Apple notarise de nouveau un malware

Mickaël Bazoge |

Un malware est de nouveau parvenu à obtenir la notarisation d'Apple. OSX/MacOffers, alias MaxOfferDeal, se cache derrière un installeur pour Flash, ce qui devrait faire sonner mille cloches cramoisies dans la tête des utilisateurs1. Toutefois, personne n'est parfait et le fait que le logiciel soit notarisé — c'est à dire qu'il puisse s'installer sans les alertes de sécurité de macOS — n'aide pas.

Depuis Mojave, les développeurs doivent obtenir d'Apple un certificat attestant que l'application est passée par la moulinette des outils de diagnostic de sécurité du constructeur. Sans cette signature, macOS prévient que l'app n'est pas sécurisée ; et pour pouvoir l'installer malgré tout, il faut en passer par un clic-droit sur son icône, puis Ouvrir.

Le chercheur Matt Muir a débusqué le malware en fouillant dans des logiciels craqués distribués sur l'internet interlope. Pour obtenir le feu vert d'Apple, le malware a planqué sa charge virale derrière une image JPEG, une technique vieille comme le monde connue sous le nom de stéganographie, ou « art de la dissimulation ». En l'occurrence, l'image en question contenait une archive (l'app malveillante en question) encodée en Base64.

Les outils de diagnostic d'Apple ont été trompés par cette technique de malandrin, c'est ce qui a permis au malware d'obtenir un blanc-seing. Le constructeur a néanmoins retiré son certificat le 12 octobre, ce qui va permettre à macOS de prévenir du danger avant de lancer l'installation du logiciel frauduleux.

Ce n'est malheureusement pas la première fois qu'Apple prend des vessies pour des lanternes. En août déjà, la Pomme s'était fait avoir, et il s'agissait là aussi d'un faux logiciel d'installation pour Flash (lire : macOS : le notaire d'Apple a validé des malwares par erreur).


  1. D'une part, personne n'a plus besoin de Flash. D'autre part, cette technologie sera définitivement abandonnée par Adobe en fin d'année.  ↩︎


Source
avatar fousfous | 

Il me semble qu'Apple ne vérifie pas du tout les apps distribuées en dehors du MAS, c'est juste le développeur qui s'enregistre et si après on découvre que c'est un malware alors Apple retire le certificat et donc l'app arrête de fonctionner.

avatar dodomu | 

@fousfous

J’aurais dis la même chose, c’est justement l’un des point différenciant entre la notarisation et le Mac App Store...

avatar Scooby-Doo | 

@fousfous,

« Il me semble qu'Apple ne vérifie pas du tout les apps distribuées en dehors du MAS, c'est juste le développeur qui s'enregistre et si après on découvre que c'est un malware alors Apple retire le certificat et donc l'app arrête de fonctionner. »

Il me semble surtout ceci :

Qui veut encore installer Adobe Flash Player sur son ordinateur, installeur notarisé ou pas, alors que Adobe encourage les utilisateurs à supprimer cette application ?

Cela me laisse songeur...

😉

avatar fousfous | 

@Scooby-Doo

Bah y a des sites qui demandent à télécharger flash pour fonctionner 😁
En plus ils te fournissent le lien de téléchargement 😂

avatar Jeckill13 | 

@Scooby-Doo

"Qui veut encore installer Adobe Flash Player sur son ordinateur"

Le problème est que la plupart des personnes ne savent à quoi sert flash player, et bien d’autre éléments. Donc si tu leur affiche une fenêtre qui dit il faut installer flash player pour que ça fonctionne … ils vont le faire. Tout comme il vont cliquer sur le message les avertissements qu’ils sont infectés et qu’il faut faire quelque chose.

avatar weagt | 

Les promoteurs de Malware feraient bien de se tourner vers autre chose que l'installateur de Flash... Ca ne va plus trop faire recette...

avatar DG33 | 

@weagt

Les désinstalleurs de Flash qui refilent un malware vont faire florès 😂
FlashUnisntaller...

avatar Paquito06 | 

En 2020 Adobe enterre pas mal d’outils comme Flash ou DTM, va falloir se mettre a la page, jeunes pirates 😅

avatar Scooby-Doo | 

@Paquito06,

« En 2020 Adobe enterre pas mal d’outils comme Flash ou DTM, va falloir se mettre a la page, jeunes pirates »

Peut-être justement que ce sont de vieux pirates pas du tout à la page !

Les djeunz pirates, ils savent bien que Adobe Flash Player, c'est mort de la mort qui tue !

😁

avatar Paquito06 | 

@Scooby-Doo

Bien vu l’aveugle, gen z ne doit pas trop connaitre Flash, ils sont nés avec Swift et HTML 5 dans la bouche 😅 On doit avoir la gen y aux commandes, faut se recycler les gars allez hop hop hop

avatar frankm | 

Quand ils voient un installateur Flash. Ils valident les yeux fermés

avatar Scooby-Doo | 

@frankm,

« Quand ils voient un installateur Flash. Ils valident les yeux fermés. »

👍😁

Du coup, ce n'est plus la peine de se fatiguer à leur expliquer !

Notarisé ou pas, ils cliquent OKAY sur tout et installent n'importe quoi...

😲

avatar Florent Morin | 

Le procédé a encore besoin d’être amélioré.

