J’ai affronté mon premier malware sur Mac

Nicolas Furno |

Quand j’ai quitté Windows, d’abord pour Linux avant de passer sur macOS, la promesse de ne plus avoir à gérer les innombrables virus et autres malwares qui pullulaient sur le système de Microsoft était un des arguments les plus séduisants. C’était entre la fin des années 1990 et la première moitié des années 2000, une époque où l’on installait tous des antivirus qui ne protégeaient pas vraiment les PC, mais qui les ralentissaient assurément.

Ne plus avoir à gérer Norton et compagnie faisait envie et je me souviens que c’était un argument qui revenait très souvent dans les débats enflammés sur les forums et autres canaux IRC (la belle époque…). Bref, j’ai abandonné l'univers Windows au profit d’un autre, beaucoup plus sécurisé. Et pendant quelques années, on n’a jamais vraiment entendu parler de virus ou d’autres saletés virtuelles sur Mac.

Un virus sur Mac ? Oui, mais. (Photo Robert S. Donovan CC BY-NC 2.0)
Un virus sur Mac ? Oui, mais. (Photo Robert S. Donovan CC BY-NC 2.0)

Mais depuis cinq ou six ans, ils ont fait leur retour dans l’actualité Apple. Le constructeur a ajouté une liste, XProtect, pour contrer les malwares connus avec Snow Leopard, ce qui n’a pas empêché quelques attaques spectaculaires. C’est souvent Flash qui a servi de vecteur — plusieurs centaines de milliers de Mac infectés en 2012 —, parfois aussi Java, mais dernièrement, c’est Transmission qui a été utilisé. Ke.Ranger a fait énormément parler de lui au printemps dernier et même s’il n’a concerné « que » quelques milliers de Mac, il a suscité beaucoup d’agitation.

Alors que je n’ai jamais vraiment souffert de virus pendant mes années Windows (la lenteur des anti-virus, en revanche…), j’ai été confronté à au moins un malware, nommé Trovi et qui agit depuis longtemps manifestement. Pas sur un PC, mais sur un Mac, et pas plus tard qu'hier soir. J’ai été désarmé face à ce programme malveillant, je n’avais aucun outil installé pour le supprimer et il était plus agressif que je ne l’imaginais.

Je ne sais pas comment ce malware est arrivé. C’est la première question que l’on se pose naturellement : pourquoi moi ? Cela ne devrait pas m’arriver, je suis censé m’y connaître et faire attention ! J’ai quelques pistes sur l’origine : ce Mac est sous la télé dans le salon et il est essentiellement utilisé en tant que media-center, ce qui explique que je ne le surveillais pas attentivement. Il arrive que l'on visite des sites de téléchargement susceptibles de propager des logiciels malveillants. Et Flash et Java étaient installés et pas forcément mis à jour, ce qui est une très mauvaise idée.

Mais au fond, tout cela n’a aucune importance. Inutile de s’apitoyer ou pire, de se moquer des victimes, cela peut probablement arriver à n’importe qui, surtout si on ne surveille pas de près sa machine. J’aurais dû être plus prudent, évidemment, mais ce Mac était protégé en théorie. Entre XProtect et GateKeeper, les sécurités de base proposées par Apple étaient bien en place, mais elles ont failli à leur devoir.

XProtect n’a pas fait son travail de protection, alors que le fichier (ici sur un autre Mac) contient bien une référence au malware en question (Trovi).
XProtect n’a pas fait son travail de protection, alors que le fichier (ici sur un autre Mac) contient bien une référence au malware en question (Trovi).

Il faut dire que ce logiciel malveillant — ou ces logiciels, je ne sais pas exactement — était présent depuis longtemps. J’ai retrouvé des fichiers vieux de près d’un mois, signe qu’il s’est probablement installé et qu’il est resté inactif pendant longtemps. Ces dernières semaines, le seul signe étrange était une abondance de publicités dans Safari : sur certains sites, une fenêtre de publicité s’ouvrait à chaque premier clic sur chaque page. J’ai installé un bloqueur de publicité, cela n’y a rien fait, et puis surtout, ce phénomène se reproduisait de plus en plus partout, y compris sur des sites normalement sans publicités.

