Transmission : 6500 téléchargements du malware KeRanger
L’affaire fait grand bruit depuis sa découverte, hier en fin de journée : un malware s’est glissé dans Transmission, un client BitTorrent très populaire sur OS X. C’est la première fois qu’une telle attaque était menée sur le système d’Apple, d’autant qu’il ne s’agissait pas d’un simple malware, mais d’un ransomware, un logiciel malveillant chargé de soutirer de l’argent auprès de ses victimes (lire : KeRanger : ce que l’on sait sur le ransomware de Transmission).

Fort heureusement, la supercherie a été rapidement découverte et toutes les parties concernées ont fait leur boulot. Transmission a immédiatement retiré la copie vérolée de ses serveurs et a publié une mise à jour qui éradiquait le malware. Apple a aussi bloqué le code malveillant et même s’il est préférable de vérifier que l’on n’est pas touché, le pire a probablement été évité.
Transmission indique ce soir à l’agence Reuters que la version vérolée du logiciel a été téléchargée environ 6500 fois avant d’être retirée. C’est à la fois beaucoup — on a potentiellement autant de victimes — et assez peu par rapport au nombre d’utilisateurs de l’application. Ses concepteurs précisent que le principal serveur a été compromis, permettant aux malfaiteurs de glisser leur version à la place de l’officielle. La sécurité du serveur en question a été améliorée depuis, si bien que cela ne devrait pas se reproduire… du moins on l’espère !
J'ai super flippé ! Truc de fou ! Je touche du bois ! Je n'ai pas été concerné.
@MacGruber :
Pourquoi flipper quand on est pas concerné ?
Parce que c'est pas facile de savoir si on est ou pas concerné... si on est pas poweruser.
Je remet ici ce que j'ai écrit précédemment: a moins que le site ai ete corrompu intégralement (ce qui a pu etre le cas pour Transmission pour la 2.90), il y a un moyen relativement simple de verifier que l'on a bien chargé le bon soft et pas une version vérolée: verifier la checksum du soft.
Pour la plupart des soft elle se trouve sur le site original a proximité du soft a télécharger.
Il faut telecharger le soft et le laisser dans le dossier Telechargement puis il faut il faut coller la ligne suivante dans le terminal pour Transmission:
signature=$(openssl dgst -sha256 "$HOME/Downloads/Transmission-2.92.dmg"); [[ "${signature##*= }" == "926a878cac007e591cfcea987048abc0689d77e7729a28255b9ea7b73f22d693" ]] && echo "Valide!"
Si on prefere < a href=" http://download.deluge-torrent.org/mac_osx/deluge-1.3.12-osx-x64-inst.dmg">Deluge faut coller :
signature=$(openssl dgst -sha1 "$HOME/Downloads/deluge-1.3.12-osx-x64-inst.dmg"); [[ "${signature##*= }" == "1a32d14004c1dc7a070e7e83e4ad38aad58867b2" ]] && echo "Valide!"
Si ça affiche Valide, c'est que c'est OK
Le code que je donne ici ne marche que pour les versions 2.92 de Transmission et 1.3.12 de Deluge.
La seule faille a ce systeme c'est que la cle de checksum (SHA1,SHA256, MD5,...) ait ete modifié sur le site. Mais sinon il faut le faire systématiquement.
Pour Deluge il faut aller dans la section release note
Ce qui serait vraiment bien c'est qu'Apple integre un installateur pour les softs tiers qui reclame cette cle ou mieux encore: que le développeur donne systématiquement la clé a Apple et que la verification de fasse de maniere automatique, comme pour la verification du developer ID...
Des solutions beaucoup plus simples ont déjà été proposées me semble-t-il
Il semble que le malware soit bien l'oeuvre de scriptkiddies comme on pouvait s'en douter vu que TOR et Bitcoin etaient utilisés. Le malware est une adaptation pour OS X tres approximative du malware Linux.Encoder .
