J’ai affronté mon premier malware sur Mac

Nicolas Furno |

Quand j’ai quitté Windows, d’abord pour Linux avant de passer sur macOS, la promesse de ne plus avoir à gérer les innombrables virus et autres malwares qui pullulaient sur le système de Microsoft était un des arguments les plus séduisants. C’était entre la fin des années 1990 et la première moitié des années 2000, une époque où l’on installait tous des antivirus qui ne protégeaient pas vraiment les PC, mais qui les ralentissaient assurément.

Ne plus avoir à gérer Norton et compagnie faisait envie et je me souviens que c’était un argument qui revenait très souvent dans les débats enflammés sur les forums et autres canaux IRC (la belle époque…). Bref, j’ai abandonné l'univers Windows au profit d’un autre, beaucoup plus sécurisé. Et pendant quelques années, on n’a jamais vraiment entendu parler de virus ou d’autres saletés virtuelles sur Mac.

Un virus sur Mac ? Oui, mais. (Photo Robert S. Donovan CC BY-NC 2.0)
Un virus sur Mac ? Oui, mais. (Photo Robert S. Donovan CC BY-NC 2.0)

Mais depuis cinq ou six ans, ils ont fait leur retour dans l’actualité Apple. Le constructeur a ajouté une liste, XProtect, pour contrer les malwares connus avec Snow Leopard, ce qui n’a pas empêché quelques attaques spectaculaires. C’est souvent Flash qui a servi de vecteur — plusieurs centaines de milliers de Mac infectés en 2012 —, parfois aussi Java, mais dernièrement, c’est Transmission qui a été utilisé. Ke.Ranger a fait énormément parler de lui au printemps dernier et même s’il n’a concerné « que » quelques milliers de Mac, il a suscité beaucoup d’agitation.

Alors que je n’ai jamais vraiment souffert de virus pendant mes années Windows (la lenteur des anti-virus, en revanche…), j’ai été confronté à au moins un malware, nommé Trovi et qui agit depuis longtemps manifestement. Pas sur un PC, mais sur un Mac, et pas plus tard qu'hier soir. J’ai été désarmé face à ce programme malveillant, je n’avais aucun outil installé pour le supprimer et il était plus agressif que je ne l’imaginais.

Je ne sais pas comment ce malware est arrivé. C’est la première question que l’on se pose naturellement : pourquoi moi ? Cela ne devrait pas m’arriver, je suis censé m’y connaître et faire attention ! J’ai quelques pistes sur l’origine : ce Mac est sous la télé dans le salon et il est essentiellement utilisé en tant que media-center, ce qui explique que je ne le surveillais pas attentivement. Il arrive que l'on visite des sites de téléchargement susceptibles de propager des logiciels malveillants. Et Flash et Java étaient installés et pas forcément mis à jour, ce qui est une très mauvaise idée.

Mais au fond, tout cela n’a aucune importance. Inutile de s’apitoyer ou pire, de se moquer des victimes, cela peut probablement arriver à n’importe qui, surtout si on ne surveille pas de près sa machine. J’aurais dû être plus prudent, évidemment, mais ce Mac était protégé en théorie. Entre XProtect et GateKeeper, les sécurités de base proposées par Apple étaient bien en place, mais elles ont failli à leur devoir.

XProtect n’a pas fait son travail de protection, alors que le fichier (ici sur un autre Mac) contient bien une référence au malware en question (Trovi).
XProtect n’a pas fait son travail de protection, alors que le fichier (ici sur un autre Mac) contient bien une référence au malware en question (Trovi).

Il faut dire que ce logiciel malveillant — ou ces logiciels, je ne sais pas exactement — était présent depuis longtemps. J’ai retrouvé des fichiers vieux de près d’un mois, signe qu’il s’est probablement installé et qu’il est resté inactif pendant longtemps. Ces dernières semaines, le seul signe étrange était une abondance de publicités dans Safari : sur certains sites, une fenêtre de publicité s’ouvrait à chaque premier clic sur chaque page. J’ai installé un bloqueur de publicité, cela n’y a rien fait, et puis surtout, ce phénomène se reproduisait de plus en plus partout, y compris sur des sites normalement sans publicités.

À ce stade, j’étais alors très suspicieux et j’ai ouvert le moniteur d’activité de macOS, ce qui a confirmé instantanément les doutes que je pouvais encore avoir. Des dizaines et des dizaines de processus que je ne connaissais pas, associés à un utilisateur qui « n’existe pas » sur le Mac. Ils ont tous des noms bizarres pour mieux induire l’utilisateur trop curieux en erreur : si on ne sait pas ce que l’on regarde, on passerait totalement à côté.

La preuve de l’infection : des dizaines de processus plus ou moins actifs qui polluent le Mac. — Cliquer pour agrandir
La preuve de l’infection : des dizaines de processus plus ou moins actifs qui polluent le Mac. — Cliquer pour agrandir

Idem dans la Console, où ces mêmes processus envoyaient des milliers et des milliers de messages en permanence. Là encore, cela ne veut rien dire pour un néophyte, ce qui est malin de la part du script malveillant : il est difficile à détecter. Pour ma part, j’ai trouvé dans les logs de la Console des chemins d’accès et j’ai commencé à fouiller.