À ce stade, j’étais alors très suspicieux et j’ai ouvert le moniteur d’activité de macOS, ce qui a confirmé instantanément les doutes que je pouvais encore avoir. Des dizaines et des dizaines de processus que je ne connaissais pas, associés à un utilisateur qui « n’existe pas » sur le Mac. Ils ont tous des noms bizarres pour mieux induire l’utilisateur trop curieux en erreur : si on ne sait pas ce que l’on regarde, on passerait totalement à côté.

La preuve de l’infection : des dizaines de processus plus ou moins actifs qui polluent le Mac. — Cliquer pour agrandir
La preuve de l’infection : des dizaines de processus plus ou moins actifs qui polluent le Mac. — Cliquer pour agrandir

Idem dans la Console, où ces mêmes processus envoyaient des milliers et des milliers de messages en permanence. Là encore, cela ne veut rien dire pour un néophyte, ce qui est malin de la part du script malveillant : il est difficile à détecter. Pour ma part, j’ai trouvé dans les logs de la Console des chemins d’accès et j’ai commencé à fouiller.

La Console trahit l’activité frénétique du malware, sans que l’on sache exactement ce qu’il fabrique. — Cliquer pour agrandir
La Console trahit l’activité frénétique du malware, sans que l’on sache exactement ce qu’il fabrique. — Cliquer pour agrandir

Il ne m’a pas fallu longtemps pour trouver les emplacements où ce malware agissait. J’ai retrouvé tous les noms bizarres des processus dans le dossier bibliothèque à la racine du Mac, dans /private/var, dans celui dédié aux LaunchDeamon où tous les processus qui tournent à l’arrière-plan sont situés. L’action de base du script est évidente : se cacher au milieu du système en répartissant ses fichiers à plein d’endroits différents, et s’assurer une présence même en cas de redémarrage.

Quelques-uns des dossiers et fichiers liés au malware. — Cliquer pour agrandir
Quelques-uns des dossiers et fichiers liés au malware. — Cliquer pour agrandir

Face à cette découverte, j’ai entrepris un nettoyage manuel : j’ai ouvert tous les dossiers du système pour repérer soit les noms des processus listés dans le moniteur d’activités, soit les dossiers modifiés récemment. Et j’ai supprimé à tour de bras tout ce qui me semblait suspect, passant par le terminal pour m’assurer que tout était bien retiré. Le souci, c’est qu’à chaque fois que je supprimais un dossier, deux ou trois autres venaient le remplacer. Il fallait en venir à la source, mais c’était plus facile à dire qu’à faire.

En effet, j’ai noté une réaction du programme malveillant, comme s’il avait été programmé pour se défendre. Jusque-là très discret — nonobstant les publicités dans Safari, on ne l’avait jamais vu agir —, il est devenu hyper actif. Le malware ouvrait régulièrement Safari pour changer mes paramètres, supprimer mes extensions et installer une extension nommée Trovi. Quand je cherchais dans Google des informations sur un logiciel anti-malware, il quittait le navigateur. J’ai ouvert Firefox, mais il a fait la même chose, changeant même la page d’accueil pour un clone de Google, probablement du phishing.

Régulièrement, le malware installait de force cette extension et supprimait toutes les autres.
Régulièrement, le malware installait de force cette extension et supprimait toutes les autres.

Reconnaissant (enfin…) que je n’allais pas éradiquer tout seul ce corps étranger de mon Mac, je me suis résigné à installer un anti-malware, chose que je n’aurais jamais imaginé faire sur Mac. J’ai opté pour l’outil de MalwareBytes qui a le principal avantage d’être gratuit. Après avoir lutté pour l’installer — il m’a fallu créer une autre session uniquement pour lancer l’application —, j’ai lancé l’analyse. Il a trouvé quelques fichiers, les a placé à la corbeille et m’a demandé de redémarrer le Mac... Mais le système n’a jamais redémarré.

