Malware : le Mac face à sa première crise majeure ?

Christophe Laporte |



Le Mac a-t-il connu sa première crise "majeure" en matière de sécurité avec Flashback ? Les déclarations de Docteur Web, l'éditeur russe d'antivirus, ont mis le feu aux poudres. D'après ses dires, ce malware aurait trouvé refuge sur plus de 600 000 ordinateurs estampillés d'une pomme.


Une "première" bien malheureuse qui suscite de la méfiance avec cette question en toile de fond : l'éditeur a-t-il manipulé les chiffres pour se faire un peu de publicité ?

Igor Soumenkov de Kaspersky vole au secours de son confrère. Suite à ces déclarations, l'éditeur de sécurité a également étudié la propagation de la dernière variante de Flashback (aussi baptisé Flashfake) : Trojan-Downloader.OSX.Flashfake.ab. Ce dernier prend la forme d'un applet Java, qui essaie de berner l'utilisateur en lui proposant d'installer une mise à jour d'Adobe Flash Player.

Bien entendu, au lieu de télécharger et installer le module d'Adobe, l'applet installe en douce le cheval de Troie qui entre alors immédiatement en contact avec un serveur distant dont il attend les instructions. Le composant installé est capable d'en télécharger d'autres et de les exécuter. Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit.

C'est la communication entre le trojan et ses bases qui a permis à Docteur Web et à Kaspersky de donner une estimation du nombre de Macintosh touché par Flashback. Igor Soumenkov explique que ses équipes ont fait de la rétroconception de l'algorithme permettant à Flashfake de communiquer avec des serveurs distants.

Pour se connecter à son "maître", le malware utilise des noms de domaine. Ces derniers sont générés à l'aide de deux algorithmes. Le premier est basé sur la date du jour. Le second est conçu à l'aide de plusieurs variables qui sont chiffrées à l'intérieur du trojan.

Une fois l'algorithme décortiqué, Kaspersky a enregistré le nom de domaine relatif au 6 avril et a enregistré les différentes requêtes qui lui ont été faites par les ordinateurs infectés. Le nom de domaine en question est : krymbrjasnof.com. À titre d'information, ce nom de domaine a été déposé le 5 avril.

Les conclusions de Kaspersky sont très proches de Dr. Web. En moins de 24 heures, le serveur a reçu 620 000 connexions de bots. Kaspersky rappelle que chaque bot possède un identifiant unique, ce qui lui laisse à penser que son estimation est relativement précise.



En matière de propagation géographique, les conclusions de Kaspersky sont également similaires à celles de son confrère. Les États-Unis sont le principal pays touché avec plus de 300 000 IP. On trouve ensuite le Canada, le Royaume-Uni et l'Australie.



Seul point d'interrogation pour Kaspersky : les ordinateurs qui se sont connectés à ses serveurs sont-ils bien des Mac ? L'éditeur de sécurité a basé ses estimations sur les en-têtes laissés par le bot lors de chaque connexion.




Cette donnée peut être aisément manipulée, mais non seulement les concepteurs de ce Cheval de Troie n'ont aucun intérêt à le faire et d'autre part, la faille utilisée a été bouchée sur les autres plates-formes il y a plusieurs mois.

600 000 Mac infectés ? À titre de comparaison, Apple a vendu l'année dernière près de 18 millions d'ordinateurs. En fonction des estimations, le parc de Macintosh encore en activité oscille entre 45 millions et 75 millions d'unités.

On pourra toujours mettre en doute la position de Kaspersky, mais une chose est certaine, si cette histoire est avérée, Apple paie là son incroyable laxisme en matière de sécurité concernant Java. Oracle a publié un correctif réglant cette faille de sécurité qualifiée de critique à la mi-février. Il a fallu attendre près de deux mois avant que la firme de Cupertino propose le sien (lire aussi Nouvelle mise à jour Java pour OS X [MàJ]).

Ce n'est pas la première fois qu'Apple joue avec le feu au sujet de Java. En 2009, elle avait réglé une faille assez grave avec quasiment sept mois de retard sur les autres (lire : Java sur Mac se traine des failles depuis six mois).

Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom.

La situation à l'avenir devrait toutefois s'arranger. Suite à un accord intervenu entre Apple et Oracle (lire : Java : un accord entre Apple et Oracle), Java SE 7, la prochaine version majeure de Java, ne sera plus distribuée par Apple, mais directement par Oracle. Une première developer preview de JDK 7 pour Mac OS X est déjà disponible au téléchargement depuis plusieurs mois (lire : Java : Oracle clarifie ses plans pour Mac et lorgne sur iOS).