La Console trahit l’activité frénétique du malware, sans que l’on sache exactement ce qu’il fabrique. — Cliquer pour agrandir
La Console trahit l’activité frénétique du malware, sans que l’on sache exactement ce qu’il fabrique. — Cliquer pour agrandir

Il ne m’a pas fallu longtemps pour trouver les emplacements où ce malware agissait. J’ai retrouvé tous les noms bizarres des processus dans le dossier bibliothèque à la racine du Mac, dans /private/var, dans celui dédié aux LaunchDeamon où tous les processus qui tournent à l’arrière-plan sont situés. L’action de base du script est évidente : se cacher au milieu du système en répartissant ses fichiers à plein d’endroits différents, et s’assurer une présence même en cas de redémarrage.

Quelques-uns des dossiers et fichiers liés au malware. — Cliquer pour agrandir
Quelques-uns des dossiers et fichiers liés au malware. — Cliquer pour agrandir

Face à cette découverte, j’ai entrepris un nettoyage manuel : j’ai ouvert tous les dossiers du système pour repérer soit les noms des processus listés dans le moniteur d’activités, soit les dossiers modifiés récemment. Et j’ai supprimé à tour de bras tout ce qui me semblait suspect, passant par le terminal pour m’assurer que tout était bien retiré. Le souci, c’est qu’à chaque fois que je supprimais un dossier, deux ou trois autres venaient le remplacer. Il fallait en venir à la source, mais c’était plus facile à dire qu’à faire.

En effet, j’ai noté une réaction du programme malveillant, comme s’il avait été programmé pour se défendre. Jusque-là très discret — nonobstant les publicités dans Safari, on ne l’avait jamais vu agir —, il est devenu hyper actif. Le malware ouvrait régulièrement Safari pour changer mes paramètres, supprimer mes extensions et installer une extension nommée Trovi. Quand je cherchais dans Google des informations sur un logiciel anti-malware, il quittait le navigateur. J’ai ouvert Firefox, mais il a fait la même chose, changeant même la page d’accueil pour un clone de Google, probablement du phishing.

Régulièrement, le malware installait de force cette extension et supprimait toutes les autres.
Régulièrement, le malware installait de force cette extension et supprimait toutes les autres.

Reconnaissant (enfin…) que je n’allais pas éradiquer tout seul ce corps étranger de mon Mac, je me suis résigné à installer un anti-malware, chose que je n’aurais jamais imaginé faire sur Mac. J’ai opté pour l’outil de MalwareBytes qui a le principal avantage d’être gratuit. Après avoir lutté pour l’installer — il m’a fallu créer une autre session uniquement pour lancer l’application —, j’ai lancé l’analyse. Il a trouvé quelques fichiers, les a placé à la corbeille et m’a demandé de redémarrer le Mac... Mais le système n’a jamais redémarré.

Est-ce la faute de l’anti-malware ou d’un nettoyage trop agressif de ma part ? Toujours est-il qu’il manquait quelque chose pour qu'El Capitan redémarre normalement. À ce moment-là, après une bonne heure à lutter contre ce logiciel malveillant, j’ai rendu les armes, formaté le disque dur et réinstallé le système d’exploitation. Fort heureusement, ce Mac était utilisé comme media-center et l’essentiel était stocké en externe, ce qui a simplifié considérablement la procédure.

L’anti-malware a bien repéré un logiciel malveillant
L’anti-malware a bien repéré un logiciel malveillant.

À l’arrivée, j’ai perdu une soirée et probablement encore une autre pour tout réinstaller et configurer comme c’était avant. Ça, ce n’est pas grave. En revanche, je ne sais pas exactement ce que ce malware a fait. S’il s’est contenté d’ajouter de la publicité dans Safari, je m’en fiche pas mal. S’il a analysé des semaines d’utilisation du Mac, transmis l’historique de navigation, voire mémorisé toutes les touches saisies en permanence, c’est un vrai problème. Dois-je changer tous mes mots de passe en prévention ? Heureusement, il y a 1Password, mais sur une période aussi longue, qui sait ce qui a pu se passer ?

C’est bien ça qui me gêne le plus : ne pas savoir. Et me dire que les protections de base d’Apple ne suffisent pas, puisque j’ai été infecté malgré elles. Comment éviter les logiciels malveillants à l’avenir ? Je n’ai pas de vraie solution hélas, à moins d’installer un anti-malware, mais sera-t-il vraiment efficace ? Le mieux reste les sauvegardes régulières et la surveillance constante : dès que l’on repère quelque chose de suspect, on ne se pose pas de questions, on efface et on revient en arrière.

C’est une bonne pratique, mais elle est contraignante et elle effraiera la majorité des utilisateurs. Par défaut, Flash et Java se mettent à jour automatiquement, mais il vaut mieux veiller régulièrement à ce que cela soit bien le cas. Sans compter qu’un malware malin sait se faire discret et ne pas gêner l’utilisation de l’ordinateur, ce qui rend sa détection quasiment impossible si on ne sait pas où regarder.