Est-ce la faute de l’anti-malware ou d’un nettoyage trop agressif de ma part ? Toujours est-il qu’il manquait quelque chose pour qu'El Capitan redémarre normalement. À ce moment-là, après une bonne heure à lutter contre ce logiciel malveillant, j’ai rendu les armes, formaté le disque dur et réinstallé le système d’exploitation. Fort heureusement, ce Mac était utilisé comme media-center et l’essentiel était stocké en externe, ce qui a simplifié considérablement la procédure.

L’anti-malware a bien repéré un logiciel malveillant
L’anti-malware a bien repéré un logiciel malveillant.

À l’arrivée, j’ai perdu une soirée et probablement encore une autre pour tout réinstaller et configurer comme c’était avant. Ça, ce n’est pas grave. En revanche, je ne sais pas exactement ce que ce malware a fait. S’il s’est contenté d’ajouter de la publicité dans Safari, je m’en fiche pas mal. S’il a analysé des semaines d’utilisation du Mac, transmis l’historique de navigation, voire mémorisé toutes les touches saisies en permanence, c’est un vrai problème. Dois-je changer tous mes mots de passe en prévention ? Heureusement, il y a 1Password, mais sur une période aussi longue, qui sait ce qui a pu se passer ?

C’est bien ça qui me gêne le plus : ne pas savoir. Et me dire que les protections de base d’Apple ne suffisent pas, puisque j’ai été infecté malgré elles. Comment éviter les logiciels malveillants à l’avenir ? Je n’ai pas de vraie solution hélas, à moins d’installer un anti-malware, mais sera-t-il vraiment efficace ? Le mieux reste les sauvegardes régulières et la surveillance constante : dès que l’on repère quelque chose de suspect, on ne se pose pas de questions, on efface et on revient en arrière.

C’est une bonne pratique, mais elle est contraignante et elle effraiera la majorité des utilisateurs. Par défaut, Flash et Java se mettent à jour automatiquement, mais il vaut mieux veiller régulièrement à ce que cela soit bien le cas. Sans compter qu’un malware malin sait se faire discret et ne pas gêner l’utilisation de l’ordinateur, ce qui rend sa détection quasiment impossible si on ne sait pas où regarder.

Les créateurs de ces scripts malveillants ont probablement un bel avenir devant eux…

Avez-vous déjà affronté un malware sur votre Mac ou sur celui d'un tiers ? C'est la question que nous vous posons dans notre dernier sondage !

Comment s’en protéger ?

Pour vous protéger et surtout protéger vos proches qui ne sont pas forcément aussi habiles avec un ordinateur que vous, voici quelques conseils :

  • Ne pas saisir le mot de passe administrateur au hasard, voire utiliser une session standard et un mot de passe complexe et difficile à saisir ;
  • Configurer GateKeeper pour n’accepter que les apps du Mac App Store et les apps signées, voire uniquement le Mac App Store ;
  • Vérifier que le fichier XProtect.plist est mis à jour régulièrement : dans les Préférences Système, ouvrir le panneau « App Store », la case « Installer les fichiers de données système et les mises à jour de sécurité » doit bien être cochée ;
  • Surveiller de temps en temps le moniteur d’activité :
    • Ouvrir l’application et dans le menu « Présentation », cocher « Toutes les opérations » ;
    • Dans la liste d’utilisateurs, vérifier qu’il n’y a que les comptes des sessions ouvertes, plus ceux du système :
      • root
      • _appleevents
      • _captiveagent
      • _coreaudiod
      • _displaypolicyd
      • _distnote
      • _iconservices
      • _locationd
      • _mdnsrespond
      • _netbios
      • _networkd
      • _nsurlsessiond
      • _softwareupdate
      • _spotlight
      • _usbmuxd
      • _windowserver
  • Maintenir à jour tous les logiciels, en particulier Flash et Java ;
  • Télécharger les logiciels sur le site de l'éditeur plutôt que sur les sites catalogue (MacUpdate, CNet télécharger, Softonic, etc.) ;
  • En cas de doute, demander de l’aide : les forums de MacGeneration contiennent de nombreux sujets sur les malwares qui touchent les Mac, avec des explications à chaque fois pour s’en débarrasser.

