Avant macOS 11.4, un malware pouvait prendre des captures d'écran en toute discrétion

Félix Cattafesta |

Hier est sorti la version finale de macOS 11.4. Cette version est importante car elle apporte un correctif de sécurité pour un malware prenant des captures d'écran sans que l'utilisateur ne puisse s'en rendre compte.

Graphique JAMF

Ce malware est en fait une variante de XCSSET, un programme malveillant connu depuis l'année dernière qui se cache dans des projets Xcode. Une fois installé sur le Mac du développeur, XCSSET vient se greffer sur les applications codées par celui-ci.

Cette fois-ci, le malware utilisait une faiblesse du contrôle d'accès des applications (framework TCC), le système de sécurité de macOS permettant à l'utilisateur d'autoriser l'accès au micro, à la webcam ou encore à l'intégralité du disque dur. XCSSET se cachait dans les fichiers d'une app ayant été déjà validée par l'utilisateur, ce qui lui permettait de profiter de ses autorisations. Évidemment, les logiciels visés étaient ceux demandant l'accès à la fonction d'enregistrement de l'écran comme TeamViewer, Parallels Desktop ou Skype. Cela permettait au malware de ne pas éveiller les soupçons de l'utilisateur, habitué à ce que ce genre de programme demande des permissions.

D'après Jamf à l'origine de la découverte, ce malware était opérationnel, mais on ne sait pas combien de victimes il a pu faire. Il a principalement servi à prendre des captures d’écran à l'insu de l'utilisateur, même s'il avait aussi potentiellement accès au micro, à la webcam et à d'autres données (mots de passe, carte de crédit). Apple a confirmé que cette faille de sécurité était bien résolue avec macOS 11.4.

avatar Felixba | 

Quelqu’un peut-il avoir accès à la webcam sans allumer la petite led verte ?

avatar Nico_Belgium | 

@Felixba

Il me semble que la led est directement liée au circuit électrique de la webcam et est donc impossible à pirater (si quelqu’un peut confirmer ou infirmer parce que je suis pas 100% sûr pour le coup)

avatar joelcro | 

@Nico_Belgium

Oui c’est exact. Flemme de chercher les références d’articles mais facile à trouver.

avatar Nico_Belgium | 

@joelcro

Merci. Il me semblait bien avoir lu ça quelque part mais pareil la flemme de chercher 😁

avatar Florent Morin | 

@Nico_Belgium

J’ai moins eu la flemme que vous 😁

Les modèles à partir de 2008 sont normalement sécurisés. Malgré tout, une faille potentielle aurait été décelée mais nécessiterait de reprogrammer la webcam. Et il y a de bonnes chances pour qu’Apple ait comblé la faille depuis.

avatar Felixba | 

@Nico_Belgium

Ok merci 🙏

avatar Ginger bread | 

@Nico_Belgium

Dans le film Snowden on apprend que non.
Après vu ce que fait la NSA et qu il y a des failles partout on doit certainement réussir à éviter cette activation ?

avatar Nico_Belgium | 

@Ginger bread

Éviter un truc purement physique sans aucun accès à la machine, je vois pas comment ce serait possible :)

avatar Link1993 | 

@Ginger bread

C'était le cas sur les MacBook jusqu'en 2012. La LED est directement branché sur le circuit de la caméra ^^

avatar Ginger bread | 

@Link1993

Je ne demande qu’à te croire sincèrement.

avatar Link1993 | 

@Ginger bread

En gros, pour qu'une caméra fonctionne, il faut l'alimenter en 5V. Cette ligne de 5V va dans le capteur en passant par une LED au milieu, ce qui la rends impossible à pirater (sinon la caméra ne marche pas).

Avant, la LED était sur un circuit séparé, et c'était du coup piratable ^^

En revanche, sur les PC Windows, aucune idée. Ça dépendra des constructeurs...

ÉDIT :

Un article de John Gruber concernant ce sujet (et je découvre du coup que c'est le cas sur les Mac après 2008, moi qui pensait que c'était 2012...)
https://daringfireball.net/2019/02/on_covering_webcams

avatar Ginger bread | 

@Link1993

Merci pour ces explications, en effet tu es très clair.
Branchement en série ainsi impossible de ne pas activer l’un sans l autre.

avatar Mrleblanc101 | 

@Felixba

Non

avatar abalem | 

🍆🤦🏻😵‍💫

avatar Ralph_ | 

Euh pour ceux restez à Mojave ça donne quoi?

avatar oboulot | 

@Ralph_

+1

Et bien nos Dick pics sont sur le net maintenant !! 🥲😅

avatar Paul Position | 

@Ralph_
Il y a une màj de sécurité disponible.
Il ne te reste plus qu'à visiter tes préférences système>Mis à jour de logiciels ...

avatar 5283manfred | 

@Ralph_

Sans parler des pov'malheureux comme moi, coincés sous El Capitan par leur hardware obsolète! 😬

avatar lmouillart | 

Le hardware obsolète c'est assez rare. Il existe nombre d'autres fournisseurs d'OS qui proposent des systèmes maintenus plus longtemps que macOS.

avatar 5283manfred | 

@lmouillart

Je sais bien, j'ai oublié les guillemets à "obsolète" 😉

avatar marenostrum | 

Il faut utiliser Xcode et aller chercher des librairies gratuites pour l’enrichir. Si t’as pas Xcode chez toi, dorme tranquille.

avatar R-APPLE-R | 

"même s'il avait aussi potentiellement accès au micro, à la webcam et à d'autres données (mots de passe, carte de crédit)…..

… vous auriez pu commencer par la 😂

avatar YAZombie | 

Je ne comprends pas très bien: cette faille a-t-elle été exploitée? Au travers de fichiers d'installation de TeamViewer ou des autres exemples cités, si je comprends bien (et je n'en suis pas sûr)? A-t-on une information de la part de ces entreprises qui indique que leurs fichiers d'installation aient été corrompus? Ou s'agirait-il de fichiers d'installation piochés en-dehors des sites des entreprises?

avatar Orus | 

Bref Apple comme à son habitude se moque totalement de tout ses clients toujours sur Mojave ou Catalina.

CONNEXION UTILISATEUR