Les créateurs de ces scripts malveillants ont probablement un bel avenir devant eux…

Avez-vous déjà affronté un malware sur votre Mac ou sur celui d'un tiers ? C'est la question que nous vous posons dans notre dernier sondage !


Comment s’en protéger ?

Pour vous protéger et surtout protéger vos proches qui ne sont pas forcément aussi habiles avec un ordinateur que vous, voici quelques conseils :

  • Ne pas saisir le mot de passe administrateur au hasard, voire utiliser une session standard et un mot de passe complexe et difficile à saisir ;
  • Configurer GateKeeper pour n’accepter que les apps du Mac App Store et les apps signées, voire uniquement le Mac App Store ;
  • Vérifier que le fichier XProtect.plist est mis à jour régulièrement : dans les Préférences Système, ouvrir le panneau « App Store », la case « Installer les fichiers de données système et les mises à jour de sécurité » doit bien être cochée ;
  • Surveiller de temps en temps le moniteur d’activité :
    • Ouvrir l’application et dans le menu « Présentation », cocher « Toutes les opérations » ;
    • Dans la liste d’utilisateurs, vérifier qu’il n’y a que les comptes des sessions ouvertes, plus ceux du système :
      • root
      • _appleevents
      • _captiveagent
      • _coreaudiod
      • _displaypolicyd
      • _distnote
      • _iconservices
      • _locationd
      • _mdnsrespond
      • _netbios
      • _networkd
      • _nsurlsessiond
      • _softwareupdate
      • _spotlight
      • _usbmuxd
      • _windowserver
  • Maintenir à jour tous les logiciels, en particulier Flash et Java ;
  • Télécharger les logiciels sur le site de l'éditeur plutôt que sur les sites catalogue (MacUpdate, CNet télécharger, Softonic, etc.) ;
  • En cas de doute, demander de l’aide : les forums de MacGeneration contiennent de nombreux sujets sur les malwares qui touchent les Mac, avec des explications à chaque fois pour s’en débarrasser.

Image de couverture : Brian Barnett (CC BY-NC-ND 2.0)


avatar fousfous | 

Ça semblé évident que ceux qui vont avoir des problèmes sont ceux qui ne téléchargent pas sur le MAS et qui rentrent leur mot de passe administrateur la moindre fois qu'une application le demande...
Donc le problème ne vient pas d'Apple mais de certains utilisateurs qui estiment être suffisamment bon pour se passer de ses protections, d'ailleurs ce genre de personnes c'est ceux qui se disent sur Mac depuis longtemps et qui arrêtent pas de râler en disant que tout était mieux avant...
Et on voit aussi les dégâts des apps qui sont sensé nettoyer le système mais qui font plus de dégâts qu'autre chose... On remarque aussi que ce sont les mêmes qui utilisent ça et qui râlent parce que le Mac devient lent...

En gros tout cela peut être évité si l'utilisateur arrête de se penser suffisamment fort pour contourner les protections systèmes, mais vu la tonne d'aigri qu'il y a ici c'est pas prêt d'arriver...

avatar Un Type Vrai | 

"d'ailleurs ce genre de personnes c'est ceux qui se disent sur Mac depuis longtemps et qui arrêtent pas de râler en disant que tout était mieux avant..."

Amalgame à 2 cents.

avatar C1rc3@0rc | 

@Un Type Vrai

@fousfous neglige en effet un element fondamental: on parle de malware ici, pas de virus. Et le problème c'est que si le Mac est quasi exempt de virus, un keylogger, un trojan ou meme un peripherique USB vérolé peuvent parasiter le Mac sans grande difficulté.
Bien évidement, utiliser des softs provenant des App store, éliminer définitivement Flash et Java des navigateurs et utiliser les dernieres mise-a-jour permettent d'éviter des risques, mais c'est pas efficace a 100%.

Et puis il y a un autre element a prendre en compte: le premier malware sur les navigateurs WEB, c'est la pub, et sur Mac c'est MacOS Yosemite!
On a deja eu des alertes avec par exemple une librairie largement utilisés pour la gestion de mise a jour.

Et puis il faut aussi bien prendre en compte un problème bien réel: le Mac devient de plus en plus compliqué et cher, les promotions de logiciels sont de plus en plus fréquentes, Apple complique la vie des utilisateurs et des developpeurs, les app store sont des archaïsmes quant a la recherche dans la jungle de softs,... bref tout ça aide les producteurs de malware.

Il est clair que l'utilisateur a un role actif pour l'installation de la majorité de malware, mais il n'est pas non plus responsable a 100% et la est le probleme!

avatar Avenger | 

Wouaaa, quel bel ensemble de préjugés!

La sécurité informatique, dans son sens le plus large, va poser de plus en plus de sérieux problèmes. Pourquoi? Parce que, maintenant, afin de pouvoir utiliser sereinement un ordinateur, une tablette ou un smartphone, il faudrait que l'utilisateur passe des heures et des heures à se renseigner sur ce qui est bon à faire ou pas. Sur l'évolution des malwares, spams, virus, etc. Pour beaucoup de personnes, utiliser un ordinateur, une tablette ou un smartphone est presque devenu plus une obligation, nécessité, qu'une réelle envie. On demande l'impossible à ces utilisateurs.