Apparemment le chiffrement des données est mal realisé et on devrait avoir d'ici peu un soft capable de dechiffrer les fichiers sans devoir passer par le tiroir caisse.
Bref ce qui semble s'etre produit c'est que des sales gamins ont trouvé une faille d'acces sur le site de Transmission et ont remplacé l'installateur originale par le leur qui embarquait une version du malware Linux.Encoder, adapté a l'arrache pour OS X. Ces gamins ont ensuite utilisés TOR pour communiquer avec leur victimes et se faire payer en utilisant Bitcoin. Bref, il vont se faire "attraper" d'ici peu et l'affaire sera close.
@Androshit :
Parce que je n'ai pu vérifié qu'en rentrant le soir ...
On va finir par trouver utile le Mac App Store...
lol. Faut être connecter à internet pour ouvrir une app.
J'ai installé la version 9.93 et j'ai donc ensuite désinstaller bien sûr avant d'avoir vérifié si je n'étais pas infecté et d'après ce que j'ai constaté je n'étais pas infecté donc oui ont touche du bois
@Alberto8 :
"2.92 ..." Je suis parti dans le futur moi .
Et on ne sait pas combien ont été réellement touchés du coup ? Faire la soustraction avec le nombre de téléchargements de la 2.92 donnerait un ordre d'idée
@nayals :
Non pas vraiment
Je suppose que tu y a déjà pensé mais par exemple je suis passé en urgence hier soir sur la 2.92 et j'étais pourtant sous la 2.84 avant (le malware étant apparu à la 2.90)
Ainsi je pense qu'il devrait avoir peut plus de téléchargement pour la 2.92 que la 2.90
Content d'avoir retrouvé ce petit programme bien sympathique je l'avais téléchargé pour voir ce qu'il était devenu , Et bien maintenant je ne sais pas si j'aurais encore confiance pour le télécharger
Les personnes passant pas le système de mise à jour intégrer au logiciel risquait quelque chose ou pas ?
@Rin-Kun :
Normalement je crois que les MAJ faites via le push de MAJ depuis l'application ne sont pas concernées.
@tchit :
Ah? Si la version originale a été substituée sur le serveur par la vérolée en quoi la mise à jour par push était immunisée? Quand tu as le push, tu vas chercher la MAJ où?!!
peut-être que la maj remplace que quelques fichiers modifiés et pas l'app entièrement. elle pese moins dans ce cas, et n'est pas le même fichier source. mais tout ça dépend de leur conception.
Du coup s'il était déjà installé on ne risquait rien ?
@CNNN :
Si je crois à cause des mises à jour automatique
Y'a t-il eu des symptomes lié à ce malware surtout?
Car ce lundi ça devait presque être la fin du monde hein ....
Alors qu'en fait, que dalle. Bon gros pétard mouillé.
Ça n'a va pas qu'affecter les rançonneurs. Mais aussi les comptes bancaires des éditeurs d'antivirus-malwares-etc dont les sites ont dû recevoir un pic de fréquentation. D'ailleurs c'est normal de chercher à se protéger, il n'y a pas d'ironie ou de complotisme dans ce que je dis. C'est la rançon... du succès des Mac.
Je vais refaire ma pub pour VirusTotal de Google, mais c'est un service en ligne qui va scanner un fichier ou mieux, une URL en la passant sur divers outils (dont plus d'une 50ène d'antivirus différents : https://www.virustotal.com/fr/about/credits/ dont ceux de Microsoft, Panda, MacAfee, Kaspersky, DrWeb, ...)
Cela peut être une bonne idée d'y envoyer des fichiers suspects (non confidentiel bien-sur), où de soumettre les url des applications et sans "pourrir" sa machine avec les lourdeurs d'un Antivirus.
Effectivement, en faisant une recherche sur "test virustotal transmission 2.90 mac", on arrive sur ça :
https://www.virustotal.com/en/file/d1ac55a4e610380f0ab239fcc1c5f5a42722e8ee1554cba8074bbae4a5f6dbe1/analysis/
Moi qui pensais que VirusTotal n'était pertinent que sur la recherche de malwares pour Windows, je suis agréablement surpris.
