Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport annuel 2008 de la sécurité Mac publié par Intego

janvier 2009 par Intego Security Alert

La découverte de nouvelles menaces (chevaux de Troie, « scareware » destinés à effrayer l’utilisateur pour le manipuler, défauts de navigateur, vulnérabilités de Mac OS X, etc.) visant particulièrement les ordinateurs Mac a fait de 2008 une année riche en événements du point de vue de la sécurité et des logiciels malveillants visant les Mac. Ce document constitue un résumé des problèmes de sécurité Mac détectés au cours de l’année. Les notes de bas de page font référence à des articles publiés sur le blog Intego Mac Security et contenant des informations supplémentaires sur ces problèmes.

Chevaux de Troie

Intego a découvert pour la première fois le cheval de Troie RSPlug en octobre 20071. Depuis, un certain nombre de variantes ont été découvertes un peu partout et de plus en plus d’utilisateurs Mac ont été infectés par ces programmes malveillants.

En avril de cette année, Intego a signalé la découverte de nouvelles variantes de ce cheval de Troie. La plupart d’entre elles n’étaient pas réellement des variantes, mais simplement des images disques portant des noms différents du nom original. (Un fabricant d’antivirus a prétendu avoir découvert une trentaine de variantes de ce type, mais n’a apparemment pas pris la peine d’en vérifier le code pour constater qu’il s’agissait du même programme.)

Deux de ces variantes incluaient des programmes dont le code était différent, tandis que d’autres avaient pour but d’installer des logiciels portant d’autres noms. Le cheval de Troie RSPlug original était destiné à installer un « logiciel » appelé MacCodec. Les programmes d’installation d’autres versions prétendaient installer MacVideo ou Porn4Mac. Ces variantes se distinguaient également par leur conteneur, c’est-à-dire l’image disque contenant le programme d’installation. La première version a été détectée dans une série d’images disques portant des noms constitués de quatre chiffres suivis de l’extension d’image disque : 1023.dmg par exemple. D’autres portaient les noms operacodec1234.dmg, nitroticket2018.dmg, uincodec4264.dmg, ixcodec1292.dmg et xerocodec1292.dmg. (Remarque : il peut y avoir quelques variations dans les chiffres contenus dans ces noms, ainsi que dans les noms euxmêmes.)

Au mois de juin, Intego a détecté 3 un nouveau cheval de Troie Mac OS X nommé « OSX.Trojan.PokerStealer ». Une fois exécuté, ce cheval de Troie active ssh sur le Mac local, puis envoie le nom d’utilisateur, l’empreinte du mot de passe et l’adresse IP du Mac à un serveur. Il invite ensuite l’utilisateur à saisir un mot de passe d’administrateur après lui avoir présenté une zone de dialogue signalant qu’un fichier de préférences corrompu a été détecté et qu’il doit être réparé. (Le message en anglais est le suivant : « A corrupt preference file has been detected and must be repaired ».) Le fait de saisir le mot de passe d’administrateur permet au programme d’effectuer ses tâches. Tout utilisateur hostile qui parvient à obtenir l’accès ssh à un Mac peut, notamment, en prendre le contrôle, supprimer des fichiers ou endommager le système d’exploitation. En novembre, Intego a découvert une autre variante du cheval de Troie RSPlug, dotée cette fois d’un comportement supplémentaire4. Si cette nouvelle variante exécutait les mêmes actions que le cheval de Troie RSPlug.A, le comportement de son programme d’installation était toutefois différent : c’était un programme de téléchargement qui entrait en contact avec un serveur distant pour télécharger des fichiers à installer. Cette caractéristique permettait au programme de téléchargement d’être capable