Image de couverture : Brian Barnett (CC BY-NC-ND 2.0)

Tags
#malware #sécurité
avatar mac_adam | 

Du même avis. J'avais Bitdefender. Maintenant Kaspersky. Ca dépend des années et de l'humeur du moment.

avatar Forest218 | 

Si les DATA du mac n'étaient pas sensible, un petit sudo rm -rf /* aurait aussi réglé l'histoire^^
Si le malware est supprimé avant la commande rm mdr.
Cependant, on pert toute utilité informatique du mac... Cale pour une porte?^^

avatar fousfous | 

@Forest218 :
J'espère qu'il y en a qui vont pas tester ce que tu as mis ^^
Mais je suis pas sûr que le système te laisse effacer certains fichiers, enfin je ferrais quand même pas l'expérience

avatar mac_adam | 

la case « Installer les fichiers de données système et les mises à jour de sécurité » doit bien être cochée :

Ca m'ennuie un peu d'installer automatiquement ces éléments en arrière-plan car si ça entraîne des bugs, par exemple d'applications, je n'en connaîtrais pas la raison et ne pourrais faire une restauration (à noter que par défaut cette case est décochée).

avatar daxr1der | 

Sur mac aussi il y a toujours eu des virus, il faut arrêter la désinformation. Jusqu'il y a bien plus gens qui ont un pc donc sujet au virus

avatar daxr1der | 

Après le soucis c'est plus les gens comment ils s'en servent. Les gens qui sont passés chez mac c'est souvent des gens qui ont du mal avec l'outil informatique.

avatar Orus | 

Tout le monde n'est pas "aware" comme JC Van Dame.
D'où la nécessité dans un futur proche, d'un système doté d'une intelligence artificielle.
L'utilisateur de base ne pourra jamais tout controler et surtout avoir toujours l'esprit éveillé. Il suffit de boire, de faire la fête, de prendre son Mac et dans l'exaltation d'installer n'importe quoi. Et de se retrouver sans le savoir avec un malware.
Bon évidement ceux qui vivent dans une grotte n'ont pas ce genre de problème.

avatar Gueven | 

L'auteur a eu au moins la franchise de reconnaître qu'il n'a pas fait le nécessaire pour se prévenir de ce type de problème.

Maintenant, croire que parce qu'on est sous Linux ou Mac on est dispensé d'appliquer les règles élémentaires ...

avatar hercut | 

Je ne me dis pas être une personne ne faisant tout bien.
Et même si l'article est très intéressant d'une certaine manière et surtout permet de ce dire "tien je vais vérifier ma machine" au final peut être faire des articles simples et réguliers sur le nettoyage et vérifications à faire sur sont Mac.

Car je pense et comme mentionné un peu plus haut.
Le rédacteur précise qu'il télécharge et va sur des site douteux...
Faut pas cherché plus loin ...

Mon PC n'a et n'aura je l'espère comme mon Mac pas d'antimachin et trucs. Et n'a pour le moment jamais eu de virus et autre chose bizarre.

Si les personnes qui installe par exemple un client bittorent, n'allais pas me dire que c'est uniquement pour récupérer des isos et films de vacances ...
Il ne faut donc pas être étonné.

Mais je répètes que peut être ça m'arrivera, se soir même et je viendrais quémander de l'aide sur le forum.