Une soumission sur VirusTotal est bien sûr mieux que rien, mais reste illusoire.
Pour que l'un des moteurs antivirus détecte, faut-il que le malware soit connu et sa signature déjà intégrée à la base virale. En effet, je doute que VT analyse avec les méthodes de détection proactive.
Si la menace est de type "0-day", un antivirus installé sur le système et doté d'une technologie heuristique conserve une chance de détecter le malware, à plus forte raison si le comportement du code "rappelle" celui d'une version déjà connue.
Enfin, l'installation et la mise à jour de programmes ne sont qu'une source d'infiltration, il y en a tant d'autres...
@DeluxePainter
Le probleme c'est que l'antivirus est incapable de detecter ce type de malware avant qu'il ait commencé son processus.
Une fois que le malware a ete identifié, et donc que le mal est fait, le systeme de protection d' Apple va bloquer le soft en question, donc plus besoin de l'antivirus...
Bref une fois encore les antivirus commerciaux demontrent leur inefficacité, en tout cas sur Mac.
Le truc de lmouillart est pas bete et au moins ça evite de pourrir sa machine avec des antivirus qui font plus de mal que de bien. Sinon on peut aussi installer Clam Av: la version libre est gratuite en ligne de commande.
sinon y une version sur le MacAppStore, mais elle est tres chere pour juste une interface graphique...
Et après on râle contre Apple et son MAS mais ça a aussi de bons côtés...
@ DarKOrange : ben en l'occurrence, Transmission n'a pas le droit d'entrer sur le Mac App Store. Apple ne veut pas de client BitTorrent sur sa boutique…
Ben en l'occurence @DarKOrange a raison.
Le fait qu'Apple n'accepte pas de client BitTorrent sur le MacAppStore demontre le probleme. Si Transmission avait pu etre sur le MacAppStore, cette infection ne serait probablement pas arrivée... Donc Apple a bien une responsabilite
@C1rc3@0rc :
Que ce soir un client bittorent ou pas ca aurait pu arriver avec un autre logiciel ce malware. Donc au contraire si Apple avait autorisé ce logiciel ils auraient peut être découvert le malware. Où il n'y aurait pas eu de malware car ils n'auraient pas piratés le serveur...
Si seulement poster des applications sur l'App Store ne demandait pas de compte développeur payant et qu'Apple ne prélevait pas autant sur les revenus (je ne dis pas 0, mais pas autant)... Ça permettrait peut-être aux innombrables logiciels open-source de s'appuyer sur cette plateforme, et d'éviter ce genre de problème. Apple pourrait justifier le prélèvement sur les recettes avec cet argument de sécurité. Après tout c'est dans l'intérêt des développeurs que leurs logiciels ne soient pas vérolés.
@Armaniac :
La commission d'Apple sur l'App Store est de 30% du prix de vente. Si l'app est vendu 0€, la commission est de 0€.
@patrick86 :
Oui c'est pas faux... Donc aujourd'hui quand il y a un logiciel distribué gratuitement sur l'app Store, ça marche comment? Le développeur paye "juste" la licence développeur à 100€ à l'année?
Oui…
Pour certains ca peut paraître énorme 100 Euros, mais même en comptant la machine, parce que oui, il faut un Mac pour développer pour le MAS - ca reste vraiment peu cher payé pour ce qu'on obtient en échange : un vrai langage de dev, un vrai suivi, une vraie doc, avec des exemples de code fonctionnel à toutes les pages, une plateforme d'hébergement, etc etc
Allez développer pour Microsoft, ou Sony, ou Nintendo et comparez !