Ce qui explique probablement son arrivée tardive sur iOS.

avatar Mrleblanc101 | 

@FloMo

Pas besoin de notarisation quand tu distribue sur l'app store

avatar Florent Morin | 

@Mrleblanc101

Il y en a une quand même. Mais validation manuelle aussi.

avatar pagaupa | 

@Sindanárië

Ahhhh les odeurs!!!

avatar r e m y | 

Meme Adobe conseille de desinstaller Flash depuis quelques semaines. Si vous avez Flash sur votre Mac, le processus signalant habituellement l'existence de mises à jour, va vous afficher régulièrement un message conseillant de procéder à la désinstallation.

Mais nul doute que les malandrins les plus fourbes chercheront un autre faux nez pour vous convaincre d'installer leur pot de miel "testé et approuvé par Apple".

avatar Adodane | 

Il n’y a pas d’antivirus sur macos ? 🧐

avatar dodomu | 

@Adodane

Si, mais je pense que ça n’est pas dans les habitudes des utilisateurs d’en utiliser un... (Il me semble que macOS en contient un de base, mais assez sommaire...)

avatar Scooby-Doo | 

@Adodane,

« Il n’y a pas d’antivirus sur macos ? »

Dans le cas qui nous intéresse ce serait plutôt un anti-malware qu'il faudrait...

Bien sûr certains anti-virus ont une fonction anti-malware idoine !

😁

avatar Locke | 

Officiellement, voilà ce que propose Adobe... https://i.postimg.cc/85P1tYMb/Adobe-Flash-Player.jpg

avatar fte | 

Voilà pourquoi je télécharge tous mes logiciels Mac sur Windows.

avatar DG33 | 

@fte

Moi je continue à utiliser des gants en latex lorsque je touche clavier souris trackpad boutons, un peu d’alcool isopropylique de temps en temps et c’est bien suffisant 😅

avatar Artefact3000 | 

Une chance que MacOS n’est pas aussi répandu que Windows. Sinon, il croulerait sous les malwares.

avatar marc_os | 

@DareMac
Si tu le dis...

avatar switch | 

Les outils de "notarisation" d'Apple vont devoir s'étoffer, mais s'il faut vérifier le contenu de chaque fichier du bundle, cela va considérablement rallonger le délai de ce processus.
Mais cela ne règlera pas le fait que le code des binaires exécutables étant compilé, il est impossible de savoir ce qu'ils font sans les lancer manuellement pour en tester toutes les fonctions, ce qui absolument impossible à réaliser.
La confiance ou la notoriété dans le(s) auteur(s) de l'application reste donc de mise.

avatar Castio | 

Tant qu'elles y sont, les petites frappes qui capitalisent sur le flash devraient essayer les disquettes 3,5".

avatar Scooby-Doo | 

@Castio,

« Tant qu'elles y sont, les petites frappes qui capitalisent sur le flash devraient essayer les disquettes 3,5". »

Du moment que le lecteur de disquettes 3"1/2 soit en USB-C ou Thunderbolt !!!

😁

avatar Dimemas | 

Y a pas de virus et de malware sur macOS hein 😏

avatar Scooby-Doo | 

@Dimemas,

« Y a pas de virus et de malware sur macOS hein »

😁

Chère victime d'un marketing bien huilé, heureux de l'apprendre...

Je me doute que vous n'êtes pas tombé dans le panneau !

😉

avatar Dimemas | 

Ça vaaaaa je plaisante mon scooby !
Une pizza ? ;)

avatar Un Type Vrai | 

Il a été prouvé que le nombre de malware n'est pas forcément en rapport avec la popularité d'une plateforme. Donc l'assertion "heureusement qu'il n'y a pas beaucoup de mac"...
Un contre exemple suffit, j'en donne 2 : iOS et Androïd n'ont pas assez de malware en rapport avec leur popularité.

Sinon, une personne en train d'installer flashplayer ou silverlight est une cible plus facile pour un malware qui a besoin quand même qu'on clique sur installer. On aura un rapport téléchargement / installation très fort (et probablement un ordi avec des MDP accessible, le MDP du compte utilisateur sera le même que celui de la boite mail et du compte en banque etc.)
Bref, quitte à installer un malware, autant qu'il puisse se faire plaisir sur l'ordi d'une personne qui comprend pas grand chose à l'informatique.

avatar flux_capacitor | 

Ma sœur a infecté son MacBook Pro via une extension Chrome pourtant très populaire (Nigh Shift) qui contient un malware que même MalwareBytes n'a pas détecté.

On se moque souvent du Play Store qui est un bouillon de cultures par rapport à l'App Store d'Apple, mais au final Google arrive à nous pourrir aussi nos machines via son Chrome Extension Store !

PS : merci aussi à Apple qui a artificiellement bridé les Mac d'avant 2012 concernant la fonction intégrée NighShift, qui est donc absente de l'OS de ces machines.

avatar flux_capacitor | 

Un peu de contexte sur cette histoire : le développeur de Nigh Shift diffusait depuis un bail cette extension en effet très populaire, qui était tout à fait clean. Puis il l'a vendue à un éditeur tiers sans scrupules qui s'est empressé d'y injecter un malware, infectant des milliers ou dizaines de milliers de machines à travers le monde, via sa large base installée. Google une fois mis au courant a supprimé ce compte, mais le mal était fait. Le développeur d'origine a récupéré son bébé, désormais rebaptisé "Night Shift Redux" et certifié sans malware.

avatar marc_os | 

@flux_capacitor
Pour info, il n'y a pas que MalwareBytes dans la vie.
Mais c'est sûr, si vous tenez à faire des économies sur la sécurité, faut pas vous plaindre.

avatar fte | 

@marc_os

"Mais c'est sûr, si vous tenez à faire des économies sur la sécurité, faut pas vous plaindre."

Ça pourrait être pire, nombreux sont ceux qui font confiance à Apple.

CONNEXION UTILISATEUR