Cela part dans tous les sens, cela change tout le temps. Ce qui est valable aujourd'hui, ne le sera plus demain.

Et les personnes comme toi, "fousfous", qui pointe systématiquement l'utilisateur du doigt, prêt à l'accuser des tous les maux, est tout simplement aveugle face à l'évolution qui est imposée à des personnes qui n'en demandent pas autant.

Si demain, on te dit que le code de la route change tous les mois, de façon assez conséquente, aurais-tu envie de passer du temps à te mettre à jour afin de garder l'utilisation de ta voiture? J'en doute fort. C'est un peu exagéré, comme comparaison, mais c'est exactement ce qu'il se passe avec l'informatique.

avatar fousfous | 

@Avenger :
Bah non y a une solution, ne pas contourner les protections d'Apple...

avatar Avenger | 

Les protections d'Apple sont loin d'être parfaites.

http://www.01net.com/actualites/un-nouveau-malware-pour-mac-os-x-contourne-la-securite-de-gatekeeper-595437.html

De plus, ce n'est même pas une question de contourner ou pas les protections d'Apple.

Un simple exemple, en espérant que tu seras à même de comprendre. On sait que Flash Player est un truc à ne pas installer, pour diverses raisons. Pourquoi? Parce que toi et moi passons beaucoup de temps à nous renseigner sur l'informatique.

Maintenant, imagine une ménagère qui utilise un ordinateur juste pour consulter ses emails et aller sur internet. Ok? Elle va sur internet et, tout d'un coup, un message lui signale qu'elle doit mettre Flash Payer à jour. La page lui affiche un gros bouton "Télécharger Flash Player". Pour elle, c'est logique, elle clique dessus et va se retrouver, sans le savoir, à télécharger une application malveillante. L'installeur lui demande le mot de passe, ce qu'elle fait. Pourquoi refuserait-elle de faire cela, puisque cela lui semble tout à fait normal. Et voilà, sans contourner le moins du monde les protections d'Apple, cette utilisatrice se retrouve avec un merde sur son Mac.

avatar fousfous | 

@Avenger :
Si tu respectes les protections d'Apple en laissant MAS uniquement je t'assure que tu ne peux pas avoir le moins malware.
C'est tout il suffit juste de ne pas télécharger en dehors du MAS, après si on fait ça faut pas se plaindre après que son Mac marche moins bien...

avatar mac_adam | 

@oufouf :
Désolé mais, au risque de me répéter une énième fois, il y a sur l'App Store des applications mal foutues qui provoquent des bugs du système.
Plus rarement on peut y trouver des applications vérolées : par exemple, il y a quelques mois ce développeur qui, trois mois après s'être fait éjecté avec son application vérolée de l'App Store, a pu y revenir avec en gros la même appli dont il avait changé le nom et repeint la façade !
Cela dit, ne télécharger que sur l'App Store réduit notablement les risques, c'est sûr.

avatar bugman | 

@fousfous : Mais, comment faisais tu avant l'arrivé du MAS pour survivre dans cette jungle ?

Et pour la millième fois, il existe des applications qui ne peuvent être sur le store pour une question de politique sécuritaire made in Apple. Un parfait exemple est Little Snitch (qui pour le coup te permet de mieux sécurisé ta machine, vu que c'est un firewall).

Et que fais tu des applications qui n'ont pas de versions autonomes (comme certains plug-ins audio par exemple) ?

Ou simplement, je trouve où sur le MAS certains logiciels professionnels quand leurs éditeurs ne veulent pas y être ? Je me vois mal m'en passer si j'en suis satisfait (et de par leurs fonctions et de par leurs sérieux) pour ton petit plaisir personnel.

avatar Avenger | 

@ foufou,

Décidément, tu es borné! Adobe Acrobat Reader, VLC, Onyx, tu les trouves peut-être sur le MAS? Pourtant, ce sont de fabuleux logiciels bien utiles. En Belgique, l'application pour lire la carte d'identité, on ne la trouve pas sur le super, merveilleux MAS.

Pour mes clients, je travaille beaucoup avec TeamViewer. Mais on ne le trouve pas sur le MAS.

De plus, c'est ignorer que beaucoup d'utilisateurs ne savent même pas ce qu'est vraiment l'AppleStore, comme cela fonctionne, etc. Sors un peu de ton univers. Ouvre les yeux.

Tu n'as même pas pris le peine de lire mes messages correctement. Car ce que je voulais souligner, ce que, de plus en plus, il faut être terriblement bien informé pour utiliser les outils informatiques le plus sereinement possible.