J'ai téléchargé la version 2.90 sans l'installer à la place de la version 2.84 déjà présente sur mon disque, car je suis parti chez ma copine pour le week-end. Comme quoi, décrocher de son ordinateur pour retourner vivre dans la vrai vie, ça a du bon. ;-)
Ou, aussi : comme quoi partir chez sa copine pour le week end ça a du bon ;-)
Faites comme moi. Ne vous jetez jamais sur les mises à jour. Prenez le temps de la réflexion.
Et commencez par vous poser la 1ere bonne question : ai je un besoin vital de cette maj ? Que m'apportera t elle ?
il devrait quand même rester un doute , et Transmission pourrait bien payer pour ce proverbe ..dans le doute on s'abstient .
Pour ma part , je l'ai desinstallé et n'y reviendrait probablement pas ( en tous cas pas dans l'immédiat )
@alan1bangkok
Quand je vois le temps que t'as mis à désinstaller Flash en sachant pourtant les risques que tu prenais avec ce logiciel totalement vérolé permettant à n'importe quel site internet malveillant de prendre le contrôle de ta machine, je dois admettre que ta promptitude à désinstaller ce logiciel m'étonne un peu ! D'autant plus qu'à priori le problème est réglé et que tu encoures exactement le même risque avec n'importe quel logiciel installé en dehors du MAS.
@joneskind :
Bah j'ai réinstallé Flash ,être obligée de passer par Chrome me gonflait ..
Pas grave, tu pourras toujours retrouver Transmission_v2.90.dmg via ton nouveau client bittorrent si jamais tu trouvais le nouveau pas à ton gout, y'aura qu'a réinstaller cette version de Transmission et hop !
;-)
Pareil
2 réflexions sur ce pbm:
- si le serveur est compromis il est probable que checksum le soit aussi ...
- un client torrent hacké, c'est un peu l'arroseur arrosé non ? à part quelques usages pro, à 90% ce sont des gens qui téléchargent des films piratés non ?
@Pierrot
Ce serait le cas si Transmission participait activement au piratage. Mais dans la mesure où ce n'est pas le cas on ne peut pas vraiment dire que ce soit l'arroseur arrosé.
On est plus dans le cas du type qui découvre la fission nucléaire, qui l'offre à tout le monde pour fabriquer des centrales électriques, et qui se prend une bombe atomique sur le coin de la gueule. Ou encore du type qui découvre le feu, qui l'offre à tout le monde pour que tout le monde puisse se réchauffer, et qui se fait brûler sa baraque.
Oui, que ceux qui utilisent ce logiciel à des fins honnêtes lèvent le doigt..
@solent :
je lève le doigt
je télécharge uniquement des films de boules , pour un vioque sans le sou comme moi , les torrents sont d'utilité publique et devraient être inscrits au patrimoine cul..turel
Transmission est un outil qui gère un protocole d’échange de fichier. À ce titre il n'est responsable de rien.
Par contre beaucoup d'utilisateurs de ce programme l'utilisent pour telecharger des fichiers dont la légalité est souvent… douteuse.
Ces fichiers sont beaucoup plus susceptibles de contenir virus et malwares intégré que l'outil qui sert à les telecharger.
Du coup, le "j'ai supprimé Transmission de mes logiciels" me fait bien rigoler car si il s'agit de le remplacer par un autre client torrent… le risque d'infection reste le même…
(sans compter que Transmission va désormais redoubler de prudence)
Zennnnnnnnnnnnnn !
Et Deluge a renforcé sa sécurité serveur ?
Parce que c'est cool de switcher mais si c'est pour se prendre la même de l'autre côté....
Pour flash, on n'a parfois pas le choix. Dans l'Education Nationale, il n'utilise que ça : pour les formations web. Il faut dire aussi qu'ils ont "des vedettes" en programmation !!
Moi, j'utilise transmission et ce n'est pas pour télécharger des films : Les newsgroups sont de bien meilleurs options et plus discrètes...
@tinkar "Moi, j'utilise transmission et ce n'est pas pour télécharger des films : Les newsgroups sont de bien meilleurs options et plus discrètes..."
> Bof, oui mais c'est payant !
Pages