Gare au pourriciel Mac File Opener

Mickaël Bazoge |

Les chercheurs en sécurité de Malwarebytes sont tombés sur une arnaque (« scam ») pas banale liée à PCVARK, un éditeur bien connu pour ses crapwares comme Mac Adware Cleaner, Mac Adware Remover ou Advanced Mac Cleaner. C’est justement en surfant sur la page de ce dernier que Thomas Reed, le chercheur en question, s’est vu proposer de télécharger une « mise à jour de sécurité ». Celle-ci installe un logiciel du nom de Mac File Opener ; mais étonnamment, ce dernier ne peut pas être lancé, l’application restant là sans rien faire.

Ce n’est qu’après avoir un peu fouillé dans le fichier Info.plist que l’on comprend à quoi « sert » ce logiciel. Il permet d’ouvrir 232 types de documents aux extensions les plus exotiques. Lorsque l’on double-clique sur un document sans posséder l’application qui permet d’ouvrir le fichier, OS X affiche une boîte de dialogue proposant de choisir une application capable d’ouvrir le document, ou de rechercher une application sur le Mac App Store :

Après installation, Mac File Opener prend la main sur le système et affiche une nouvelle boîte de dialogue :

L’œil exercé de l’utilisateur Mac aguerri repérera rapidement le pot aux roses : l’option Choose application est grisée, empêchant ainsi de sélectionner un logiciel pour ouvrir le fichier en question ; l’interface présente des bizarreries qui ne correspondent pas aux canons habituels d’OS X ; et puis le bouton Search Web ne lance pas de recherche Google (ce qui serait déjà bizarre), mais directement le site macfileopener[.]com.

Le site en question contient tous les pourriciels de PCVARK qu’on s’abstiendra absolument d’installer. Pour faire bonne mesure, la page présente au bout d’un moment une alerte équivoque :

Les nouveaux venus sur OS X pourront se laisser berner par la (fausse) fenêtre de dialogue. Et ils ne pourront pas suspecter quoi que ce soit de mal, puisque les logiciels de cet éditeur sont signés d’un certificat Apple en bonne et due forme. Même si dans le cas qui nous occupe, le certificat de Mac File Opener appartient à Techyutils Software Private Limited, et non pas à PCVARK software Private Limited. Le scam provient pourtant bien de PCVARK.

avatar Lestat1886 | 

Comment ça se fait qu'ils ont un certificat Apple en bonne et due forme??

avatar frankm | 

@Lestat1886 :
Et pourquoi il n'est pas dans la liste des bannis pour Safari

avatar Crunch Crunch | 

Et comment est-il possible que les logiciels de cet éditeur soient signés d’un certificat Apple ?!?

avatar C1rc3@0rc | 

Parce qu'ils ne le sont pas, c'est ecrit dans l'article:«le certificat de Mac File Opener appartient à Techyutils Software Private Limited, et non pas à PCVARK software Private Limited»

C'est une societe indienne qui sert d'ecran semble-t-il, crée en 2013 et au capital faramineux de 100000 roupies (1300 euros...).
Je suppose qu'Apple ne verifie pas plus que cela la legalité et qui est derriere ce type societe, surtout que les Limited sont opaques a souhait (pilier de la fraude fiscale permis par la legislation britannique et apparemment le regime indien offre les memes avantages...). Et puis par un petit jeu de holding, c'est quasi impossible d'etablir une relation a priori.

Si Apple bannit Techyutils Software Private Limited, PCVARK software Private Limited passera par une autre. 1300 euros ça doit pas peser lourd dans leur tresorerie!

Alors que faire?
-N'installer que des applications venant du MacApp Store et desactiver les autres possibilités dans les preferences systemes... oui mais voila, de plus en plus d'editeurs partent du MacApp Store et de nombreux tres bons soft opensource ne s'y trouveront jamais. Et Le MacApp Store n'est pas fiable a 100%. Donc c'est une solution, mais en partie seulement

- Forcer Apple a etre encore plus stricte et restrictif pour ce qui est installable sur Mac... c'est déja lourd et handicapant.

- utiliser un anti-malware... ça va rien changer du tout!

Il n'y a pas de solution simple face a ce type d'arnaque et seul un comportement securitaire avec une bonne discipline reste la reponse la plus efficace: n'installer sur son Mac que ce dont on a vraiment besoin et dont on est certain!

Cela n'empeche pas de se plaindre envers Apple afin que les softs de PCVARK et autres malware du genre aient la vie de plus en plus dure.
Et il est aussi de la responsabilité de l'utilisateur de signaler a Apple les divers malware dont il est victime. Certes Apple pourrait rendre la tache plus simple.

avatar oomu | 

"Il n'y a pas de solution simple face a ce type d'arnaque et seule un comportement securitaire avec une bonne discipline reste la reponse la plus efficace: n'installer sur son Mac que ce dont on a vraiment besoin et dont on est certain!"

je le dis partout : n'installez jamais rien d'internet ou de quoi que ce soit.

Rien, sous aucun prétexte ni jamais.

