Malware : le Mac face à sa première crise majeure ?

Christophe Laporte |



Le Mac a-t-il connu sa première crise "majeure" en matière de sécurité avec Flashback ? Les déclarations de Docteur Web, l'éditeur russe d'antivirus, ont mis le feu aux poudres. D'après ses dires, ce malware aurait trouvé refuge sur plus de 600 000 ordinateurs estampillés d'une pomme.


Une "première" bien malheureuse qui suscite de la méfiance avec cette question en toile de fond : l'éditeur a-t-il manipulé les chiffres pour se faire un peu de publicité ?

Igor Soumenkov de Kaspersky vole au secours de son confrère. Suite à ces déclarations, l'éditeur de sécurité a également étudié la propagation de la dernière variante de Flashback (aussi baptisé Flashfake) : Trojan-Downloader.OSX.Flashfake.ab. Ce dernier prend la forme d'un applet Java, qui essaie de berner l'utilisateur en lui proposant d'installer une mise à jour d'Adobe Flash Player.

Bien entendu, au lieu de télécharger et installer le module d'Adobe, l'applet installe en douce le cheval de Troie qui entre alors immédiatement en contact avec un serveur distant dont il attend les instructions. Le composant installé est capable d'en télécharger d'autres et de les exécuter. Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit.

C'est la communication entre le trojan et ses bases qui a permis à Docteur Web et à Kaspersky de donner une estimation du nombre de Macintosh touché par Flashback. Igor Soumenkov explique que ses équipes ont fait de la rétroconception de l'algorithme permettant à Flashfake de communiquer avec des serveurs distants.

Pour se connecter à son "maître", le malware utilise des noms de domaine. Ces derniers sont générés à l'aide de deux algorithmes. Le premier est basé sur la date du jour. Le second est conçu à l'aide de plusieurs variables qui sont chiffrées à l'intérieur du trojan.

Une fois l'algorithme décortiqué, Kaspersky a enregistré le nom de domaine relatif au 6 avril et a enregistré les différentes requêtes qui lui ont été faites par les ordinateurs infectés. Le nom de domaine en question est : krymbrjasnof.com. À titre d'information, ce nom de domaine a été déposé le 5 avril.

Les conclusions de Kaspersky sont très proches de Dr. Web. En moins de 24 heures, le serveur a reçu 620 000 connexions de bots. Kaspersky rappelle que chaque bot possède un identifiant unique, ce qui lui laisse à penser que son estimation est relativement précise.



En matière de propagation géographique, les conclusions de Kaspersky sont également similaires à celles de son confrère. Les États-Unis sont le principal pays touché avec plus de 300 000 IP. On trouve ensuite le Canada, le Royaume-Uni et l'Australie.



Seul point d'interrogation pour Kaspersky : les ordinateurs qui se sont connectés à ses serveurs sont-ils bien des Mac ? L'éditeur de sécurité a basé ses estimations sur les en-têtes laissés par le bot lors de chaque connexion.




Cette donnée peut être aisément manipulée, mais non seulement les concepteurs de ce Cheval de Troie n'ont aucun intérêt à le faire et d'autre part, la faille utilisée a été bouchée sur les autres plates-formes il y a plusieurs mois.

600 000 Mac infectés ? À titre de comparaison, Apple a vendu l'année dernière près de 18 millions d'ordinateurs. En fonction des estimations, le parc de Macintosh encore en activité oscille entre 45 millions et 75 millions d'unités.

On pourra toujours mettre en doute la position de Kaspersky, mais une chose est certaine, si cette histoire est avérée, Apple paie là son incroyable laxisme en matière de sécurité concernant Java. Oracle a publié un correctif réglant cette faille de sécurité qualifiée de critique à la mi-février. Il a fallu attendre près de deux mois avant que la firme de Cupertino propose le sien (lire aussi Nouvelle mise à jour Java pour OS X [MàJ]).

Ce n'est pas la première fois qu'Apple joue avec le feu au sujet de Java. En 2009, elle avait réglé une faille assez grave avec quasiment sept mois de retard sur les autres (lire : Java sur Mac se traine des failles depuis six mois).

Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom.

La situation à l'avenir devrait toutefois s'arranger. Suite à un accord intervenu entre Apple et Oracle (lire : Java : un accord entre Apple et Oracle), Java SE 7, la prochaine version majeure de Java, ne sera plus distribuée par Apple, mais directement par Oracle. Une première developer preview de JDK 7 pour Mac OS X est déjà disponible au téléchargement depuis plusieurs mois (lire : Java : Oracle clarifie ses plans pour Mac et lorgne sur iOS).

