Malware : le Mac face à sa première crise majeure ?

Christophe Laporte |



Le Mac a-t-il connu sa première crise "majeure" en matière de sécurité avec Flashback ? Les déclarations de Docteur Web, l'éditeur russe d'antivirus, ont mis le feu aux poudres. D'après ses dires, ce malware aurait trouvé refuge sur plus de 600 000 ordinateurs estampillés d'une pomme.

Une "première" bien malheureuse qui suscite de la méfiance avec cette question en toile de fond : l'éditeur a-t-il manipulé les chiffres pour se faire un peu de publicité ?

Igor Soumenkov de Kaspersky vole au secours de son confrère. Suite à ces déclarations, l'éditeur de sécurité a également étudié la propagation de la dernière variante de Flashback (aussi baptisé Flashfake) : Trojan-Downloader.OSX.Flashfake.ab. Ce dernier prend la forme d'un applet Java, qui essaie de berner l'utilisateur en lui proposant d'installer une mise à jour d'Adobe Flash Player.

Bien entendu, au lieu de télécharger et installer le module d'Adobe, l'applet installe en douce le cheval de Troie qui entre alors immédiatement en contact avec un serveur distant dont il attend les instructions. Le composant installé est capable d'en télécharger d'autres et de les exécuter. Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit.

C'est la communication entre le trojan et ses bases qui a permis à Docteur Web et à Kaspersky de donner une estimation du nombre de Macintosh touché par Flashback. Igor Soumenkov explique que ses équipes ont fait de la rétroconception de l'algorithme permettant à Flashfake de communiquer avec des serveurs distants.

Pour se connecter à son "maître", le malware utilise des noms de domaine. Ces derniers sont générés à l'aide de deux algorithmes. Le premier est basé sur la date du jour. Le second est conçu à l'aide de plusieurs variables qui sont chiffrées à l'intérieur du trojan.

Une fois l'algorithme décortiqué, Kaspersky a enregistré le nom de domaine relatif au 6 avril et a enregistré les différentes requêtes qui lui ont été faites par les ordinateurs infectés. Le nom de domaine en question est : krymbrjasnof.com. À titre d'information, ce nom de domaine a été déposé le 5 avril.

Les conclusions de Kaspersky sont très proches de Dr. Web. En moins de 24 heures, le serveur a reçu 620 000 connexions de bots. Kaspersky rappelle que chaque bot possède un identifiant unique, ce qui lui laisse à penser que son estimation est relativement précise.



En matière de propagation géographique, les conclusions de Kaspersky sont également similaires à celles de son confrère. Les États-Unis sont le principal pays touché avec plus de 300 000 IP. On trouve ensuite le Canada, le Royaume-Uni et l'Australie.



Seul point d'interrogation pour Kaspersky : les ordinateurs qui se sont connectés à ses serveurs sont-ils bien des Mac ? L'éditeur de sécurité a basé ses estimations sur les en-têtes laissés par le bot lors de chaque connexion.




Cette donnée peut être aisément manipulée, mais non seulement les concepteurs de ce Cheval de Troie n'ont aucun intérêt à le faire et d'autre part, la faille utilisée a été bouchée sur les autres plates-formes il y a plusieurs mois.

600 000 Mac infectés ? À titre de comparaison, Apple a vendu l'année dernière près de 18 millions d'ordinateurs. En fonction des estimations, le parc de Macintosh encore en activité oscille entre 45 millions et 75 millions d'unités.

On pourra toujours mettre en doute la position de Kaspersky, mais une chose est certaine, si cette histoire est avérée, Apple paie là son incroyable laxisme en matière de sécurité concernant Java. Oracle a publié un correctif réglant cette faille de sécurité qualifiée de critique à la mi-février. Il a fallu attendre près de deux mois avant que la firme de Cupertino propose le sien (lire aussi Nouvelle mise à jour Java pour OS X [MàJ]).

Ce n'est pas la première fois qu'Apple joue avec le feu au sujet de Java. En 2009, elle avait réglé une faille assez grave avec quasiment sept mois de retard sur les autres (lire : Java sur Mac se traine des failles depuis six mois).

Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom.

La situation à l'avenir devrait toutefois s'arranger. Suite à un accord intervenu entre Apple et Oracle (lire : Java : un accord entre Apple et Oracle), Java SE 7, la prochaine version majeure de Java, ne sera plus distribuée par Apple, mais directement par Oracle. Une première developer preview de JDK 7 pour Mac OS X est déjà disponible au téléchargement depuis plusieurs mois (lire : Java : Oracle clarifie ses plans pour Mac et lorgne sur iOS).

