 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Les pirates monnaient l’infection des Mac
par mail
l'article
Les utilisateurs de Mac ne sont plus à l'abri des virus. Les réseaux mafieux ont même déjà fixé un tarif : ils paient 43 cents américains pour tout Mac infecté qui redirigera son utilisateur vers des sites frauduleux ou qui rejoindra un botnet afin de participer à une cyber-attaque (contre généralement 2 cents pour l'infection d'un PC Windows).
Selon un récent rapport publié par le Russe Dmitry Samosseiko, chercheur en sécurité chez Sophos, les virus qui infectent les Mac circulent sous la forme de lecteurs vidéo ou d'extensions pour Quicktime, censés rendre possible la lecture en local de séquences Flash, comme celles de YouTube. D'après le chercheur, la popularité de ces lecteurs s'explique par la multiplication d'ersatz adultes de YouTube.
Un système peu protégé
Les exécutables malveillants référencés se nomment FlashPlayer.dmg, HDTVPlayer3.5.dmg, MacTubePlayer.dmg, macvideo.dmg, play-video.dmg, Quicktime.dmg, ou encore VideoCodec.dmg. Ils reposent tous sur l'un des deux codes connus depuis juin dernier et identifiés par Sophos sous les références OSX/Tored-A et OSX/Jahlav-C.
Mais il peut exister une infinité de variantes non référencées et contre lesquelles les utilisateurs Mac ne sont pas protégés. Un problème plus culturel que technique. Avec 5 % de parts de marché, la communauté Apple n'a jamais intéressé les réseaux de pirates et, de fait, n'a pas pris l'habitude d'installer des antivirus. Jusqu'ici, ceux-ci ne servaient d'ailleurs pas à grand-chose.
Même Apple considère la menace à la légère. Son dernier OS, baptisé Mac OS X 10.6, embarque bien un système de sécurité, mais il est particulièrement minimaliste. Il se contente d'afficher une alerte lorsque l'utilisateur installe un malware connu depuis de nombreux mois.
Le processus de l’infection
Lorsqu'il s'installe sur Mac, un cheval de Troie demande à l'utilisateur d'entrer son mot de passe. Dès lors, le logiciel malveillant a les pleins pouvoirs pour modifier d'autres rouages du système. Il est susceptible d'introduire dans la procédure de démarrage un outil de prise de contrôle à distance. Il s'agira alors d'une nouvelle entrée dans le fichier com.apple.loginitems.plist, voire dans les dossiers LaunchDaemon, LaunchAgents ou Startupitems, l'ensemble étant logé dans les répertoires Bibliothèque du système et de l'utilisateur.
S'il s'agit de rediriger l'utilisateur vers des sites mafieux, soit pour l'inciter à acheter des produits contrefaits, soit pour le conduire à délivrer ses mots de passe ou ses coordonnées bancaires, le malware modifiera alors les informations contenues dans les fichiers /etc/resolv.conf ou /etc/named.conf.
On peut enfin avoir affaire à un script qui se sert du navigateur pour télécharger des infections supplémentaires. Dans ce cas, le script s'enregistre dans le dossier /Bibliothèque/Internet Plug-Ins.
Faute d'antivirus efficace, la tâche de vérifier régulièrement que tous ces dossiers ne contiennent que des éléments sains revient à l'administrateur des postes Mac. Notons enfin que, sur Mac, la lecture de séquences Flash téléchargées en local est possible soit par le biais du lecteur Open Source VLC, soit au travers du codec Perian pour Quicktime, qui eux ne présentent pas de risque.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
