Malwares sur MacUpdate : comment télécharger vos applications sans risque

Stéphane Moussie |

Le 1er février, l’annuaire d’applications MacUpdate a distribué à son insu des copies vérolées de Firefox, OnyX et Deeper. Le site a été trompé par des hackers qui ont remplacé les liens de téléchargement légitimes par des liens menant vers des logiciels malveillants maquillés. Ce jour-là, en plus des versions originales de Firefox, OnyX et Deeper, les utilisateurs ont téléchargé un programme qui mine des cryptomonnaies en douce sur les Mac.

Les excuses de MacUpdate et les explications pour supprimer le programme malveillant.

MacUpdate a rapidement rétabli les liens de téléchargement authentiques et présenté ses excuses aux utilisateurs comme aux éditeurs des logiciels concernés, qui n’y sont pour rien.

Cette mésaventure rappelle qu’il est vraiment préférable de télécharger les applications directement sur les sites de leurs créateurs. Les intermédiaires comme MacUpdate peuvent se faire pirater, quand ce n’est carrément pas eux qui ajoutent des logiciels pernicieux.

Bien sûr, un éditeur peut lui aussi se faire pirater. Ce fut le cas en octobre dernier d’Eltima, qui a distribué à son insu des versions infectées de ses applications. Certains éditeurs, pas assez malheureusement, permettent de s’assurer que le logiciel que l’on télécharge sur leur site est authentique. C’est le cas d’OnyX et de Deeper : sur leur page de téléchargement, vous pouvez voir leur condensé SHA–256, une empreinte unique servant d’élément de comparaison ; il faut comparer le condensé du site avec celui de l’image disque que vous avez récupérée.

Pour ce faire, ouvrez le Terminal dans Applications > Utilitaires puis tapez shasum -a 256 et glissez-déposez l’image disque d’OnyX ou de Deeper dans la fenêtre, et appuyez sur Entrée. Si l’empreinte qui s’affiche est identique à celle du site, c’est bon, le téléchargement est fiable.

Notez que l’empreinte peut être définie avec une autre fonction de hachage, SHA 1 (exemple ici avec Handbrake). Dans ce cas-là, il faut saisir shasum -a 1 dans le Terminal.

Un autre moyen pour éviter les téléchargements trompeurs est de passer par le Mac App Store, qui est contrôlé par Apple. Mais le Mac App Store n’est pas sans faille lui non plus. En dépit du processus de validation d’Apple, de faux antivirus gratuits qui encourageaient l’achat d’une version payante ont pu y figurer pendant un temps. En cas de doute, vous pouvez contacter l’assistance Apple et vous renseigner sur notre forum.

avatar MerkoRiko | 

J'ai eu utlisé MacUpdate il y a très très longtemps...maintenant, je l'ai gardé en RSS, pour me prévenir des apps qui sont mises à jour et ne sont pas sur le Store.
Ce n'est pas la première fois qu'il y a des soucis chez eux...

avatar Yoskiz | 

Ou aussi utiliser Little Snitch pour identifier les connexions sortantes nouvelles non autorisées.

Little Snitch le fait penser à un radar pour l’aviation.

avatar C1rc3@0rc | 

Little Snitch ou Hands off sont deux soft essentiels, lls sont redoutablement efficaces pour debusquer les malware... mais faut il encore savoir s'en servir!

L'histoire qui vient d'arriver a Macupdate peut arriver a n'importe quelle plateforme de distribution de logiciels, il est tellement plus efficace de hacker ces plateformes que de s'attaquer a chaque site d'editeur. Le prochain ce sera certainement un site d'abonnement...

La seule vraie parade serait que les editeurs et Apple travaillent ensemble pour mettre en place un mecanisme de signature des soft, l'OS verifiant la signature avant d'autoriser l'installateur de lancer l'installation du programme. C'est deja en partie ce que fait MacOS, mais l'approche est pas assez generale et surtout est trop orientée "obsolescence programmée" par Apple...
Pour le moment le systeme verifie l'identifiant de l'editeur alors que ce qui est necessaire c'est de verifier la somme de controle du soft (SHA 256 / SHA 512) et c'est pas a l’utilisateur de faire cela car il est tellement facile d'abuser l'utilisateur par du phishing et des technique de type MiM...

Une autre solution serait d'utiliser un systeme reposant sur la blockchain, mais ça ne viendra pas d'un editeur commercial...

avatar alan1bangkok | 

MacUpdate sont hélas des spécialistes....il y a longtemps que je ne télécharge rien chez eux

avatar Le docteur | 

Oui, idem. Il fut un temps où c’était un site fiable, mais franchement, il figure parmi ceux que j’évite (pour les téléchargements, mais c’est vrai qu’il permet de savoir ce qui sort... et d’aller chercher ailleurs).

avatar huexley | 

Rendez nous versiontracker

avatar raf30 | 

Ah merci, je l'avais oublié celui-ci !

avatar Shralldam | 

@huexley

Laule.

avatar Ali Ibn Bachir Le Gros | 

MacUpdate, c'est bien le site qui installe des pourriciels ? Je me suis fait avoir une fois, plus jamais !

avatar C1rc3@0rc | 

@ Ali Ibn Bachir ...

C'est un des sites de distributions logiciels qui subit ce genre de desagrements. Sur MacOS on a pas trop la culture de la securité, mais coté Windows cela fait depuis longtemps que ce genre de sites et ses problemes existent.

