aient un QI supérieur au tien ? Toi au milieu je suis sur qu'on te distinguerai pas ;-)
avatar nogui | 
@lmouillart "Certes, Mac OS X SL, Lion et ML est plus lent sur les accès en mémoire, les accès disques, le calcul cpu, gpugpu, traitement gpu qui font que Windows 7 64bits est plus rapide et plus réactif." En fonction de quoi ? Que quelle machine ? Marrant ça comme tu deviens vague quand ça t'arranges .. Tu racontes un peu n'importe quoi la ... Toi le défenseur d'unix en plus ? MDR Un apéro trop sévère ? ;-D "Les utilisateurs de produit Apple ne cherchent pas la performance, ni même d'avoir le système le plus réactif mais un système plutôt joli et bien pensé." Windows plus réactif que MacOSX ? Bon aller un café salé je vois que ça .....
avatar Wolf | 
N'empeche que c'est 2 Popoff qui ont sonné l'alerte. D'ici qu'ils soient à l'origine du problème, y'à pas loin.
avatar Steeve J. | 
@wolf : + 10000 En plus Dr Web n'a vraiment pas une bonne réputation et personne ne le dis.
avatar Dwigt | 
@ Daito On parle parfois de virus par amalgame, mais dans le cas présent c'était devenu le terme adapté. En février, des trous de sécurité ont été découverts dans Java et aussitôt patchés par Oracle. Début avril, les éditeurs d'antivirus ont découvert une nouvelle variante de Flashback, exploitant les failles découvertes en février. Ces failles permettaient en fait l'exécution du code sans qu'un mot de passe ait été demandé, par simple visite d'une page. Donc ce qui était au départ un trojan est désormais un virus. Ce sont ces failles-là qui ont enfin été corrigées par les mises à jour de Java fournies enfin par Apple.
avatar iJack | 
"Non il semblerai que desormais, le virus ait muté et ne demande plus de mdp, il exploite juste une faille dans la machine virtuelle java, faille comblé si vous avez fait vos mises à jours depuis le 3 avril." Raison de plus de ne pas être ADM de sa machine, mais simple utilisateur. Dans ce cas, le malware en question ne peut obtenir le compte ADM ou ROOT par magie, puisqu'il hérite du droit de simple user/surfer. Il est donc OBLIGE de demander un compte ADM ou ROOT, avec le bon mot de passe associé, pour pouvoir agir (si je dis une connerie, ne vous gênez pas :). Dommage que ce ne soit pas proposé par défaut, et personne ici n'a évoqué cette possibilité :( Certes le malware ne se gênera pas de demander un user/pw à l'utilisateur, mais ça ne se passera pas dans son dos...
avatar karayuschij | 
@ bigham Merci, ça m'avais échapé ;)
avatar lightup | 
En tout cas, ce n'est pas la faute d'OS X, mais de l'utilisateur et/ou de Java
avatar spae0899 | 
Etrange que ce soit uniquement des pays anglophones.... Etrange également que ce soit le fameux Dr Web qui ai découvert cela. Ce ne serait pas lui qui oeuvre pour une solution antivirale pour PC et Mac ? De la à dire qui il en est pour qq chose, j'en pense pas moins !
avatar Mabeille | 
@spae0899 un grand classique ton commentaire, il n'empêche qu'il n'est pas très malin.
avatar Philactere | 
@spae0899 : 'De la à dire qui il en est pour qq chose, j'en pense pas moins !' Oui c'est bien connu, tous les médecins inoculent des virus à leurs patients pour avoir du boulot et les carrossiers rayent systématiquement les voitures parquées dans la rue.
avatar Mabeille | 
@Soner enfin le soucis c'est peut être justement qu'Apple livre Java elle même. Pourquoi ne pas laisser faire Oracle?
avatar daito | 
@Dwigt, Oui c'est vrai, la dernière forme de Flashback pouvait s'installer sans l'intervention de l'utilisateur et sans entrée de mot de passe, ce qui est une première sur Mac lol. (mais si j'ai bien compris, après la première infection il demandait le mot de passe administrateur pour pouvoir entrer plus profondément dans le système). Mais, à mon sens ce n'est toujours pas un virus dans la mesure où ce malware, une fois dans le Mac, ne se propage pas......il me semble.

Pages

CONNEXION UTILISATEUR