FlockFlock, le Little Snitch contre les malwares en tous genres

Stéphane Moussie |

L'une des pires choses qui puisse arriver quand son ordinateur a été infecté par un logiciel malveillant, c'est de s'en rendre compte trop tard, déclare le chercheur en sécurité Jonathan Zdziarski. Ce n'est pas Nicolas, qui a dû récemment affronter son premier malware sur Mac, qui va dire le contraire.

Détecter immédiatement la présence d'un programme frauduleux permet de limiter la casse en prenant les actions appropriées. C'est notamment le rôle des antivirus de les repérer, mais ceux-ci ne sont pas infaillibles. Un tout nouveau malware ou une variante qui n'est pas dans la base de données du logiciel de sécurité peut passer entre les mailles du filet.

C'est pourquoi Jonathan Zdziarski propose un utilitaire qui fonctionne différemment. FlockFlock [40,8 Mo - Alpha 0.0.3] alerte et protège contre les modifications de fichiers non autorisées. FlockFlock est l'équivalent du célèbre Little Snitch (qui surveille les connexions réseaux) pour les accès aux fichiers, résume le spécialiste de la sécurité des produits Apple.

FlockFlock

L'utilitaire s'intègre très profondément au système, au niveau du kernel, et exploite le framework Mandatory access control (contrôle d'accès obligatoire) pour vérifier les opérations liées aux fichiers. Il est en fait composé de deux éléments : une extension kernel et une application avec interface graphique pour alerter l'utilisateur des anomalies.

FlockFlock est censé résister aux potentielles tentatives de désactivation des malwares et empêche également la modification des fichiers systèmes.

Le logiciel, qui est open source et gratuit, vient tout juste de sortir en alpha. Son créateur prévient donc que si vous voulez l'essayer, vous le faites à vos risques et périls. De plus, il nécessite pour le moment de désactiver SIP, dont le rôle est aussi d'empêcher les modifications des fichiers les plus importants. Mieux vaut donc attendre que le FlockFlock soit plus avancé pour compter vraiment sur lui.

Tags
#FlockFlock #sécurité #malware #Jonathan Zdziarski
avatar Geoweler | 

Est-il compatible avec mountain lion?

avatar docdav | 

On enlève une protection (SIP), pour en ajouter une autre ?

avatar mat 1696 | 

@docdav :
Plus 1! Quand ils disent "Il empêche la modification de fichiers système": C'est pas ce que fait déjà le SIP?

avatar sinbad21 | 

SIP est trop bourrin comme système de protection, on est obligé de le désactiver pour utiliser certains logiciels fort utiles, Winclone par exemple. Du coup, de guerre lasse je le laisse désactivé en permanence. Un système de protection plus subtil est donc le bienvenu, mais il faut qu'il fasse ses preuves.

avatar Nicolas R. | 

Non pas du tout pour Winclone.
Par contre oui pour Xtrafinder.

avatar sinbad21 | 

https://twocanoes.zendesk.com/hc/en-us/articles/204838719-Winclone-and-OS-X-10-11-El-Capitan

avatar Nicolas R. | 

Oui mais c'est un cas très particulier, pas une généralité :)

avatar sinbad21 | 

Un cas particulier de vouloir restaurer une partition Windows ? Ce n'est pas pour ça que Winclone a été conçu ?

avatar Nicolas R. | 

Te fait pas plus idiot que tu n'es voyons. Tu as clické sur ton lien ? Tu ne connais peut-être pas l'anglais ?
Il désactive SIP pour un cas particulier, pas parce que Winclone le demande dans un usage classique...
Faudrait penser à lire tes propres pages que tu link...........

PS : oh le petit malin il a changé de lien... alors ça c'est mesquin voire très fourbe :)
Ton nouveau lien est obsolète. Il n'était valable qu'au début, je te recommande celui-ci https://cl.ly/gr3K rubrique "what's new ?" histoire de te mettre à jour ;)

avatar sinbad21 | 

C'est quoi le but de cette discussion ? Même avec la dernière version de Winclone, on doit désactiver le SIP sur les machines antérieures à 2013, tu peux toujours essayer de triturer le problème dans tous les sens, mon propos de départ est parfaitement fondé. Et je n'ai pas dit ça par hasard, il se trouve que si je suis arrivé à cette page du support de Winclone c'est parce que j'ai été confronté au problème. Mais tu vas peut-être me dire que je mens, ou que j'ai rêvé !

avatar anotherbitethedust | 

Super initiative.. vivement la version finale.

avatar andr3 | 

Tant qu'il faut désactiver SIP, je passe mon chemin et continue avec le couple Sophos/ClamXAV

avatar le ratiocineur masqué | 

Dans le cas d'un malware la cause du problème se situe souvent entre l'écran et la chaise : c'est l'élément responsable de ne pas lire ou ne pas vouloir comprendre ce qu'il accepte d'installer. Tant qu'on nous sort pas un logiciel de protection qui vient désinstaller cet élément là alors ca ne sera jamais 100% efficace !

P.S : mon exemple est bcp + visible et compréhensible dans le cas d'un Adware.

avatar vrts | 

"la cause du problème se situe souvent entre l'écran et la chaise "

purée, toujours un couillon pour nous la sortir celle là...

oui captain obvious, les malwares / virus ciblent directement les gens mal informés de la sécu informatique. c'est un fait depuis des décennies.

l'eau mouille aussi.

avatar TmrFromNO | 

Donc le type espère qu'on va désactiver la protection du fabriquant, pour la remplacer par celle d'un noname avec son logiciel en version ultra alpha .0.0.0.0.0.0.0.3?

MAIS OUI ! https://www.youtube.com/watch?v=jZbPTbnqjUM

avatar GoldenPomme | 

Des 2 c'est toi le noname.

avatar ovea | 

Bloquer les connexions et l'écriture de fichiers reste un sport pas très simple mais ça vaut la peine de s'y intéresser.
Ceci dit Hands Off! fait le boulot en attendant :
https://www.oneperiodic.com/products/handsoff/

avatar Moonwalker | 

Désactiver le SIP pour installer et utiliser un logiciel même pas en bêta ? WTF !

Ils auront beau essayer, jamais un logiciel ne protègera les machines contre leur plus grande faille : l'utilisateur.

CONNEXION UTILISATEUR