Le ransowmare LockBit va attaquer macOS, mais les risques sont faibles actuellement
Les ransomwares, ces logiciels malveillants qui attaquent des ordinateurs pour les bloquer avant de demander une rançon, sont de plus en plus présents dans le paysage médiatique, mais ils ciblent rarement macOS. Pourtant, de temps en temps, une version adaptée à macOS sort. C'est le cas de LockBit : la version 3.0 peut malheureusement attaquer les Mac.
RaaS : ransomware-as-a-service
LockBit est un logiciel conçu majoritairement par des Russes selon plusieurs sources (les commanditaires sont évidemment anonymes) vendu comme un RaaS ou ransomware-as-a-service. Pour résumer, les malandrins permettent à d'autres personnes d'employer le logiciel malveillant, et ça a un prix, qui va probablement dépendre des cibles, des mises à jour nécessaires, etc.
Dans le cas de LockBit, ses créateurs ne vivent donc pas réellement des rançons demandées aux personnes ou institutions attaquées, mais bien de la vente du logiciel. Les différents retours sur LockBit montrent que les développeurs tentent de proposer un programme simple d'accès, mis à jour régulièrement. De même, ils s'inquiètent des retours des utilisateurs pour offrir une bonne expérience1.
Des rumeurs sur une version adaptée aux Mac étaient apparues en novembre 2022, mais la variante qui cible les Mac Apple Silicon n'a été vue que récemment, comme a pu le montrer MalwareHunterTeam sur Twitter.
macOS est en partie protégé par design
Les analyses montrent plusieurs choses sur les risques. Premièrement, les versions décortiquées sont signées pour un usage sur une machine précise et ne peuvent donc pas être exécutées directement sur un Mac lambda, sauf si — évidemment — l'utilisateur l'accepte explicitement. Deuxièmement, l'OS d'Apple dispose de plusieurs fonctions qui empêchent le logiciel de chiffrer le contenu du disque. D'abord, l'OS lui-même est sur une partition en lecture seule, ce qui empêche de facto le programme d'aller le modifier. Ensuite, les dossiers principaux (le bureau, les documents, les téléchargements) nécessitent que l'utilisateur donne son autorisation pour qu'un programme puisse écrire dedans. Enfin, la clé de déchiffrement de cette variante de test est… 57.
Bien évidemment, une version distribuée dans la nature devrait être signée et employer une clé un peu plus compliquée… Pour les accès à l'OS, il n'est pas exclu que les développeurs puissent trouver des failles pour passer outre les protections de macOS, mais Apple les corrige assez rapidement. Actuellement, les risques demeurent plutôt faibles, donc.
-
Nous ne parlons pas ici de l'application du dernier réseau social à la mode. ↩︎
En synthèse, à l'heure actuelle et en tant qu'utilisateur lambda, ça reviendrait à un choix délibéré de ce dernier de se mettre dans de sales draps ?
@KevinMalone
Le problème est dans la majeure partie des cas entre la chaise et le clavier….
@fredsoo
La fameuse couche 8.
fredsoo
Lorsque je prends ma voiture , je ne suis pas ingénieur mécanicien.
Il devrait être de même pour les OS. Mais ceux ci sont tellement mal foutus avec \ à cause des économies de bouts de chandelle..
Remarque on a vu pire , il parait que sur les CB, le code est à l’arrière de la carte. Il fallait y penser !
Et je ne parle même pas applications bancaires dans les années 2010, totalement non sécurisées.
Et bien je peux te dire qu'à l'époque j'avais un compte de trading d'option sur un opérateur à Malte, et bien mon compte était bien mieux sécurisé et plus restreint que la bnp , ou la SG.. Un comble !
Mais bien sur, comme tu le dis , il faut rejeter tout sur le dos de l'utilisateur , en esquivant la faiblesse des développeurs , grand pourvoyeur de message abscons dans leur boîte de dialogue. Boite de dialogue ou tu ne comprends rien, ou bien par dépit tu laisses tomber, et tu fais ok.
Il est ainsi par exemple bien difficile de déterminer sur des ordis ou smartphone quels logiciels ont accès à quoi , et qu'est ce qui est envoyé dans leur système (opaque ) de télémétrie (par exemple). Alors que c'est de la vie privée.
L'accès de l'envoi et de son contenu de ses données privées devraient être vérifiables en temps réél et très facilement..