Cette affaire de Cheval de Troie intervient alors que les chercheurs en sécurité avaient tendance à distribuer les bons points à l'élève Apple ces derniers mois, aussi bien au sujet d'iOS que d'OS X. Dans un sens comme dans un autre, les choses en matière de sécurité peuvent aller très vite…

Sur le même sujet :
- L'incroyable business des failles de sécurité
- Flashback : Office 2004 et utilitaire de détection
Tags
#sécurité #malware #flashback
avatar Orus | 
Tout l'illustration d'Apple qui ne s'occupe que de ses petites affaires, rejetant toujours les fautes sur les autres. Ainsi, il ne faudrait utiliser que du logiciel Apple. Ben voyons. Et toujours les mêmes qui lui trouves des excuses...
avatar Mabeille | 
en clair les mac users vont devoir faire comme les pc users .... mettre en place une réponse sécurisé. Je précise juste que le sanding box qui existe depuis Vista ne règle pas tout et loin s'en faut. Les éditeurs de programmes malveillants s'adaptent vite. Sa rapporte bcp d'argent? Oui? Ils contourneront tranquillement le sanding box et autres signatures Apple.
avatar lukasmars | 
@orus Oui mais c'est typique de Apple. Quand c’était Apple qui s'occupait des mises à jour de java, c’était encore pire et tu peux être certain qu'ils sont tellement arrogants qu'ils croyaient vraiment faire mieux que Sun !
avatar Laurent S from Nancy | 
Contrairement à ce que dit Wikipédia, je pense que les utilisateurs de mac sont au contraire beaucoup plus naïfs et font beaucoup moins attention à la sécurité de leur machine car ils se croient justement à l’abri de tout. Cet exemple est parlant...
avatar toucan39 | 
@orus C' est du buzz, rien que du buzz , d' un mec qui veut se faire des tunes, c' est du pipeau à 95 % Ça ne va pas m' empêcher de dormir.
avatar toucan39 | 
@Tomn C' est certain que Gate Keeper est une solution logique, même si tout le monde va râler, comme d' habitude.
avatar toucan39 | 
@mugu Soit tu fait n' importe quoi, soit tu veux te faire remarquer. Je suis Apple and Apple, je suis très Zen. Mais je fais attention, je n' installe n' importe quel truc pour voir.
avatar Gaolinn | 
Ben moi je risque rien, j'ai viré Flash depuis longtemp
avatar eTeks | 
Merci Apple d'avoir fait descendre la réputation de Java par négligence. Les développeurs Java apprécieront... Et à ceux qui croient qu'on peut se passer de Java, n'espérez pas que les développeurs qui sont prêts à supporter Mac OS X parce que leur programme est écrit en Java, font se mettre à le réécrire en Objective-C pour des prunes. Faut pas rêver quand même.
avatar mapiolca | 
Raison de plus de ne pas installer flash ou java !
avatar jipeca | 
Au bout du bout, ça fait longtemps que Oracle prévient Apple et se plaint se son laxisme. Java n'est pas en faute, ce qui est dangereux c'est la passivité d'Apple et le nombre de Mac Users qui se disent en gazouillant "Je ne crains rien, j'suis sur Mac... " ou En substance 'J'ai viré Java, et Flash... donc !" comme je l'ai lu plus haut. Ben non, si t'as pas de roue sur ta caisse, il ne t'arriveras probablement rien, mais comme dit l'autre elle marchera peut être un peu moins bien.C'est un peu poussé, je sais, mais l'idée y est. Et attendez de voir avec iOS... Moi ça me fait pas rire quand je vois avec quelle facilité on déverrouille ça ! Et dire que Lion en descend, ça me rassure encore moins. On voit le sigma entre le Mac et les autres plates formes. Dont Acte ! Enfin, chacun voit midi a sa porte.
avatar Funigtor | 
@Halouc : '(et je ne parle même pas des idiots qui désactivent l'UAC et utilise un utilisateur dans le groupe administrateurs...).' Tu parles bien de ceux qui ne le font pas en toute connaissance de cause ?
avatar lyon3 | 
@jipeca Flash pose encore quelques soucis : vidéos et Street View le requiert. Par contre Java, pour une utilisation "grand public" est inutile. En somme c'est le syndrome du SuperDrive : on a tous crié quand ils commencer à faire des MacBook Air en disant que ce n'était q'un gadget par rapport au Macbook Pro. Aujourd'hui, le "grand public" s'y retrouve complètement y compris au niveau sécurité (plus de CD rayable ou perdable) mais juste une connexion internet. Enfin, chacun voit midi a sa porte.
avatar Florian Innocente | 
[b] robbie : L'article de mac4ever est en ce sens plus mesuré que celui de maclé [/b] Article qui t'explique que puisqu'aucun lecteur de M4E ne s'est manifesté pour dire qu'il avait ce malware, alors ça prouve que c'est du vent cette histoire. http://www.mac4ever.com/news/69314/doit_on_avoir_peur_de_la_faille_facebook_dropbox_sur_ios/ Pour prendre une analogie : à titre personnel, aucun de mes potes ou proche n'est au chomâge, si c'est donc pas la preuve que cette crise économique et ces histoire de chômage en hausse c'est juste un gros pipeau.... Je préfère la démarche d'explication qui est la nôtre, en essayant de donner plus de détails et de remettre aussi les choses en perspective vis à vis des nombres (600 000 personnes à travers le monde c'est beaucoup moins que juste le lectorat de MacG par exemple), plutôt que de balayer cette actu du revers de la main parce qu'on la considère depuis sa petite lorgnette.