Ce n'est pas ton fameux MAS qui va empêcher quelqu'un de tomber dans le piège d'un SPAM. Les pirates s'adaptent et deviennent de plus en plus futés pour piéger les utilisateurs. Et ce n'es pas ton MAS qui va changer cela. C'est la formation des utilisateurs.

avatar frankm | 

La ménagère de 50 ans que je connais est administrée par mes soins, elle n'a pas le mot de passe admin.

avatar Avenger | 

Oui, c'est une solution ultime. Personnellement, je n'aime pas cette situation, n'ayant pas envie d'être dérangé pour la moindre demande de mot de passe. J'éduque, tant que faire se peut, ma clientèle afin qu'elle soit un minimum autonome sans-moi. Et je lui explique clairement les situations pour lesquelles il faut me impérativement me contacter sous peine de faire pire que bien. :-)

avatar BigMonster | 

@ frankm

[La ménagère de 50 ans que je connais est administrée par mes soins…]

Je veux bien, moi aussi, administrer quelques ménagères, mais seulement si elles ont 30 ans ou moins.

avatar Rictusi | 

En fait techniquement si les règles du code de la route changent, tu DOIS te mettre à jour, sinon tu es un danger pour toi-même et les autres, en plus d'être dans l'illégalité.
Il y a donc deux solutions:
- Soit comme tu le dis tu ne veux rien changer à tes habitudes, et alors tu arrêtes simplement d'utiliser un tel outil.
- Soit tu te mets à jour et tout va bien.

Que tu en ais l'envie ou non, cela ne change strictement rien à la situation et ne rend pas la chose plus "excusable".

avatar Avenger | 

@ Rictusi, merci pour ce fou rire, en ce début d'après-midi! Je suis donc un danger pour moi-même et les autres et, en plus, je suis dans l'illégalité. Excusez-moi d'être modeste et de reconnaître qu'il m'est impossible de connaître à 100% le code de la route. Et je ne vois pas en quoi cela fait de moi quelqu'un plus dangereux, sur la route?

Et vous, Rictusi, connaissez-vous parfaitement et complètement le code de la route, en toute bonne foi?

avatar Rictusi | 

@Avanger.
De rien, le rire est gratuit et ça me fais plaisir.
Je ne tiens pas m'avancer sur ma connaissance du code de la route ou des autres, j'ai le permis et tout les points mais qui à dit que je conduisais déjà ? ^^ je répondais juste à cela:
"Si demain, on te dit que le code de la route change tous les mois, de façon assez exagéré, comme comparaison, mais exactement ce qu'il se passe avec l'informatique".
Donc je ne dis pas que tu es un danger ou dans l'illégalité, je dis juste que quand tout change comme tu le décris, les seules choix qui s'offrent à toi, sont ceux que j'ai mentionné. Mais c'était sans attaque personnel ne t'inquiètes pas, et j'allais juste au bout de ta comparaison, même si comme tu le soulignais ce n'était pas forcément la meilleure, comme toutes les comparaisons auto/info. D'ailleurs leur seule ressemblance est d'être un outil. Mais encore une fois c'est sans attaque, tu as le droit de penser différemment ! :)

avatar lolo-69 | 

" mais vu la tonne d'aigri qu'il y a ici c'est pas prêt d'arriver... "
Rassurez-vous.
A vous seul, votre idolâtrie béate, votre parti-pris, votre manque d'objectivité et votre aveuglement envers la Sainte-Pomme compense lââârgement la "tonne" d'aigris que vous fustigez...
Votre doudou-mania n'a pas de bornes.

avatar heret | 

@fousfous
Ne sort pas de chez toi, reste dans ton lit sous un bon édredon et un masque respiratoire sur la figure, tu pourrais te choper un virus.

Sinon, je dois avoir la dernière version (et c'est bien la dernière) de Disinfectant sur une disquette 400K, quelque part...

avatar Nicolas Lellouche | 

Interessant témoignage ! Tu devrais transmettre à Apple par le Bug Report tout ça, il n'est pas normal que ce malware passe malgré XProtect !

Et autre conseil, pour ceux qui ont Google Chrome, désinstallez simplement (cette merde d') Adobe Flash Player, il pose 90% des problèmes de sécurité sur OS X (euu… macOS), je l'ai abandonné en 2011 et je ne regrette pas une seconde ! Pour Java, c'est une question d'usage, je l'ai installé sur une machine virtuelle de mon côté !

Bref, encore merci Nicolas pour ce partage d'expérience !

avatar iphonophile | 

@nicolellouche :
Mais comment il peut faire vu qu'il a formater et réinstaller ??

avatar Nicolas Lellouche | 

Je ne parlais évidemment pas de son cas où c'était trop tard. Mais en général avoir ces extensions installées n'est vraiment pas nécessaire !

avatar occam | 

ArsTechnica fait aussi la une sur trois nouveaux malwares Mac, à lire d'urgence :
http://arstechnica.com/security/2016/07/after-hiatus-in-the-wild-mac-backdoors-are-suddenly-back/

En plus des recommandations excellentes de Nicolas Furno, il faudrait mentionner LittleSnitch :
https://www.obdev.at/products/littlesnitch/index.html
indispensable pour surveiller tout ce qui sort de votre système.

