Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport annuel 2008 de la sécurité Mac publié par Intego

janvier 2009 par Intego Security Alert

La découverte de nouvelles menaces (chevaux de Troie, « scareware » destinés à effrayer l’utilisateur pour le
manipuler, défauts de navigateur, vulnérabilités de Mac OS X, etc.) visant particulièrement les ordinateurs Mac
a fait de 2008 une année riche en événements du point de vue de la sécurité et des logiciels malveillants visant
les Mac. Ce document constitue un résumé des problèmes de sécurité Mac détectés au cours de l’année. Les
notes de bas de page font référence à des articles publiés sur le blog Intego Mac Security et contenant des informations supplémentaires sur ces problèmes.

Chevaux de Troie

Intego a découvert pour la première fois le cheval
de Troie RSPlug en octobre 20071. Depuis, un certain
nombre de variantes ont été découvertes un peu
partout et de plus en plus d’utilisateurs Mac ont été
infectés par ces programmes malveillants.

En avril de cette année, Intego a signalé la
découverte de nouvelles variantes de ce cheval de
Troie. La plupart d’entre elles n’étaient pas réellement
des variantes, mais simplement des images disques
portant des noms différents du nom original. (Un
fabricant d’antivirus a prétendu avoir découvert une
trentaine de variantes de ce type, mais n’a
apparemment pas pris la peine d’en vérifier le code
pour constater qu’il s’agissait du même programme.)

Deux de ces variantes incluaient des programmes
dont le code était différent, tandis que d’autres avaient
pour but d’installer des logiciels portant d’autres
noms. Le cheval de Troie RSPlug original était destiné
à installer un « logiciel » appelé MacCodec. Les
programmes d’installation d’autres versions
prétendaient installer MacVideo ou Porn4Mac. Ces
variantes se distinguaient également par leur
conteneur, c’est-à-dire l’image disque contenant le
programme d’installation. La première version a été
détectée dans une série d’images disques portant des
noms constitués de quatre chiffres suivis de l’extension
d’image disque : 1023.dmg par exemple. D’autres
portaient les noms operacodec1234.dmg,
nitroticket2018.dmg, uincodec4264.dmg,
ixcodec1292.dmg et xerocodec1292.dmg. (Remarque :
il peut y avoir quelques variations dans les chiffres
contenus dans ces noms, ainsi que dans les noms euxmêmes.)

Au mois de juin, Intego a détecté 3 un nouveau
cheval de Troie Mac OS X nommé
« OSX.Trojan.PokerStealer ». Une fois exécuté, ce
cheval de Troie active ssh sur le Mac local, puis envoie
le nom d’utilisateur, l’empreinte du mot de passe et
l’adresse IP du Mac à un serveur. Il invite ensuite
l’utilisateur à saisir un mot de passe d’administrateur
après lui avoir présenté une zone de dialogue
signalant qu’un fichier de préférences corrompu a été
détecté et qu’il doit être réparé. (Le message en anglais
est le suivant : « A corrupt preference file has been
detected and must be repaired ».) Le fait de saisir le
mot de passe d’administrateur permet au programme
d’effectuer ses tâches. Tout utilisateur hostile qui
parvient à obtenir l’accès ssh à un Mac peut,
notamment, en prendre le contrôle, supprimer des
fichiers ou endommager le système d’exploitation.
En novembre, Intego a découvert une autre
variante du cheval de Troie RSPlug, dotée cette fois
d’un comportement supplémentaire4. Si cette nouvelle
variante exécutait les mêmes actions que le cheval de
Troie RSPlug.A, le comportement de son programme
d’installation était toutefois différent : c’était un
programme de téléchargement qui entrait en contact
avec un serveur distant pour télécharger des fichiers à
installer. Cette caractéristique permettait au
programme de téléchargement d’être capable