Cette affaire de Cheval de Troie intervient alors que les chercheurs en sécurité avaient tendance à distribuer les bons points à l'élève Apple ces derniers mois, aussi bien au sujet d'iOS que d'OS X. Dans un sens comme dans un autre, les choses en matière de sécurité peuvent aller très vite…

Sur le même sujet :
- L'incroyable business des failles de sécurité
- Flashback : Office 2004 et utilitaire de détection
avatar Florian Innocente | 
[b] Comment savoir si on est concerne, j'ai recement recu une voir deux mises a jour java :/ [/b] Pour la première question https://www.macg.co/news/voir/240232/flashback-office-2004-et-utilitaire-de-detection Sur le pourquoi des 2 mises à jour Java consécutives https://www.macg.co/news/voir/240212/nouvelle-mise-a-jour-java-pour-os-x-maj
avatar liocec | 
@Pascal 77 : '600 000 Mac infecté par cette saloperie sur 45 à 75 millions de Mac en service dans le monde, à comparer avec un PC/Windows sur 3' Rien de comparable : Un windows user sait qu'il peut être infecté et il décide si oui ou non il doit se protéger. Un Mac user croit que rien ne peut atteindre sa machine, il est donc moins vigilant et moins sensibilisé à la protection. Juste pour info windows est pré-installé avec un antivirus à son bord (fourni par MS).
avatar robbie | 
Les suites de sécurité veulent se placer sur le marché des Mac qui se vendent de plus en plus même si leur part est toujours en dessous des Pc et font feu de tout bois dès qu'un problème de sécurité est détecté. De plus l'information est toujours démultiplié quand il s'agit d'Apple même les sites généralistes s'en font l'écho L'article de mac4ever est en ce sens plus mesuré que celui de macgé
avatar liocec | 
@Pascal 77 : Autre élément qui me vient à l'esprit : Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine par 30 à 50%, on n'y fait plus guère attention. De son côté OSX est très véloce et quelques secondes de plus pour une tâche deviennent très vite inacceptables pour un Mac user. Regarde juste les commentaires dans les articles sur Avast pour Mac, par exemple, tu verras cette intolérance.
avatar lukasmars | 
"La fenêtre de demande de password pour l'installation est en anglais, ça limite grandement la contagion dans d'autres langues quand même et aux vues des stats de contagion, c'est principalement les utilisateurs anglophones qui se sont fait avoir" Non il semblerai que desormais, le virus ait muté et ne demande plus de mdp, il exploite juste une faille dans la machine virtuelle java, faille comblé si vous avez fait vos mises à jours depuis le 3 avril. http://korben.info/un-virus-sur-mac-comment-savoir-si-vous-avez-echappe-a-flashback.html
avatar Rufus | 
ce n'est pas un virus. exploit ou trojan
avatar bigham | 
[quote="LeSteph"]La fenêtre de demande de password pour l'installation est en anglais, ça limite grandement la contagion dans d'autres langues quand même et aux vues des stats de contagion, c'est principalement les utilisateurs anglophones qui se sont fait avoir.[/quote] [quote="bustlingboy"]En même temps un virus qui dit: " y'a moyen que je m'installe s'il te plait ? Fait pét.. le mot de passe !" et les mecs qui répondent : " OK tiens le voila " c'est plutôt les utilisateurs qui manquent de sécurité. Comme à chaque fois: C'est pas la machine c'est ce qu'il y a entre elle et le fauteuil .....[/quote] Les derniers parfums de ce malware s'installent tous seuls comme des grands sans demande de mot de passe. Il suffit juste de visiter un site web au parfum.
avatar GrudeBruk | 
@liocec [quote]Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine par 30 à 50%, on n'y fait plus guère attention. [/quote] N'importenawak garçon. C'était la stupidité du jour ça.
avatar Rufus | 
grudebruk, c'est encore pire que ce qu'il dit. Windows est tellement lent qu'il tourne à l'envers. L'avantagge c'est que quand j'écris un mail, je l'envoi avant même de l'écrire. Au final je gagne du temps...
avatar Domsou | 
@bigham : 'Les derniers parfums de ce malware s'installent tous seuls comme des grands sans demande de mot de passe. Il suffit juste de visiter un site web au parfum' Et d'avoir l'option « Activer Java » cochée dans Safari. Vivement que les plugins par défaut soient expurgés de Safari et de l'OS en général.
avatar karayuschij | 
J'ai pas bien compris comment Kaspersky a pu avoir ces chiffres…
avatar nogui | 
@stravinsky [07/04/2012 11:46] "modéré : lecteur trop éméché pour réagir avec discernement." Ha miiiiinnnnnnnceeee ! trop tard .. La bêtise humaine à l'état pur ça me fait toujours rire ..