avatar pat3 | 

@fousfous :
My 2 pences :
- j'utilise Firefox, dans lequel j'ai désactivé toutes les mémorisations de mots de passe (je n'utilise plus que 1password pour ça); quand Firefox ne passe pas, j'utilise Safari; quand ni Firefox ni Safari ne passent, soit je passe mon tour, soit j'utilise une version de Chromium à jour (1er cas d"utilisation de Chromium);
- je n'ai pas Flash, juste une version à jour de Chromium que j'ouvre pour regarder les vidéos en flash sur des sites paresseux (2e cas d'utilisation de Chromium) - mais maintenant que l'INA et Allociné sont passés eux aussi à l'HTML5, j'ai beaucoup moins de raisons d'utiliser Flash;
- j'ai toujours la dernère mise à jour de Java, soit sur le site d'Oracle, soit fournie par Apple;
- je ne streame pas, je télécharge;
- j'utilise LittleSnitch et je vérifie régulièrement les liens sortants, à l'ouverture de tous logiciels, et je n'autorise que ce qui me semble nécessaire (parfois, je dois lâcher du lest pour faire fonctionner le logiciel, mais il m'arrive aussi assez fréquemment de changer de logiciel parce que je le trouve trop intrusif;
- j'utilise le logiciel de MalwareBits;
- je surveille mes mails de façon draconienne, et j'utilise Gmail pour tout abonnement à risque (mon compte Gmail est un compte poubelle). J'ai hésité à acheter spam sieve, si quelqu'un a des retours d'usage, je suis preneur.

En 30 ans de Mac, j'ai dû croiser 1 cheval de Troie et un malware… mais je reste prudent ;-)

avatar fousfous | 

@pat3 :
Tu es au courant qu'il y a flash dans chromium hein? Avec les mêmes failles de sécurité

avatar frankm | 

Il faut faire sans Flash. Si un site requière Flash alors il y en aura bien un autre qui proposera ce que vous cherchez sans Flash

avatar alan1bangkok | 

J'ai Adobe Flash , surf sur les sites de streaming et de cul depuis des années , toujours pas de problèmes

avatar ecosmeri | 

@alan1bangkok :
Ca a le mérite d'etre clair mdr. Je touche du bois aussi par contre j'ai pas flash et je regarde pas de streaming je telzcharge

avatar mac_adam | 

Ah bon, on dit comme ça maintenant : toucher du bois ? Pour tirer la sève je présume ?

avatar pifpaf | 

J'aime bien surtout que "Sans compter qu’un malware malin sait se faire discret et ne pas gêner l’utilisation de l’ordinateur, ce qui rend sa détection quasiment impossible si on ne sait pas où regarder. "
Sinon évidemment peut-être utilises tu un disque dur externe dédié poubelle .

avatar rolmeyer | 

Ni flash ni Java j'arrive à m'en passer.

avatar frankm | 

Moi aussi et depuis 2 ans maintenant

avatar bonnepoire | 

J'arrive à m'en passer. Pour Flash j'utilise Chrome que je n'utilise jamais que dans ce but.

avatar byte_order | 

> Sans les connaître par-cœur je peux quand même identifier une connexion légitime

Méfiez vous quand même, d'autres malwares déguiseront probablement leurs connexions en des connexions paraissant légitimes. D'autant que l'audience de LittleSnitch l'expose tellement que fatalement les devs de malwares vont s'y attaquer.
Rien de pire que de se cacher de son ennemi dans son propre territoire...

> En faisant une sauvegarde iCloud ou iTunes avant de faire une restauration,
> peut-on "embarquer" un malware dans la sauvegarde ?

Oui, bien sûr.

avatar christcake | 

Hello, malware similaire rencontré sur un iMac après installation d'un logiciel pour télécharger des vidéos YouTube en parallèle d'une mise à jour de Flash.
Même progression dans l'analyse du problème : moniteur, console, identification de traces d'installation un peu partout (dans /tmp de mémoire), constat de la création de plusieurs utilisateurs root cachés par le système (uid inférieur ou supérieur à 500, je ne sais plus).
Après une tentative infructueuse d'utilisation du soft de Malwarebytes un nettoyage manuel, tout est à peu près rentré dans l'ordre, "à peu près" car dans Mail, Trovi est toujours présent lors d'un clic droit. Et, surtout, l'iMac met énormément de temps à redémarrer.
Je vais donc probablement procéder à un reformatage et reinstall complète...
A noter que jusqu'ici je n'avais lu aucun article sur ce malware, donc merci MacGé

avatar mac_adam | 

Moi non plus je n'en avais jamais entendu parler. Pourtant il sévit depuis au moins deux ans, et apparemment les principaux antivirus n'ont pas la parade !

avatar andr3 | 

Pas de flash dans Safari ou Firefox et flash est nécessaire, alors j'ouvre Chrome.

avatar Moonwalker | 

J'hallucine.

Ça vous arrive de lire les forums techniques ? Deux ans qu'on y peste contre les adwares et, entre de nombreux autres, de ce machin V.Search.

Et puis, Flash et Java pas à jour ? WTF !!!