Alors que nous pensions avoir découvert toutes
les variantes possibles du RSPlug, le mois de
décembre vit apparaître une version supplémentaire
contenant cette fois-ci le nom d’Intego5 . Cette nouvelle
variante baptisée « RSPlug.E » était semblable au
cheval de Troie RSPlug.D, mais présentait quelques
différences intéressantes par rapport aux versions
précédentes. Les échantillons examinés par Intego,
appelés FlashPlayer.v3.348.dmg et FlashPlayer.v..dmg,
contenaient du code faisant référence à Intego. Le code
malveillant chiffré à l’aide d’une routine standard
appelée uuencode présentait, une fois déchiffré, la
déclaration suivante : « begin 666 intego ». Cette
déclaration ordonnait au système de créer un fichier
doté d’autorisations de lecture et d’écriture (le chiffre
« 666 » est un raccourci utilisé pour décrire des
autorisations Unix et n’a rien à voir avec « le nombre
de la bête ») et d’y inclure un fichier nommé « intego »
contenant le code malveillant. Intego n’est bien sûr
aucunement impliqué dans la création de ce logiciel
malveillant et nous pensons que le choix de ce nom de
fichier n’était rien d’autre qu’une provocation de la
part du créateur de ce logiciel malveillant.

Autres logiciels malveillants Mac

Au mois de novembre, Intego a publié une note de
sécurité concernant un outil de piratage qui pouvait
être utilisé pour créer des chevaux de Troie6. Une série
de rapports circulait alors à propos d’un nouveau
« logiciel malveillant » ou « cheval de Troie » Mac
généralement baptisé « OSX.Lamzev.A » et censé
ouvrir une porte dérobée sur les ordinateurs Mac OS X
affectés. Après avoir découvert cet outil de piratage au
mois d’août 2008, Intego a conclu que cette menace
n’était pas sérieuse. Contrairement aux véritables
logiciels malveillants et aux chevaux de Troie, cet outil
de piratage, que nous avons baptisé « OSX.TrojanKit.Malez », exigeait que le pirate ait déjà accès à un ordinateur Mac pour y installer le code. À
ce jour, aucun cheval de Troie ou autre dispositif de
duplication faisant appel à cet outil n’a été détecté.
Malgré les rapports publiés par d’autres fournisseurs
de logiciels de sécurité, cet outil ne constitue pas une
menace sérieuse pour les ordinateurs Macintosh.
Cet outil de piratage peut être utilisé pour créer
une porte dérobée sur un ordinateur Mac OS X. Cette
porte dérobée donne ensuite au pirate un accès à
distance à l’ordinateur. Le code est ajouté à une
application tierce non signée installée manuellement
sur un Mac et la porte dérobée est activée dès que cette
application est exécutée. Il crée un fichier nommé
« com.apple.DockSettings » dans /Bibliothèque/
LaunchAgents et la porte dérobée est activée à chaque
ouverture de session. Le code binaire de l’application
d’origine est placé dans NomApplication.app/
Contents/MacOS/2, tandis que celui de la porte
dérobée se trouve dans NomApplication.app/
Contents/MacOS/1. L’outil modifie le fichier info.plist
de l’application afin qu’il pointe vers ce dernier
emplacement.

Il n’existe donc que deux modes de transmission
de cet outil de piratage : le premier consiste à envoyer
à un utilisateur une application infectée sous forme
d’archive zip ou d’image disque et le deuxième
consiste pour le pirate à obtenir l’accès réseau à un
Mac et à remplacer une application existante par une
version infectée.

Scareware pour Mac

L’année a débuté par une tentative éhontée
d’escroquer les utilisateurs Mac. Réalisée au mois de
janvier, cette tentative avait pour origine une société
vendant un programme appelé Macsweeper qui
prétendait être capable de détecter tous les fichiers et
les données inutiles de votre ordinateur et de les
supprimer pour récupérer l’espace inutilisé. (Le
message en anglais était le suivant : « The imbibed
[sic] set of features locates all the junk and useless data
on your computer and deletes them to reclaim the
wasted space. »)7 Il s’agit là de l’un des nombreux
« scareware » Mac observés cette année. Ce type de
programme a pour but d’effrayer les utilisateurs Mac
afin de les pousser à acheter de faux produits de
sécurité.