avatar clem95 | 
Si je comprend bien, pour ne pas avoir de probleme de sécurité sur son mac il ne faut plus utiliser autre que ce qui vient du MAS, itunes et apple.com?
avatar Dodi12 | 
Je me sens toujours en sécurité sans anti-virus. Quand t'as la paix avec ce genre de conneries depuis 10 ans je ne vois pas quoi dire d'autre que : je suis sur mac, je suis tranquille. Je me sens bien plus en sécurité sur mon mac sans anti-virus que sur un windows avec anti-virus, là aussi c'est l'expérience qui parle. Oui oui je sais, je suis un inconscient et tout et tout et tout, en attendant les sociétés qui ont choisi Windows dépensent des fortunes en licenses anti-virus tant pour les postes que pour les passerelles et ont encore besoin de faire de la prévention auprès de leurs employés, par contre les studio de création qui sont sur mac sans anti-virus n'ont aucun souci de ce genre, ça doit surement être le hasard. Oh mon dieu un malware a infecté 600 000 mac ! 600 000 personnes vont devoir taper 3 lignes dans le terminal pour éradiquer ce malware, c'est horrible !! pfff.. J'ai connu windows du 95 au XP, rien qu'essayer de supprimer un fichier qui refuse d'être supprimé est beaucoup plus emmerdant que d'éradiquer ce foutu malware, soit disant windows seven bla bla bla je suis sûr que c'est toujours pareil si ce n'est pire.
avatar baanzaiii | 
@ clem95 Non, pas forcément, mais il ne fait télécharger, installer et utiliser que ce dont tu as besoin réellement. Par exemple, si tu n'as pas besoin de Java, ou Flash, ou d'autres trucs (et pour cela il suffit de décocher toutes les options dans tes préférences et voir si cela coince), ne les active pas. Et règle correctement les protections intégrées au système (firewall) dans les préférences système. Si tu réduis les portes d'entrée au strict nécessaire, tu auras d'autant moins de problèmes.
avatar Adrien13 | 
J'ai fait les 3 tests préconisés par Le Journal du Lapin et je ne suis pas infecté. La page est ici: http://www.journaldulapin.com/2012/04/05/verifier-si-vous-etes-infectes-par-flashback/#comment-3680
avatar dahu_s | 
@liocec C'est assez vrai. J'ajouterai que le nombre de trojan et autres virus sur MAC vont augmenter du fait du succès croissant des MAC dans les pays riches. Pour les pirates ça deviendra avec le temps une cible de choix d'autant qu'Apple n'a pas l'expérience des anti-virus comme Microsoft avec windows.
avatar lyon3 | 
@innocente Peut être y a t'il un juste milieu entre "il ne se passe rien" et "crise majeure" comme est titré l'article. N'oublions pas que le Malware, pour ceux qui disposent de la dernière version du système, ne concerne que les personnes qui ont installé volontairement un composant optionnel du système, loin d'être indispensable pour les profanes. Vous auriez éventuellement pu saluer l'idée d'Apple, qui est de ne plus installer par défaut des composants inutiles pour le grand public et qui sont sources de problèmes. Java n'est pas un mauvais logiciel en soi mais il est un risque superflu pour l'utilisateur lambda. Enfin, je dis ça je dis rien, de toutes façons peut importe le bout par lequel vous auriez pris l'article, on trouvera toujours une raison pour vous critiquer, c'est la tout le charme de votre vocation.
avatar fantomx6 | 
ben moi je risque rien, j'ai le nouveau Nougaro Jazz et : Quand le Jazz est, quand le Jazz est là la Java s'en, la Java s'en va OK, je suis très très loin
avatar doobie78 | 
Evidemment je vous parle d'un temps que les moins de 20 ans, etc... Je tiens a vous apprendre que le Mac sans virus, c'est assez recent. Exactement depuis que Macos est a base d'Unix. Avant et depuis le milieu des annees 80, il fallait mieux avoir un bon antivirus sur son ordi Apple. A l'epoque Norton avait le quasi monopole d'ailleurs.
avatar Apple92 | 
@mightymini : 'j ai fait le test je suis négatif au trojan :-)' on est content pour toi. Quelle est l 'intérêt de ton post ? Tu sers les fesses pour ta belle petite machine ?
avatar Apple92 | 
@liocec : '@Pascal 77 : Autre élément qui me vient à l'esprit : Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine par 30 à 50%, on n'y fait plus guère attention. De son côté OSX est très véloce et quelques secondes de plus pour une tâche deviennent très vite inacceptables pour un Mac user. Regarde juste les commentaires dans les articles sur Avast pour Mac, par exemple, tu verras cette intolérance.' Rarement lu un tel ramassis de stupidités. J 'ai un MBP et un pc Windows 7 core i7. Je peux te dire que mon windows 7 laisse mon dual core Mac sur place... Donc arrêtez de sortir des âneries de personnes contaminés par le marketing Apple.
avatar Apple92 | 
Ce serait rigolo de faire une fausse page de conseils pour savoir si ce cheval de Troie est installé. On en profiterait pour faire installer un autre Virus ou cheval...

Pages

CONNEXION UTILISATEUR