Cette affaire de Cheval de Troie intervient alors que les chercheurs en sécurité avaient tendance à distribuer les bons points à l'élève Apple ces derniers mois, aussi bien au sujet d'iOS que d'OS X. Dans un sens comme dans un autre, les choses en matière de sécurité peuvent aller très vite…

Sur le même sujet :
- L'incroyable business des failles de sécurité
- Flashback : Office 2004 et utilitaire de détection
avatar liocec | 
@Kelv : 'Moi aussi j'ai eu le loisir d'avoir tout un tas de machine et je me permets pas de faire un jugement aussi simpliste et général.' Non, mon jugement n'est pas simpliste. Oui, il est général : jusqu'à présent j'ai entendu et lu de tout sur MacOSX et windows, mais jamais, mais alors jamais, quelqu'un a dit que l'OS d'Apple était le plus lent (hormis les drivers vidéos et les jeux).
avatar iJack | 
VirusBarrier Express (gratuit sur le MAS), détecte ce malware : http://forums.macg.co/mac-os-x/eradication-de-flashback-1071732.html et : http://www.moncoachordi.fr/blog/110-securite-mac-flashback-encore-un-cheval-de-troie
avatar brunitou | 
bon article
avatar Feroce | 
"Raison de plus de ne pas être ADM de sa machine, mais simple utilisateur. Dans ce cas, le malware en question ne peut obtenir le compte ADM ou ROOT par magie, puisqu'il hérite du droit de simple user/surfer. Il est donc OBLIGE de demander un compte ADM ou ROOT, avec le bon mot de passe associé, pour pouvoir agir (si je dis une connerie, ne vous gênez pas :). Dommage que ce ne soit pas proposé par défaut, et personne ici n'a évoqué cette possibilité :( Certes le malware ne se gênera pas de demander un user/pw à l'utilisateur, mais ça ne se passera pas dans son dos..." Pas fondamentalement faux, mais on parle d'un faille de sécurité. Et certaines font de l'élévation de droit. Cela veut dire que le mécanisme qui AURAIT du demander un mot de passe ne le fait pas. Tout n'est pas aussi mécanique que ce qu'on pourrait l'imaginer :-)
avatar Feroce | 
"Ce ne serait pas lui qui oeuvre pour une solution antivirale pour PC et Mac ? De la à dire qui il en est pour qq chose, j'en pense pas moins !" Raisonnement hyper simpliste. Créer un virus informatique est un délit qui est TRES lourdement sanctionné (amendes colossales, peines de prison, etc) ! Si l'on vient à découvrir en plus qu'il s'agit de faits perpétrés par une boite commerciale, je n'ose imaginer les dégâts. Ce sont les médecins qui transmettent la grippe aux personnes âgées ?
avatar mugu | 
Remarque sous UBUNTU y a pas de virus!
avatar kinto | 
@nogui nogui [07/04/2012 11:08] @dumbkiller Voila http://www.journaldulapin.com/2012/04/05/verifier-si-vous-etes-infectes-par-flashback/#more-9162 merci pour l'info , pas infecter.
avatar Mabeille | 
@daito tu as raison ce n'est pas un virus... l'honneur est sauf il n'y a pas de virus sur Mac... D'ailleurs l'utilisation du terme virus en tant que terme générique est un abus de langage qui permet à certains de faire une pirouette. Alors non il n'y a pas de virus sur Mac mais des programmes malveillants. Terme qui devrait aussi être utilisé sur Pc. par exemple. Enfin pour Apple cela signifie qu'avec les programmes tiers, Os X n’est pas inviolable et ce même sans taper de mots de passe... mais ça on le savait depuis longtemps. Au contest de sécurité qui se tient chaque année, Os X nu tenait bien le choc comme Windows et Linux, logiciels tiers inclus Osx craquait aussi vite que les autres. Mais tu as raison, il n'y a pas de virus sur Mac.... et au pire c'est la faute des autres pas d'Apple. Au final en extrapolant on pourra dire mon Os X n'est pas infecté mais les logiciels tiers installés sur mon mac si .... l'honneur sera encore sauf. Ps: c'est Apple qui maintiens java pour Mac ... la faille est connue depuis un moment... mmmmmaaaaaaaiiiiissssss il n'y a pas de virus sur Mac, l'honneur est sauf. Tu vas pouvoir continuer à utiliser l'argument pour switcher les crétins sur pc qui sont pleins de virus ...
avatar Mabeille | 