Un clone de ce programme, appelé « iMunizator »,
a été détecté au mois de mars. Il s’agissait du même programme (interface, fonctions et code identiques) proposé sous un autre nom. Le site Web du
programme présentait le même aspect et contenait la
même description que Macsweeper.8

Un autre faux programme de sécurité visant les
ordinateurs Mac a été découvert en octobre9. Baptisé
« MacGuard », ce programme déclarait :
« Le moteur d’analyse de haute technologie de
Macguard examinera votre disque dur afin de détecter tout
objet malveillant, comme des logiciels publicitaires, des
logiciels espions et des chevaux de Troie, et de permettre le
nettoyage de vos fichiers, l’élimination des menaces et la
protection de votre vie privée en quelques minutes à peine.
Cette protection intelligente en temps réel permettra
également d’empêcher toute nouvelle menace d’atteindre
votre bureau. »

Inutile de préciser qu’il s’agissait simplement de la
version Mac d’une banale escroquerie courante dans le
monde Windows : vendre des logiciels prétendant
vous protéger alors que le but est de vous escroquer. Si
vous êtes naïf au point d’acheter ce genre de logiciels
auprès d’une société dont vous n’avez jamais entendu
parler, qui ne possède aucune référence et dont le site
Web est aussi vague qu’imprécis, ne vous étonnez pas
de découvrir des retraits inattendus sur votre carte de
crédit. Selon un site Web10, plus de 30 millions de
personnes ont été victimes de ce genre de logiciels.

Problèmes de sécurité Mac OS X

Bien que la plupart des articles de presse consacrés
aux problèmes de sécurité se concentrent sur les
logiciels malveillants (virus, chevaux de Troie, etc.),
certaines des questions les plus graves aujourd’hui
concernent les défauts logiciels constatés dans les
systèmes d’exploitation. S’il dispose d’une meilleure
sécurité que Windows, Mac OS X n’est toutefois pas
dénué de défauts et Apple, qui doit rester
constamment sur ses gardes, publie chaque année une
vingtaine de mises à jour de sécurité. Ces dernières
concernent Mac OS X dans son ensemble, mais
également certaines portions spécifiques de Mac OS X
sur lesquelles des vulnérabilités sont régulièrement
détectées. Apple n’est pas le seul fabricant obligé de
publier des mises à jour de sécurité : le blog Intego
Mac Security suit l’évolution de logiciels populaires
comme Microsoft Office, Adobe Acrobat et Flash, ainsi
que de navigateurs Web tels que Firefox et Opera.
Au mois de juin, Intego a signalé aux utilisateurs
Mac une menace critique provenant du logiciel Apple
Remote Desktop11, un module installé sur tous les
ordinateurs Mac. Une vulnérabilité permettant à des
programmes malveillants d’exécuter du code en tant
que root, localement ou à travers une connexion à
distance, avait été découverte sur les ordinateurs
Mac OS X 10.4 ou 10.5. Cette vulnérabilité exploitait le
fait qu’ARDAgent, élément du composant Remote
Management de Mac OS X 10.4 et 10.5, possédait un
bit setuid. Tout utilisateur lançant un tel exécutable
obtenait les privilèges de l’utilisateur possédant cet
exécutable. Comme dans ce cas ARDAgent était la
propriété de l’utilisateur root, l’exécution du code via
l’exécutable ARDAgent était effectuée en tant que root,
sans qu’il soit nécessaire de saisir un mot de passe.
L’exploit en question dépendait de la capacité
d’ARDAgent à exécuter des AppleScripts, qui peuvent
inclure des commandes de script shell.