Alors que nous pensions avoir découvert toutes les variantes possibles du RSPlug, le mois de décembre vit apparaître une version supplémentaire contenant cette fois-ci le nom d’Intego5 . Cette nouvelle variante baptisée « RSPlug.E » était semblable au cheval de Troie RSPlug.D, mais présentait quelques différences intéressantes par rapport aux versions précédentes. Les échantillons examinés par Intego, appelés FlashPlayer.v3.348.dmg et FlashPlayer.v..dmg, contenaient du code faisant référence à Intego. Le code malveillant chiffré à l’aide d’une routine standard appelée uuencode présentait, une fois déchiffré, la déclaration suivante : « begin 666 intego ». Cette déclaration ordonnait au système de créer un fichier doté d’autorisations de lecture et d’écriture (le chiffre « 666 » est un raccourci utilisé pour décrire des autorisations Unix et n’a rien à voir avec « le nombre de la bête ») et d’y inclure un fichier nommé « intego » contenant le code malveillant. Intego n’est bien sûr aucunement impliqué dans la création de ce logiciel malveillant et nous pensons que le choix de ce nom de fichier n’était rien d’autre qu’une provocation de la part du créateur de ce logiciel malveillant.

Autres logiciels malveillants Mac

Au mois de novembre, Intego a publié une note de sécurité concernant un outil de piratage qui pouvait être utilisé pour créer des chevaux de Troie6. Une série de rapports circulait alors à propos d’un nouveau « logiciel malveillant » ou « cheval de Troie » Mac généralement baptisé « OSX.Lamzev.A » et censé ouvrir une porte dérobée sur les ordinateurs Mac OS X affectés. Après avoir découvert cet outil de piratage au mois d’août 2008, Intego a conclu que cette menace n’était pas sérieuse. Contrairement aux véritables logiciels malveillants et aux chevaux de Troie, cet outil de piratage, que nous avons baptisé « OSX.TrojanKit.Malez », exigeait que le pirate ait déjà accès à un ordinateur Mac pour y installer le code. À ce jour, aucun cheval de Troie ou autre dispositif de duplication faisant appel à cet outil n’a été détecté. Malgré les rapports publiés par d’autres fournisseurs de logiciels de sécurité, cet outil ne constitue pas une menace sérieuse pour les ordinateurs Macintosh. Cet outil de piratage peut être utilisé pour créer une porte dérobée sur un ordinateur Mac OS X. Cette porte dérobée donne ensuite au pirate un accès à distance à l’ordinateur. Le code est ajouté à une application tierce non signée installée manuellement sur un Mac et la porte dérobée est activée dès que cette application est exécutée. Il crée un fichier nommé « com.apple.DockSettings » dans /Bibliothèque/ LaunchAgents et la porte dérobée est activée à chaque ouverture de session. Le code binaire de l’application d’origine est placé dans NomApplication.app/ Contents/MacOS/2, tandis que celui de la porte dérobée se trouve dans NomApplication.app/ Contents/MacOS/1. L’outil modifie le fichier info.plist de l’application afin qu’il pointe vers ce dernier emplacement.

Il n’existe donc que deux modes de transmission de cet outil de piratage : le premier consiste à envoyer à un utilisateur une application infectée sous forme d’archive zip ou d’image disque et le deuxième consiste pour le pirate à obtenir l’accès réseau à un Mac et à remplacer une application existante par une version infectée.

Scareware pour Mac

L’année a débuté par une tentative éhontée d’escroquer les utilisateurs Mac. Réalisée au mois de janvier, cette tentative avait pour origine une société vendant un programme appelé Macsweeper qui prétendait être capable de détecter tous les fichiers et les données inutiles de votre ordinateur et de les supprimer pour récupérer l’espace inutilisé. (Le message en anglais était le suivant : « The imbibed [sic] set of features locates all the junk and useless data on your computer and deletes them to reclaim the wasted space. »)7 Il s’agit là de l’un des nombreux « scareware » Mac observés cette année. Ce type de programme a pour but d’effrayer les utilisateurs Mac afin de les pousser à acheter de faux produits de sécurité.

Un clone de ce programme, appelé « iMunizator », a été détecté au mois de mars. Il s’agissait du même programme (interface, fonctions et code identiques) proposé sous un autre nom. Le site Web du programme présentait le même aspect et contenait la même description que Macsweeper.8

Un autre faux programme de sécurité visant les ordinateurs Mac a été découvert en octobre9. Baptisé « MacGuard », ce programme déclarait : « Le moteur d’analyse de haute technologie de Macguard examinera votre disque dur afin de détecter tout objet malveillant, comme des logiciels publicitaires, des logiciels espions et des chevaux de Troie, et de permettre le nettoyage de vos fichiers, l’élimination des menaces et la protection de votre vie privée en quelques minutes à peine. Cette protection intelligente en temps réel permettra également d’empêcher toute nouvelle menace d’atteindre votre bureau. »