@nogui bin dis voir tu fais fort dans le commentaire: nogui [08/04/2012 10:49] nogui [08/04/2012 10:54] j'adore quand tu parles de QI. nogui [08/04/2012 11:05] ton coté bien argumenté pour contrer un argument foireux selon toi me laisse pantois. comment est l'adage de nouveau? Faites ce que je dis ne faites ce que je fais... ça illustre parfaitement ces 3 commentaires.
avatar nogui | 
@Mabeille "nogui [08/04/2012 10:49] nogui [08/04/2012 10:54] j'adore quand tu parles de QI. nogui [08/04/2012 11:05] ton coté bien argumenté pour contrer un argument foireux selon toi me laisse pantois. comment est l'adage de nouveau? Faites ce que je dis ne faites ce que je fais... ça illustre parfaitement ces 3 commentaires." Heureusement que tu es là pour rétablir tout çà ... Robin des bois numérique va !.. MDR
avatar Marc Duchesne | 
Il me semble qu'on a crée un raz de marée dans un verre d'eau. Rien à voir, on passe... Juste un petit développeur de malware qui veux des tunes avant de fermer boutique...
avatar cvldudu | 
[b] [u] Juste pour rappel : Mac n'est pas à sa première crise majeure ; rappelez vous de celle de la mi-1990s :) [/u] [/b]
avatar Soner | 
Ma vision des choses : Flash et Java ne sont (ou seront) bientôt plus distribué par Apple. Mountain Lion intégrera un réglage (certes modifiable) qui par défaut ne permettra que le lancement d'application signé. Avec ça Apple se dit sûrement que les problémes de sécurité seront du coup inexistants. Ce qui explique un certain "laxisme". En gros ils doivent se dire "Ya pu qu'à attendre"...
avatar Jeckill13 | 
C'est la rançon de la gloire et du succès ! Il fallait se douter qu'un jour ça arriverait, même si toute comparaisons gardées la proportion entre le parc de Mac disponible et de Mac infectée reste assez basse comparé au nombre de pc infectés. Quoi qu'il en soit la vigilance et le bon sens permet d'éviter bien des problèmes.
avatar mightymini | 
j ai fait le test je suis négatif au trojan :-)
avatar dumbkiller | 
Comment savoir si on est concerne, j'ai recement recu une voir deux mises a jour java :/
avatar LeSteph | 
Mais pour finir, on doit mettre son mot de passe pour que s'installe ce malware ou il suffit juste de trainer sur une page web?
avatar nogui | 
@dumbkiller Voila http://www.journaldulapin.com/2012/04/05/verifier-si-vous-etes-infectes-par-flashback/#more-9162
avatar Tomn | 
Et là, on peut le dire que le système proposé par Mountain Lion est efficace. Efficient je ne sais pas mais j'espère qu'il bloquera rapidement les trojans et que rares seront les personnes ayant désactivé le message d'alerte aux téléchargements sur Internet.
avatar fousfous | 
@LeSteph Il fallait installer soit même. C'est pour ça qu'il faut se méfier de java et flash.
avatar Lucieaus | 
Au moins, la sécurité de Mac OS et de ses applications n'est en cause.
avatar Anonyme (non vérifié) | 
En même temps un virus qui dit: " y'a moyen que je m'installe s'il te plait ? Fait pét.. le mot de passe !" et les mecs qui répondent : " OK tiens le voila " c'est plutôt les utilisateurs qui manquent de sécurité. Comme à chaque fois: C'est pas la machine c'est ce qu'il y a entre elle et le fauteuil ..... Et sans vouloir être anti windows, si l'ont devait en faire autant à chaque malware détecté sur windows, tweeter et autres flux d'infos seraient supra-saturés ....
avatar stravinsky | 
modéré : lecteur trop éméché pour réagir avec discernement.
avatar Pascal 77 | 
Bon alors 600 000 Mac infecté par cette saloperie sur 45 à 75 millions de Mac en service dans le monde, à comparer avec un PC/Windows sur 3 (toujours dans le monde) transformé en PC zombie par l'un des quelques centaines de milliers de malwares existant sous Windows, et on vient me dire que ce n'est pas une affaire montée en épingle ? :rolleyes:
avatar LeSteph | 
La fenêtre de demande de password pour l'installation est en anglais, ça limite grandement la contagion dans d'autres langues quand même et aux vues des stats de contagion, c'est principalement les utilisateurs anglophones qui se sont fait avoir.

Pages

CONNEXION UTILISATEUR