avatar Anonyme (non vérifié) | 
Je crains avoir été infecté par cette saloperie. De retour depuis 2 semaines seulement dans l'univers Mac, ça me fait tout bizarre d'avoir déjà à installer Kaspersky. Je ne sais pas si c'est à cause de ce trojan que mon NAS MyBookLive et ma Time Capsule sont plantés, mais le premier ne boot plus et la seconde n'est pas capable de faire une sauvegarde initiale complete sans perdre la connection, même en ethernet.
avatar lightup | 
@viksilver : "Pour le moment, il semble que ce trojan se limite à modifier le comportement de Safari afin d'en tirer profit." Je pense donc en toute logique que c'est autre chose qui cause ces bugs
avatar lyon3 | 
"Avec OS X Lion, Apple a décidé de ne plus installer Java par défaut, et c'est sans doute une bonne chose pour la sécurité des utilisateurs, non pas parce que Java est une mauvaise technologie, mais parce que la marque à la pomme ne lui offre pas un support digne de ce nom." Vous avez simplement oubliez la raison principale à cela : c'est une technologie inutile au grand public. Apple prend exactement la bonne direction : - OS X est en train de se débarrasser progressivement de de tout ce qui n'est pas utile à l'utilisateur lambda (utilitaires de Geeks et outils de développeurs). C'est pour cela que le Mac App Store résiste au logiciels qui rajoutent des tas trucs partout dans le système. La base c'est les Apps systèmes et iWork et iLife et logiciels concurrents qui font la même chose. - Pour ceux dont l'informatique est le métier et les Geeks, qui de toutes façons rajoutent des tas d'utilitaires et qui ne seront jamais satisfaits par les outils de base du système, ils sont assez grands pour savoir ce qu'ils font.
avatar Anonyme (non vérifié) | 
@bustlingboy : Un collègue surnomme ça "l'illettrisme numérique". Maintenant, quelque soit le système qu'on utilise, il faut être vigilant aussi bien sur Mac, Linux ou Windows. Il suffit de voir le nombre de "pourriciels" qui s'installent sur les systèmes Windows parce que les gens ne prennent pas le temps de lire (et je ne parle même pas des idiots qui désactivent l'UAC et utilise un utilisateur dans le groupe administrateurs...). Après si la news fait parler d'elle, je pense parce qu'elle est symbolique et qu'elle touche un cliché. Apple comme n'importe qu'elle système de la famille Unix n'est absolument pas à l'abris d'un virus ou d'une faille critique. Aucun système même le plus fermé n'est fiable à 100%. @Pascal 77 : C'est déjà un chiffre important. On ne parle pas d'une attaque isolée... Microsoft en à plus au compteur mais historiquement ses systèmes sont les principales cibles des pirates. Faut comparer le comparable... Hier c'était hier, aujourd'hui c'est un cheval de troie, demain ce sera quoi?
avatar mugu | 
j'ai ce virus sur mon ordi et je sais que ca ne fera rien. car apple a dit qu il n y a pas de virus sur mac. un point c est tout
avatar lightup | 
@Halouc : 'et je ne parle même pas des idiots qui désactivent l'UAC ' Si t'avais Windows et l'UAC qui se met pour faire n'importe quoi même pour supprimer une icône du bureau (!!) tu dirais pas que c'est idiot
avatar madaniso | 
@Soner Avec moutain Lion on ne pourra plus installer ce qu'on veut sur son mac ?
avatar Anonyme (non vérifié) | 
Ceux qui font du hors piste n'ont qu'à mieux se tenir.
avatar GrudeBruk | 
[quote=lightup ]Si t'avais Windows et l'UAC qui se met pour faire n'importe quoi même pour supprimer une icône du bureau (!!) tu dirais pas que c'est idiot [quote] Baliverne
avatar lightup | 
@grudebruk : Je te jure que c'est vrai même quand je veux supprimer une icône de mon bureau il me balance l'UAC
avatar hogs | 
bah quand n'importe quel programme, même de source sérieuse, demande un mot de passe pour s'installer, on ne peut plus considérer que de devoir mettre un mot de passe soit une réelle protection. Le 99% des utilisateurs mettent leur mot de passe sans se poser la moindre question. Question à 100 balles, pourquoi un programme de dessin demande un mot de passe ?
avatar Kelv | 
"Un windows user a l'habitude d'avoir un PC lent, qui réponde plus ou moins à ses clics, alors mettre un parefeu, un antivirus, etc... et ralentir la machine par 30 à 50%, on n'y fait plus guère attention." Hahaha, il y en a qui devraient sortir de leur grotte.
avatar snakees2 | 
k'est ce qui faut annoncer pour faire peur au gens!!! la faille exploiter est une faille flash alors arreter de nous bassiner avec vos alerte , ce ki est sur , on ne m'y reprendra plus sur windob .

Pages

CONNEXION UTILISATEUR