Vous lisez vos propres news ? oO

Si on télécharge chez les bizarres, autant prendre ses précautions. Sortez couvert !

Et puis arrêtez avec la légende urbaine du mac invincible, immunisé. Ça fait dix ans qu'on nous signale le contraire. Ça me fait penser aux gens au début de l'épidémie de Sida : je ne suis pas PC, je m'en fiche. Ça ne me concerne pas.

On ne vous dit pas d'installer des anti-trucs, mais de faire attention à ce que vous installez !

Ça passe pour le mari de Mme Michu, mais un type comme vous, informaticien "éclairé", non !

C'est bien le type qui se faisait appelé Nico Linux sur les forums qui a écrit ce papier ? Hé ! les pingouins, on vous apprend quoi sur la banquise ?

Et à part ça, se sont XProtect et Gatekeeper qui ont failli ? La bonne blague.

Si j'installe une #@% sur ma machine, je suis le seul responsable.

Sinon, de judicieux conseils en fin d'article.

J'ajouterais ceci :

– ne rien télécharger chez Softonic, CNet Download et MacUpadate ;
– se méfier comme de la peste les installateurs de logiciels proposés alors qu'un simple glissé déposé dans le répertoire Applications devrait suffire ;
– ne pas installer MPlayerX et uTorrent, même provenant de leur site d'origine.
– dans le doute, ne rien faire.
– les mises à jour de sécurité Apple ne sont pas optionnelles. On les fait, et tant pis si ça casse quelques chose par rapport à votre logiciel préféré.
– LittleSnitch (apprenez les trois mots d'anglais nécessaires et arrêtez de faire des manières)

Il faut être pris pour être appris mais l'expérience des uns sert rarement aux autres.

avatar heret | 

Ça passe pour le mari de Mme Michu, mais un type comme vous, informaticien "éclairé", non !

J'hallucine ! Le mec écrit dans un site concernant l'informatique, alors il est informaticien, éclairé de surcroît ! Mais il est vrai que, quand je conduis ma bagnole, je fais de la mécanique auto...

avatar Moonwalker | 

"Utilisateur éclairé" si tu préfères.

Le "mec" était présent sur les forums de MagGeneration depuis des années, et il n'y faisait pas tapisserie, loin de là.

Il a fait fi de tous les principes de sécurité qu'on y rabâche à longueur d'année.

Je mets à son crédit l'honnêteté de son témoignage, une preuve pas l'absurde de ce que l'on dit souvent mais que peu entendent : vous n'êtes à l'abris de rien, vous êtes la faille principale de votre OS.

avatar byte_order | 

Je trouve très dangereux aussi que sous macOS le type de fichier soit encore déduit de son nom et non de son contenu. Tout comme sous Windows, hélas, d'ailleurs.

Résultat, en suffixant ".txt " (avec un espace) un exécutable on peut le faire apparaitre dans le Finder (et la boite d'ouverture de fichiers du système) comme un document texte, alors qu'une simple identification rapide de son contenu devrait amener le système à l'afficher pour ce qu'il est : un exécutable dont le nom fait croire que c'est un document de type texte, ce qui change tout.

Je crois d'ailleurs qu'il y a eu un malware Mac qui a exploité cette faille récemment...

avatar oomu | 

Trovi, je l'ai croisé régulièrement chez des étudiants.

En fait Trovi arrive par vague; Il correspond à des campagnes de spam/pubs.

Dans tous les cas, j'ai trouvé l'installation de logiciels ou accès à des services promettant des films ou musiques gratuites.

Mais ce n'est pas aussi simple. Il y a des campagnes concertées entre des faussaires de logiciels (faux installateurs), sites malveillants (fausses pub, faux popup imitant le système) et des gens mettant en place des vrai/faux contenus désirés par les gens. Des traquenards.

Il n'y a pas forcément besoin de flash ou de hacks sophistiqués à coup de techniques de "r0xx0r".

L'accumulation de popup + ou - légaux (nos cookies !) et pubs agressives pour des logiciels à la limite de la légalité (mackeeper) et des habitudes enseignées sous windows (les millions de programmes "gratuit" préchargés qui vous harcèlent ensuite de popup) enseignent de TRES mauvais réflexe aux gens.

De très nombreux étudiants, pendant 16 ans de boulot à leur contact, m'ont démontré définitivement que les gens estiment le "popup" comme naturel, comme une corvée banale et que donc un "popup" mystérieux sous Os X n'est pas une raison de s'inquiéter, suffit juste de le fermer, voir de taper le mot de passe. (3 jours plus tard: la guerre).

-
Un peu comme le docteur House, j'ai tendance à dire que les gens "mentent" quand ils disent "j'ai RIEN FAIT ! rien touché ! rien installé ! rien modifié ! et subitement PAF !"

Les gens bricolent énormément leurs machines: ils installent des greffons qu'ils oublient. Ils expérimentent des "tips", "hacks", "tweaks" de l'os qu'ils oublient, ils suivent des "tutoriels" pour permettre de pirater Adobe CC et consorts puis ils oublient. Ils ont suivi des "guides" sur d'obscures vrai/faux site torrent puis ils oublient.