Je donne un exemple. Google analytics sait beaucoup de choses sur nous car il est sur tous les sites web. Y a t il un moyen simple et direct de le vérifier rapidement et simplement l'état de ses données, ce qu'ils savent de nous, de leur profilage . Niet
Mais là encore cela doit être de la faute de l'utilisateur !
Et le pire est à venir avec les fabuleuses voitures connectées.. et le flot d'informations ( privé) qui est envoyé, où ? Et à je ne sais qui.
Comment se fait il par exemple que l'on est retrouvé en chine auprès d'un presta Apple , des informations sur ses clients.. ?
E,n conclusion, on voit que l'on a des os mal foutus, et trop permissifs, et de l'autre une trop grande facilité pour des vendeurs de téléphone (car ils ne sont que cela) à l'accès à notre vie privée.
Aurait-on il y a encore peu, permis à la poste d'ouvrir notre courrier postal, ou bien de connaitre nos déplacements, ou nos conversations dans notre appartement .. ? Je ne le pense pas.
En conclusion , de rejeter le tout sur le dos de l'utilisateur , qui n'est qu'un utilisateur lambda, permet aux entreprises du web et autres outils connectés, de faire n'importe quoi et ce sans aucun organisme de contrôle ou de certification indépendante.
Mais c'est plus facile , tellement plus facile de rejeter le tout sur le dos de l'utilisateur, bref tu fais la lie de cette industrie qui veut nous emprisonner dans des profils, dans du profilage, et savoir tout de nous. Bravo.
@KevinMalone
Sauf que l’utilisateur lambda n’a pas forcément conscience de se mettre dans de tels draps 🤗
@brunnno
… et aussi qu’un clic un peu trop rapide dans un moment d’inattention peut avoir de graves conséquences…
Même chez un utilisateur averti.
@bozzo:
M'en parlez pas... J'ai eu le malheur une fois de taper "ok" sur mon iPad pour une mise à jour (de coin j'ai mal visé)... Du coup j'ai pu directement le donner à mon gamin car l'usage pour lequel il était réservé (Logic Remote) n'était plus compatible avec la version de Mac OS...
Et comme il n'y a pas trois fenêtre (contrairement à quand on refuse la mise à jour), qu'il est impossible d'éteindre l'iPad, c'est 650 boules qui sont parti en fumée (et j'ai mis 6 mois à retrouver un ipad qui avait le bon Os dessus...)
J'aimerais bien rencontrer une personne qui n'a jamais soit cliqué à côté, soit cliqué trop vite... Et j'ai l'impression que plus on est avisé, et plus ce genre de chose arrive... (mon père panique à chaque boite de dialogue de peur de faire faux....)
@debione
En parachutisme, et parapente les accidents arrivent le plus souvent aux expérimentés. Trop de confiance…
Absolument !...
Il suffit d'un clic, d'une fois !...
Je viens de reprendre une licence VirusBarrier et ce qui me gène un peu (beaucoup !...), c'est que les mises à jour de la définition des virus ne peut se faire qu'à intervalles réguliers : mois, semaines et jours.
Donc, les cochoneries auront fatalement suffisamment de temps pour s'infiltrer (si manque de vigilance de ma part) jusqu'à ce que mon système, au mois/semaine/heure dite, recoive la définition du virus et soit ajoutée à mon système. Pas glop, sauf à ce que Intego, dès la découverte du virus et la définition de sa signature, la propage à tous ses “clients”, sans délai. Peuvent(veulent)-ils le faire ?...
@ LyvianVT
> Pas glop, sauf à ce que Intego, dès la découverte du virus et la définition de sa signature, la propage à tous ses “clients”, sans délai. Peuvent(veulent)-ils le faire ?
A ma connaissance aucun AV n'envoie les définitions de vaccins "en live", "virus par virus".
Ce qui est fait, c'est qu'à intervalles réguliers les dernières nouveautés sont publiées concernant les derniers malwares détectés.
Concernant Intego, il me semble avoir vu dans le passé qu'ils avaient publié des mises à jour de vaccins "hors planning", et même à plusieurs reprises dans la même journée justement pour tackler le plus vite possible une "nouveauté bien malveillante" - ce qui n'arrive pas tous les jours.