Pour l'instant la seule option c'est de ne jamais telecharger quoi que ce soit en dehors du site de l'editeur... probleme, beaucoup de gens croient que ces plateformes de telechargement sont les distributeurs officiels...

avatar roccoyop | 

@C1rc3@0rc

Exactement, surtout que ce sont ces sites qui sortent en premier sur les moteurs de recherche.

avatar Jeckill13 | 

Comme quoi il faut mieux dans la plupart des des cas télécharger un logiciel sur le site officiel de l’éditeur dudit logiciel … et en plus t’es bien souvent moins soumis à un matraquage publicitaire que sur cet « annuaire »

avatar OnyX | 

...quand ce n’est carrément pas eux qui ajoutent des logiciels pernicieux.

Tout-à-fait vrai. Je ne sais pas s'ils le font encore mais à une époque, plusieurs utilisateurs se sont retrouvés avec de "faux" fichiers OnyX.dmg qui installaient des adwares et même d'autres utilitaires pas vraiment clean comme MacBooster.

On ne le répètera jamais assez : Toujours télécharger les applications directement sur les sites de leurs créateurs. C'est la règle N° 1 Bis. La règle N° 1 étant de ne jamais cliquer sur un lien dans un email ! ;-)

Désolé pour les utilisateurs d'OnyX et de Deeper qui se sont fait avoir.

MacUpdate fournit un petit script pour vérifier et supprimer les fichiers indésirables : https://goo.gl/jM6jXi

Merci MacG d'avoir relayé ces infos et la solution. ;-)

avatar C1rc3@0rc | 

@ OnyX

«On ne le répètera jamais assez : Toujours télécharger les applications directement sur les sites de leurs créateurs. C'est la règle N° 1 Bis. La règle N° 1 étant de ne jamais cliquer sur un lien dans un email ! ;-)»

C'est vrai, mais ce n'est pas suffisant. On a vu que des sites officiels pouvaient aussi se faire hacker et que des version vérolées pouvaient se retrouver sur le site de l’éditeur.

Je rajouterai que la règle 1 terce, c'est de ne jamais cliquer sur un lien de téléchargement dans un forum/blog/zone de commentaires (genre Youtube par exemple)...

Je le répète, encore une fois, la solution passe par une signature du soft (son empreinte SHA-256) emise par le developpeur et qui soit verifié automatiquement par l'installateur de l'OS. Le fait de mettre a disposition l'empreinte sur le site de l'editeur c'est une bonne chose en soi, mais si le site peut etre hacké et que le hacker peut y mettre une version verolé du soft, mettre une fausse signature est tout aussi possible...

Sinon, si tu es l'auteur d'OnyX, bravo, merci et tu as toute ma reconnaissance pour ton excellent travail.

avatar Avenger | 

@ Onyx

Merveilleux, d'un côté tu conseilles de "Toujours télécharger les applications directement sur les sites de leurs créateurs."

Mais, tu fournis un lien "goo.gl" qui permet de télécharger un fichier ZIP. Tout ce qu'il y a d'impossible à vérifier en terme de sécurité et donc tout ce qu'il ne faut vraiment pas conseiller à faire aux utilisateurs les moins expérimentes et donc ceux qui vont sur MacUpDate les yeux fermés.

- URL douteuse. Mène à un certain dl.macupdate.com dont je me méfierais. Car cela ne correspond pas à www.macupdate.com.
- un fichier Zip à télécharger représente le format de fichier dont il faut se méfier.

Le mieux aurait été de donner le lien vers la page web de MacUpDate qui parle de ce script.
https://support.macupdate.com/support/solutions/articles/5000762962-macu...

Cela donne une légitimité au lien indiqué.

Bref, aucune cohérence. Ce qui me fait douter du moindre lien entre ton pseudo et le créateur du terrible utilitaire du même nom.

avatar Emile Schwarz | 

Quelle drôle d’idée que de télécharger Firefox ailleurs que depuis ses serveurs !!!

C’est comme aller télécharger des applications macOS sur le Windows Store !

Quand même, faut avoir un grain pour faire des trucs pareils…

avatar C1rc3@0rc | 

Premier reflexe pour trouver un soft:
=> Google > nom approximatif du soft
=> resultat > les sites de telechargement qui payent un max pour apparaitre en tete de referencecemnt.

L'utilisateur lambda va donc cliquer sur le premier resultat de recherche, puis cliquer sur le premier lien avec le nom qu'il recherche, puis etant en compte administrateur va juste taper son mot de passe de session pour installer le soft qui va alors pouvoir caviarder tout l'OS...

On vit dans un monde extraordinaire ou l'on te vend de la biométrie sécuritaire (en fait de l'enfumage marketing soutenant l'obsolescence programmée) mais jamais les règles de base de la sécurité de ne sont mises en oeuvre...

avatar jacobinet | 

"Sinon, si tu es l'auteur d'OnyX, bravo, merci et tu as toute ma reconnaissance pour ton excellent travail."

+1 💙

avatar OnyX | 

Merci !! ;-)

avatar Grug | 

Macupdate présente quasiment toutes les mises à jour et nouveaux logiciels (certains passent quand même au travers).
Sur la fiche d'un fiche d'un logiciel, si les liens en haut à gauche mènent au téléchargements directs (ou via l'appstore) il y a systématiquement, en haut à droite, au-dessus de l'image présentant le logiciel, un lien vers le site du dev du logiciel. Developer website: lien
c'est par là qu'il faut passer pour être tranquille !

CONNEXION UTILISATEUR