Inutile de préciser qu’il s’agissait simplement de la version Mac d’une banale escroquerie courante dans le monde Windows : vendre des logiciels prétendant vous protéger alors que le but est de vous escroquer. Si vous êtes naïf au point d’acheter ce genre de logiciels auprès d’une société dont vous n’avez jamais entendu parler, qui ne possède aucune référence et dont le site Web est aussi vague qu’imprécis, ne vous étonnez pas de découvrir des retraits inattendus sur votre carte de crédit. Selon un site Web10, plus de 30 millions de personnes ont été victimes de ce genre de logiciels.

Problèmes de sécurité Mac OS X

Bien que la plupart des articles de presse consacrés aux problèmes de sécurité se concentrent sur les logiciels malveillants (virus, chevaux de Troie, etc.), certaines des questions les plus graves aujourd’hui concernent les défauts logiciels constatés dans les systèmes d’exploitation. S’il dispose d’une meilleure sécurité que Windows, Mac OS X n’est toutefois pas dénué de défauts et Apple, qui doit rester constamment sur ses gardes, publie chaque année une vingtaine de mises à jour de sécurité. Ces dernières concernent Mac OS X dans son ensemble, mais également certaines portions spécifiques de Mac OS X sur lesquelles des vulnérabilités sont régulièrement détectées. Apple n’est pas le seul fabricant obligé de publier des mises à jour de sécurité : le blog Intego Mac Security suit l’évolution de logiciels populaires comme Microsoft Office, Adobe Acrobat et Flash, ainsi que de navigateurs Web tels que Firefox et Opera. Au mois de juin, Intego a signalé aux utilisateurs Mac une menace critique provenant du logiciel Apple Remote Desktop11, un module installé sur tous les ordinateurs Mac. Une vulnérabilité permettant à des programmes malveillants d’exécuter du code en tant que root, localement ou à travers une connexion à distance, avait été découverte sur les ordinateurs Mac OS X 10.4 ou 10.5. Cette vulnérabilité exploitait le fait qu’ARDAgent, élément du composant Remote Management de Mac OS X 10.4 et 10.5, possédait un bit setuid. Tout utilisateur lançant un tel exécutable obtenait les privilèges de l’utilisateur possédant cet exécutable. Comme dans ce cas ARDAgent était la propriété de l’utilisateur root, l’exécution du code via l’exécutable ARDAgent était effectuée en tant que root, sans qu’il soit nécessaire de saisir un mot de passe. L’exploit en question dépendait de la capacité d’ARDAgent à exécuter des AppleScripts, qui peuvent inclure des commandes de script shell.