Bon.. une fois qu'on est affamé, au bord du gouffre et qu'on veut vraiment le meilleur jeu des temps ou le progiciel indispensable pour vivre... là.. on prends son temps.. on va sur le site officiel, et on installe.

mais sinon ? JAMAIS !

avatar le ratiocineur masqué | 

"Il n'y a pas de solution simple face a ce type d'arnaque"

Si, justement, pas installer n'importe quoi provenant de n'importe où. Et pour les tatillons, la solution simple à même un nom : "Mac App Store" !

lol

avatar C1rc3@0rc | 

Des malware se sont deja retrouvés sur le Mac App Store...
Donc comme je le dis en conclusion: n'installer que ce dont on a vraiment besoin et faire tres attention

avatar Yohmi | 

Mais surtout, je ne comprends pas comment leurs logiciels peuvent avoir un certificat Apple !

avatar r e m y | 

Si je comprends bien, ils "empruntent" à d'autres développeurs des certificats valides...

avatar oomu | 

une société écran.

avatar mat16963 | 

Comment ces logiciels peuvent-ils encore être signés par Apple?! C'est bizarre, non?

avatar oomu | 

n'importe qui peut obtenir un certificat de la part d'Apple.

par exemple, j'en ai un (ça vous rassure hein ? )

Mais à l'inverse, c'est censé responsabiliser ou au moins vous avez une identité accrochée au logiciel. Apple peut sévir ou vous pouvez interdire cette identité.

Gatekeeper est justement utile: par défaut, tout est interdit, et c'est au cas par cas que vous devez autoriser un nouveau logiciel, un nouveau développeur.

Mon conseil : REFUSER LES TOUS ! (sauf ceux que vous ne pouvez plus vivre sans, je dis ça sérieusement. Si c'est gadget ou bricole : refusez).

Un logiciel proposé sur internet c'est comme un bonbon dans la rue: C'est NAON. On clique : NAON !

avatar Madalvée | 

Comme quoi gatekeeper n'est pas la panacée…

avatar oomu | 

Gatekeeper est justement utile: par défaut, tout est interdit, et c'est au cas par cas que vous devez autoriser un nouveau logiciel, un nouveau développeur.

-
Mais la liberté de pouvoir utiliser des logiciels autres que ceux acceptés par Timmy (l'app store) s'accompagne que vous devez être attentif à ce que vous téléchargez et acceptez.

N'acceptez jamais une installation non explicitement recherchée, demandée et désirée. Le système va vous demander si vous accordez votre confiance à une application d'un développeur non connu auparavant.

avatar Ibiscus | 

J'ai eu a peu près la même chose avec Flash Payer. Voici mon courriel à phishing@adobe.com :
============
Je viens vous signaler que lorsque j’étais en train de consulter un site d’un journal en ligne, j’ai vu apparaître une alerte se faisant passer pour Apple dans un cartouche et me signalant que Adobe Flash Player n’était pas à jour, suivi d’une autre alerte, et j’ai alors vu un objet se télécharger, sans action de ma part, dans ma boîte de téléchargement.
C’est un fichier dénommé « FlashPlayer.dmg » que je me suis bien gardé d’ouvrir (voir la copie d’écran « info" ci-jointe).
Je garde ce dmg quelques jours, si vous voulez que je vous l’envoie à votre demande. En effet je ne voudrais pas être accusé de propager ce qui est probablement un fichier toxique.
=========
La réponse d'Adobe Phishing Team :
Thank you for contacting the Adobe Phishing team.
There have been several reports from Adobe customers about phishing scams purporting to offer the latest updates to Adobe runtime software such as Adobe Reader and Adobe Flash Player. If you receive a pop-up on an internet browser for such updates, we recommend you clear your browser history completely and delete all browser cookies. If you opened any suspicious attachments or links, you should also run a virus scan.

Additionally, Adobe strongly recommends that users follow security best practices by keeping their computers current with the latest patches and updates. The majority of known attacks exploit software installations that do not have the latest security updates. To obtain the latest version of Adobe products, please visit adobe.com and click on the “Downloads” tab. Please be aware that updates to Adobe software are made available from Adobe only on our website — we do not make any updates to our software available through third parties. Even if the web address contains the word "Adobe," it might not be an Adobe site.

Sincerely,

Karen
Adobe Phishing Team

avatar C1rc3@0rc | 

Affligeant en effet de la part d'Adobe.

Mais bon on sait tous que Flash est un malware qui n'a sa place que dans le musée des pire softs de l'histoire de l'informatique et aucune sur quelque appareil informatique que ce soit!

avatar Jacti | 

Voilà, vous avez tout dit sur Flash.