On va me hurler dessus que je juge tout le monde en bloc. C'est vrai je fais ça.

avatar b0ris | 

Très intéressant ce témoignage... On sent un état d'esprit du type "je prends un Mac, il ne pourra rien m'arriver" ;-)
Je n'ai jamais utilisé de Mac mais je suis sous Windows depuis 20 ans et je n'ai jamais eu le moindre problème de virus/malware/etc... Ma conclusion : être conscient, quelle que soit la plateforme, que des saletés n'attendent qu'une erreur de votre part pour s'incruster !

avatar Moonwalker | 

+10 000

avatar oomu | 

"On sent un état d'esprit du type "je prends un Mac, il ne pourra rien m'arriver" ;-)"

c'est ce que de nombreux acheteurs ont compris de la publicité Apple.

-
"Ma conclusion : être conscient, quelle que soit la plateforme"

c'est fondamental. Ne rien fait sans être conscient de ce qu'on fait (attentif). Dans le doute, laisser l'ordi tranquille.

En fait je conseille ceci aux gens, en particulier ceux qui veulent pas s'embarrasser de ces histoires d'ordinateurs sans intérêts:

"N'installez RIEN. N'utilisez AUCUN service en ligne. N'allez sur AUCUN SITE. Ne faites RIEN. Sauf ce qui vous est nécessaire pour votre travail/hobby/passion. Pour ces rares cas: soyez simplement attentif sur les adresses et ce que vous lisez.

Si vous avez besoin de _ADOBE_ CC, vous allez sur le ADOBE.com. Rien d'autre. Jamais.

Si un site/logiciel parait compliqué et tordu, c'est parce que c'est effectivement VOLONTAIREMENT compliqué et tordu: n'utilisez pas.

Si on vous demande de suivre une procédure dont vous ne pouvez pas mesurer l'impact parce que trop abscons/techniques, c'est qu'il ne faut PAS la faire.

Si vous trouvez un site où tous vos films et artistes favoris sont gratuits, c'est qu'on vend vous aux escrocs.

Si c'est trop beau pour être vrai, c'est que c'est trop beau pour être vrai.
"

Je prône effectivement le zéro-ajout. Autant que possible.

avatar Moonwalker | 

Cette publicité date de 2006 !

La majorité du parc était encore sur PPC avec Tiger et Panther.

À cette époque elle était vraie.

Les gens mettent plus facilement à jour leur système que leurs préjugés.

avatar Vanton | 

@oomu :
C'est en ça que le fermeture de l'iPad et dans une moindre mesure du Mac est un vrai progrès pour l'utilisateur lambda. Ça emmerde beaucoup celui qui sait (ou celui qui croit savoir, et ils sont peut-être même plus nombreux) mais c'est vital pour que l'informatique soit bien vécue par le grand public.

Reste que se pose la question de l'apprentissage. À trop tourner en rond dans sa prison dorée, on ne risque pas d'apprendre à évoluer en dehors. C'est une des dimensions de ton discours qui me gêne un peu : il faut bien prendre des risques, expérimenter, quitte à se planter, pour apprendre et avancer. Le maintien dans l'absolue sécurité n'est-il pas finalement un facteur de risque à long terme, en empêchant de s'offrir la connaissance nécessaire à la défense ?

avatar byte_order | 

> C'est en ça que le fermeture de l'iPad et dans une moindre mesure
> du Mac est un vrai progrès pour l'utilisateur lambda.

Oui.
Le hic c'est que cette fermeture se fait au profit financier d'Apple qui en profite pour instaurer une douane à tout commerce entre l'utilisateur propriétaire de son matériel pourtant et un fournisseur d'application.

Pour éviter cet abus, il faudrait pouvoir s'assurer que l'autorité qui contrôle les certificats de signature soit indépendante des intérêts financiers des distributeurs d'applications, Apple y compris.

Quand on devra (enfin, vous, car moi c'est niet) lâcher 30% de commission à Apple pour avoir le droit d'installation une application payante, ou, pire encore, pour consommer du contenu payant avec, vous trouvevez peu être qu'entre zero sécurité et une sécurité dans les mains d'un monopole ponctionnant 30% de chaque achat y'a p'tet une troisième voie possible conciliant sécurité et absence de monopole...

avatar byte_order | 

A ce titre la pub "I'm a Mac" sur les virus est prémonitoire : le jeune Mac n'est pas exposé au virus tandis que le plus vieux PC l'est.
Le jeune Mac a vieilli lui aussi, et, surprise, sa santé est plus fragile maintenant que quand il était jeune.

C'est facile de ne pas être exposé aux malware quand votre plateforme représente une population d'utilisateurs très restreinte.
C'est nettement moins le cas quand vous êtes nettement plus répandu, qu'on vous connait bien et depuis longtemps, que les mauvais habitutes se sont installés et qu'il est devenu plus difficile d'en changer.

Sous BeOS y'a jamais eu de virus.
Mais y'a jamais non plus eu plus de 100000 utilisateurs au mieux...

Pages

CONNEXION UTILISATEUR