Apple a attendu le mois d’août pour publier un correctif permettant de régler ce problème12. Ce retard et d’autres exemples de ce type survenus durant l’année 2008 ont poussé de nombreux commentateurs et chercheurs à déclarer qu’Apple prenait trop de temps à corriger ses problèmes de sécurité. (En guise d’exemple supplémentaire, citons également le retard de plusieurs mois avant la publication d’un correctif de sécurité destiné à un problème d’empoisonnement de cache DNS13 que d’autres fabricants avaient déjà corrigé plusieurs mois auparavant.) Une bogue important, qui pourrait devenir le vecteur d’attaques futures, a été découvert dans QuickTime au mois de septembre14. La balise «  <? quicktime type= ?>  » était incapable de gérer les longues chaînes de caractères, ce qui pouvait provoquer un dépassement de tas (« Heap Overflow ») dans QuickTime Player, iTunes ou tout autre programme tentant d’afficher des données multimédias à l’aide d’un module QuickTime. Cela pouvait être soit un navigateur comme Safari d’Apple, Microsoft Internet Explorer ou Mozilla Firefox, soit, sous Mac OS X, n’importe quel programme capable d’afficher des images ou des films en ligne, comme Mail ou même le Finder pour les utilisateurs tentant d’afficher l’aperçu d’un fichier à l’aide de la fonction Coup d’oeil. Pour l’instant, les fichiers contenant des chaînes de caractères trop longues ne font que provoquer le plantage du programme qui tente de les afficher, mais il serait possible d’ajouter du code malveillant à ce type de fichiers et de les faire exécuter sans intervention de l’utilisateur pour effectuer d’autres tâches que le simple visionnage d’un fichier. Une mise à jour de sécurité pour Safari, le navigateur Web d’Apple, a été publiée au mois de novembre15. Elle avait pour but d’installer une nouvelle fonction anti-hameçonnage appelée par Apple « protection contre les sites frauduleux ». Safari affiche désormais une alerte dès qu’il pense avoir détecté un site d’hameçonnage. Apple a provoqué quelques émois à la fin du mois de novembre16 en procédant à la mise à jour d’un document suggérant que les ordinateurs Mac devaient être équipés de logiciels antivirus. Cette note contenait la phrase suivante : « Apple encourage l’usage généralisé de plusieurs programmes antivirus afin d’obliger les programmateurs de virus à contourner plusieurs applications à la fois et donc, de rendre plus difficile le processus de création de virus. » La note mentionnait ensuite trois programmes antivirus parmi lesquels Intego VirusBarrier X5 figurait en premier. Apple s’est empressé de retirer ce document de la circulation après que plusieurs organes de presse aient publié l’information en suggérant que Mac OS X était vulnérable face à de tels logiciels malveillants (ce qui est évidemment le cas), une idée toutefois contraire au discours marketing d’Apple.

En guise de conclusion, signalons qu’en 2008, Apple a publié 35 mises à jour de sécurité17 destinées à Mac OS X, QuickTime, Safari, l’Apple TV, iPhoto, iLife, l’iPhone, l’iPod touch et bien d’autres produits. Cela représente plusieurs gigaoctets de fichiers à télécharger et constitue une légère diminution par rapport aux 38 mises à jour de sécurité publiées par la société en 2007 (ces deux dernières années ayant toutefois été marquées par une nette augmentation si on les compare aux 22 et aux 23 mises à jour de sécurité publiées respectivement en 2006 et en 2005). Par rapport aux années précédentes, le nombre de problèmes de sécurité a connu une nette augmentation au cours des deux dernières années. Cela signifie que les utilisateurs Mac devront être plus vigilants que jamais pour s’assurer que leurs ordinateurs sont protégés de manière adéquate.

1 http://blog.intego.com/2007/10/31/intego-security-alert-osxrspluga-trojan-horse/
2 http://blog.intego.com/2008/04/11/new-variants-of-the-rsplug-trojan-horse/
3 http://blog.intego.com/2008/06/20/new-mac-os-x-trojan-horse-pokerstealer/
4 http://blog.intego.com/2008/11/18/intego-issues-security-memo-about-new-variant-of-rsplug-trojan-horse/
5 http://blog.intego.com/2008/12/02/yet-another-variant-of-the-rsplug-trojan-horse-this-one-taunts-intego/ _ 6 http://blog.intego.com/2008/11/20/intego-issues-security-memo-about-a-hacker-tool-that-can-be-used-to-create-trojan-horses/
7 http://blog.intego.com/2008/01/15/scareware-tries-to-trick-mac-users-into-buying-worthless-software/
8 http://blog.intego.com/2008/03/28/new-scareware-targets-mac/
9 http://blog.intego.com/2008/10/17/beware-bogus-security-software/
10 http://arstechnica.com/news.ars/post/20081017-report-fake-antivirus-programs-claim-30-million-victims.html
11 http://blog.intego.com/2008/06/19/new-critical-threat-to-mac-os-x/
12 http://blog.intego.com/2008/08/01/apple-issues-important-security-update/
13 http://blog.intego.com/2008/07/30/more-complaints-over-apples-delayed-dns-patch/
14 http://blog.intego.com/2008/09/18/quicktime-bug-discovered-may-be-vector-for-attack/
15 http://blog.intego.com/2008/11/14/safari-update-plugs-holes-adds-anti-phishing-feature/
16 http://blog.intego.com/2008/11/25/apple-recommends-antivirus-software/
17 http://support.apple.com/kb/HT1222  !  !




Voir les articles précédents

    

Voir les articles suivants