avatar Almux | 

Mais, également dommage… Car pour les créatifs "visuels" Flash semblait être une vraie merveille: Facile à mettre en pratique pour des sites féériques bourrés de jolis effets. Mais, voilà… patatraa! Documents lourds, hackables à volonté, il a fallu passer au HTML5. Plus sûr, plus rapide et, malheureusement, plus standard. Tous les sites se ressemblent et, faute de pouvoir faire de belles créations perso, on passe tout à la moulinette de la platitude pour, au final, se rabattre simplement sur des CMS. L'originalité en aura pris un sacré coup! Mais, il semble que ce soit le prix à payer pour pouvoir surfer tranquille…

avatar marc_os | 

@Almux :
J'ai participé "à la belle époque" à la création d'un CD-ROM développé en Flash 5 au lieu de Director. Quelques années plus tôt c'était avec Apple Média Tool, et un graphiste avait créé des _animations_ en Flash pour le projet. C'était un outil magnifique. Mais il a été sabordé par Macromedia qui a partir de Flash 5 à "oublié" la plateforme Mac soit disant moribonde pour tout miser sur Windows la plateforme sensée ramener plus de fric, et à ainsi abandonné les optimisations côté Mac en général.
Le coup de grâce à été donné d'une part par les PUBLICITAIRES qui ont détourné l'outil pour en faire un système de propagation de virus, pardon, de PUB vidéo qui l'ont rendu au final détestable. D'autre part par les sites de publication vidéo qui, DRM aidant, ont imposé Flash. Et comme Flash n'était plus optimisé pour Mac depuis des années, Adobe à tenté de rattraper le coup en voulant optimiser la lecture vidéo sur Mac, mais trop tard, c'est tout le bazar qui était devenu de la daube ! ;-)
Enfin, côté web je ne regrette pas Flash car cela donnait le plus souvent des machins ne respectant aucune des règles d' « accessibilité »....
Au final les artistes utilisant l'outil à bon escient et de manière intelligente se sont retrouvés en minorité face aux géants intéressés uniquement par le fric.
RIP, Flash (Pas le gamin de la BD/série ;-)

avatar oomu | 

moralité: si on veut avoir flash à jour, on ne devrait le faire qu'en allant sur le site ADOBE.COM, en ayant tapé à la main sur le clavier, A, puis D, puis O... dans la barre d'adresse du NAVIGATEUR (pas google)

être explicite avec un ordinateur, refuser les popup, les automatismes, les trucs intelligents en ligne, les champs de recherche so "smart", etc.

avatar sinbad21 | 

Rien dans l'article ne dit que ce soft a un certificat Apple en bonne et due forme.

avatar froco61 | 

Et ils ne pourront pas suspecter quoi que ce soit de mal, puisque les logiciels de cet éditeur sont signés d’un certificat Apple en bonne et due forme

avatar ever1 | 

Comme vous dites, beaucoup de softs ne sont pas sur le App Store, donc finalement on se retrouve dans le meme schéma que Windows à aller chercher ailleurs. Je recommande homebrew pour les softs opensource (essentiellement ligne de commande)

avatar oomu | 

sauf que rechercher ailleurs ne signifie pas cliquer sur le premier download et dire oui à Gatekeeper qui demande "vous êtes sur de vouloir démarrer l'app TrucInconnuSuperMoumoute de Inconnu Louche Inc ?"

ha mais qu'on a trop envie de voir le dernier starwars, on a pas envie de refuser des popups et des installs...

avatar Orus | 

Dans le futur, il va falloir que Mac OS X soit capable d'analyser les malwares et les éliminer de lui même; qu'il refuse même les actions de l'utilisateur si celui-i se laissait abuser par ces sociétés éditrices scélérates. Indispensable, et plus utile, que des nouveaux emojis ou la couleur des icônes.

avatar Léopold FEZEU | 

@Orus :
Tu ne serais pas un peu dictateur sur les bords??
Que le Mac outrepasse le désir de son "propriétaire" d'installer un logiciel pour "son bien"?
Oh wait, cela me rappelle quelque chose...

avatar iPop | 

@Orus :
Ou se transformer en iOS.
TRANSFORMATION !

avatar caissonbulle | 

Si j'avais les compétences d'un hacker (ce qui n'est absolument pas le cas), je pense que j'aurai énormément de plaisir à pourrir ces sites de m... !...

avatar Apollo11 | 

En bon franglais, on appelle ça un code 18.

Le problème est à 18 pouces de l'écran.

avatar AdDmeaNs | 

Et évidemment ils ne peuvent pas être poursuivi..... Pfffff.

avatar Seccotine | 

« Pourriciel » encore un de ces termes pour que personne ne comprennent de quoi on parle et faire semblant qu'on parle mieux le français... L'informatique est anglophone, il faut vraiment s'y faire. À part MacG, tout le monde utilise « malware » et on sait de quoi on parle.

avatar NORMAN49 | 

Moi je comprend mieux pourriciel. Même si l'anglais ne m'est pas étranger, la racine du mot dit merveilleusement ce qu'il faut en attendre... de manière plus précise et imagée que le mot anglais.
Mais enfin, si l'anglais avait le sens des nuances, on le saurait depuis longtemps ;-)

avatar AdDmeaNs | 

@Seccotine Logiciel Pourri = Pourriciel
Comme Courrier électronique = Courriel

Moi je trouve que ça colle bien.

Mais je suis d'accords des fois ça dérape à l'académie ! exemple :
Cédérom .... Ca veut rien dire !

avatar Vladimok | 

Et comment se débarrasser de :
Mac File Opener

CONNEXION UTILISATEUR