Mais pour le moment.
Je ne télécharge pas sur ma machine de jeux et de travaille.
Mais mails sont uniquement sur webmail.
Je ne connecte que ce que je connais sur ses machines.
Et je navigue que sur des sites dis sur. Si je connais pas le site ou domaine bizarre je n'y vais pas.quelque extension aide aussi à savoir si le site est saint.
Enfin comme je suis curieux littlesnitch est très pratique.

avatar pickwick | 

Sur certaines machines de certains clients, j'ai vu des choses énormes :
15 malwares trouvés pr malwaresbytes, après avoir constaté que le disque dur était plein à rebord, que les dossiers téléchargements et la corbeille n'avaient pas été vidés depuis des années.......

Beaucoup de gens n'y connaissent rien et téléchargent des films et de la musique sans arrêt....sans précaution aucune.

En tout cas, je conseille d'avoir malwaresbytes sur une clef USB car il est parfois impossible de se rendre sur le site du fabricant, à cause des malwares qui dévient sur autre chose...

avatar rikki finefleur | 

Exact beaucoup de gens n'y connaissent rien.. Tout comme on n'est pas spécialiste en mécanique auto..
Mais que dire des entreprises qui gravitent autour de tout cela..
Exemple :
Je connais un site clairement frauduleux, qui fait croire que votre ordi est infecté, avec numéro surtaxé..
Et bien que fait france telecom face a ce numéro d'escroc ? rien.. absolument rien..

J'ai aussi une amie qui a versé 150 euros suite à un popup comme cela, et le pire c'est que cette société a pris par la suite possession a distance de son ordi , pour soit disant le réparer. Qu'a t elle pu faire sur sa machine pendant ce laps de temps ? La société se faisant passer pour microsoft.. Car l'escroc plus c'est gros parfois et souvent cela marche.. La preuve.. et les gens ont peur d'avoir une machine vérolée.. Ils sont prêts a tout..
Un peu comme vous chez le garagiste.. Le gars peut vous dire n'importe quoi , vous acquiesciez.

Franchement que les télécoms fassent déjà le ménage avec les téléphones surtaxés, ils sont clairement complices dans ces histoires.

avatar magic.ludovic | 

_assetcache dans la liste des utilisateurs, c'est normal ?

avatar Goundy | 

Moi j'ai un gros soucis de publicité de YouTube sur Safari. J'utilise l'extension ABP pour Safari et il faisait super bien son boulot jusqu'à y a 1 ou 2 semaine. Quasiment zéro publicité ! Depuis j'ai des publicités tous les cinq minutes et je sais pas pourquoi. Pourtant j'ai touché à aucun de mes paramètres etc...
Quelqu'un à une idée de ce problème, ai-je raté une info a ce sujet ces derniers temps??

avatar marc_os | 

@ Goundy
Peut-être serait-il temps pour toi de tester un anti-virus.
La plupart proposent un mode démo qui te permet au moins de scanner ton Mac. Après, s'il trouve des infecticiels*, à toi de voir.

(*) (c) 2016, moi. :P

avatar abachell | 

Mon expérience avec Trovi est semblable mais nul besoin de reformater, il y a plus simple ...

Personnellement je sais ou j'ai choper TROVI lors d'un téléchargement de MacKeeper. Ce logiciel est une plaie, oubliez le.

L'utilisation de malwarebyte a permis d'effacer des fichiers pourri mais cela ne suffisait apparemment pas car comme écrit dans l'article, une sorte de systeme de défense semble au point et quelque jour après le nettoyage le pourrissage de pub et le blocage des navigateurs reprenait.

C'est donc au premier niveau des bibliothèques que j'ai trouvé les intrus. En comparant avec la biblio d'un mac sain, j'ai constaté la présence de dossier avec des noms farfelus. J'ai mis à la poubelle tous ces dossiers (il y en avait bien 6 ou sept) et je n'ai gardé que ceux présent sur le mac sain.

Depuis tout fonctionne nickel et je jette un oeil de temps en temps sur le contenu des deux dossiers de bibliothèque en mettant à la benne systématiquement ce qui n'était pas présent initialement.

Bon courage aux infectés mais ne désespérez pas, on en vient à bout sans formatage.

Pages

CONNEXION UTILISATEUR