Et à moins d'être particulièrement casse-cou, sur Mac je pense qu'une mise à jour par jour est suffisante.
Au pire, en mode parano, vous attendez la mise à jour des définitions de malwares avant d'utiliser les logiciels que vous avez téléchargé depuis des sites
piratesdouteux.Mais en mode parano, je crains qu'aucune solution ne convienne en vérité. Sauf à retourner dans le passé avant la création des ordinateurs.
Merci Marc-os pour le complément d'information. Je suis d'accord avec vous : aucune envie de saisir une adresse web en gravant un bloc de pierre avec un burin !... ;-)
@KevinMalone
« En synthèse, à l'heure actuelle et en tant qu'utilisateur lambda, ça reviendrait à un choix délibéré de ce dernier de se mettre dans de sales draps ? »
Oui, avec un peu d’ingenierie sociale, c’est vite fait.
« LockBit est un logiciel […] vendu comme un RaaS ou ransomware-as-a-service.
Dans le cas de LockBit, ses créateurs ne vivent donc pas réellement des rançons demandées aux personnes ou institutions attaquées, mais bien de la vente du logiciel. Les différents retours sur LockBit montrent que les développeurs tentent de proposer un programme simple d'accès, mis à jour régulièrement. De même, ils s'inquiètent des retours des utilisateurs pour offrir une bonne expérience1. »
Dans quel monde merveilleux nous vivons !
Qu'est-ce qui te choque ? Que les voyous existent ? Ou qu'ils aient un meilleur service client que opérateurs de téléphonie ?
@vince29
Option B
« ils s'inquiètent des retours des utilisateurs pour offrir une bonne expérience »
———
Dans ce domaine, ils font mieux qu’Apple.
Et sinon ça s’attrape comment cette ch’touille ?
Dans un mail ?
Sur le web ?
@ bozzo
> Et sinon ça s’attrape comment
Ça s'achète.
(Mais ni à la Fnac, ni sur l'AppStore. Il faut que tu trouves ton dealer de quartier).
Et ça n'infecte pas ton Mac, ça permet de développer facilement un malware. Qui lui va peut-être infecter ton Mac.
En général en le téléchargeant. Soit via un logiciel piraté, soit en pj de Mail, les techniques sont connues, rien de spécial.
Hello. Est ce que le fait d'utiliser FileVaut permet d'éviter ce genre de d'attaque ?
@ gepe
> Est ce que le fait d'utiliser FileVaut permet d'éviter ce genre de d'attaque
1. Ils ne s'agit pas d'une attaque mais d'un logiciel pour fabriquer des malwares facilement.
2. FileVault protège vos données par mot de passe. C'est transparent, via le mot de passe de login. FileVault protège contre les vols de machines, pas contre les logiciels malveillants.
@Pierre Dandumont
déchiffrées, non ?
Par des Russes? Étonnant?!?..
Y’a t-il un anti-virus capable de nous protéger de cette cochonnerie ?
Je veux dire en plus de notre cervelle bien entendu.
@ Zefram
> Y’a t-il un anti-virus capable de nous protéger de cette cochonnerie ?
Non.
Mais contre les malwares produits par cette cochonnerie, oui, quand ils seront dans la nature et qu'ils auront été analysés par les producteurs d'AV, comme pour n'importe quel malware. Ou presque : Avec un peu de chance, si tous les malwares produits avec LockBit sont sur le même modèle, ce qui est fort probable, alors il est alors fort probable qu'ils se ressembleront tous et qu'une fois la première "variante" détectée, alors les suivantes le seront facilement.
De plus, les éditeurs d'AV peuvent aussi acheter LockBit afin de mieux analyser en amont les malwares pouvant être produits, avant même qu'ils ne se retrouvent dans la nature.
Finalement ça pourrait être "contre productif" du point de vue du malfaiteur, vu qu'il donne un bon nombre d'infos bien utiles aux éditeurs d'AV.
C'est un peu comme si un cambrioleur vendait ses outils aux fabricants de coffres-fort.
C’est pour ça qu’il faut rester à jour.
Difficile équilibre je suis d’accord…
Au sujet des voitures la responsabilité d’un accident est en règle générale du fait de celui qui est entre le siège et le volant 😁😉
„Enfin, la clé de déchiffrement de cette variante de test est… 57.“
Je ne l’accepte que si c’est 42.