Apple a attendu le mois d’août pour publier un
correctif permettant de régler ce problème12. Ce retard
et d’autres exemples de ce type survenus durant
l’année 2008 ont poussé de nombreux commentateurs
et chercheurs à déclarer qu’Apple prenait trop de
temps à corriger ses problèmes de sécurité. (En guise
d’exemple supplémentaire, citons également le retard
de plusieurs mois avant la publication d’un correctif
de sécurité destiné à un problème d’empoisonnement
de cache DNS13 que d’autres fabricants avaient déjà
corrigé plusieurs mois auparavant.)
Une bogue important, qui pourrait devenir le
vecteur d’attaques futures, a été découvert dans
QuickTime au mois de septembre14. La balise
«  <? quicktime type= ?>  » était incapable de gérer les
longues chaînes de caractères, ce qui pouvait
provoquer un dépassement de tas (« Heap Overflow »)
dans QuickTime Player, iTunes ou tout autre programme tentant d’afficher des données
multimédias à l’aide d’un module QuickTime. Cela
pouvait être soit un navigateur comme Safari d’Apple,
Microsoft Internet Explorer ou Mozilla Firefox, soit,
sous Mac OS X, n’importe quel programme capable
d’afficher des images ou des films en ligne, comme
Mail ou même le Finder pour les utilisateurs tentant
d’afficher l’aperçu d’un fichier à l’aide de la fonction
Coup d’oeil. Pour l’instant, les fichiers contenant des
chaînes de caractères trop longues ne font que
provoquer le plantage du programme qui tente de les
afficher, mais il serait possible d’ajouter du code
malveillant à ce type de fichiers et de les faire exécuter
sans intervention de l’utilisateur pour effectuer
d’autres tâches que le simple visionnage d’un fichier.
Une mise à jour de sécurité pour Safari, le
navigateur Web d’Apple, a été publiée au mois de
novembre15. Elle avait pour but d’installer une
nouvelle fonction anti-hameçonnage appelée par
Apple « protection contre les sites frauduleux ». Safari
affiche désormais une alerte dès qu’il pense avoir
détecté un site d’hameçonnage.
Apple a provoqué quelques émois à la fin du mois
de novembre16 en procédant à la mise à jour d’un
document suggérant que les ordinateurs Mac devaient
être équipés de logiciels antivirus. Cette note contenait
la phrase suivante : « Apple encourage l’usage
généralisé de plusieurs programmes antivirus afin
d’obliger les programmateurs de virus à contourner
plusieurs applications à la fois et donc, de rendre plus
difficile le processus de création de virus. » La note
mentionnait ensuite trois programmes antivirus parmi
lesquels Intego VirusBarrier X5 figurait en premier.
Apple s’est empressé de retirer ce document de la
circulation après que plusieurs organes de presse aient
publié l’information en suggérant que Mac OS X était
vulnérable face à de tels logiciels malveillants (ce qui
est évidemment le cas), une idée toutefois contraire au
discours marketing d’Apple.

En guise de conclusion, signalons qu’en 2008,
Apple a publié 35 mises à jour de sécurité17 destinées à
Mac OS X, QuickTime, Safari, l’Apple TV, iPhoto, iLife,
l’iPhone, l’iPod touch et bien d’autres produits. Cela
représente plusieurs gigaoctets de fichiers à
télécharger et constitue une légère diminution par
rapport aux 38 mises à jour de sécurité publiées par la
société en 2007 (ces deux dernières années ayant
toutefois été marquées par une nette augmentation si
on les compare aux 22 et aux 23 mises à jour de
sécurité publiées respectivement en 2006 et en 2005).
Par rapport aux années précédentes, le nombre de
problèmes de sécurité a connu une nette augmentation
au cours des deux dernières années. Cela signifie que
les utilisateurs Mac devront être plus vigilants que
jamais pour s’assurer que leurs ordinateurs sont
protégés de manière adéquate.

1 http://blog.intego.com/2007/10/31/intego-security-alert-osxrspluga-trojan-horse/
2 http://blog.intego.com/2008/04/11/new-variants-of-the-rsplug-trojan-horse/
3 http://blog.intego.com/2008/06/20/new-mac-os-x-trojan-horse-pokerstealer/
4 http://blog.intego.com/2008/11/18/intego-issues-security-memo-about-new-variant-of-rsplug-trojan-horse/
5 http://blog.intego.com/2008/12/02/yet-another-variant-of-the-rsplug-trojan-horse-this-one-taunts-intego/ _ 6 http://blog.intego.com/2008/11/20/intego-issues-security-memo-about-a-hacker-tool-that-can-be-used-to-create-trojan-horses/
7 http://blog.intego.com/2008/01/15/scareware-tries-to-trick-mac-users-into-buying-worthless-software/
8 http://blog.intego.com/2008/03/28/new-scareware-targets-mac/
9 http://blog.intego.com/2008/10/17/beware-bogus-security-software/
10 http://arstechnica.com/news.ars/post/20081017-report-fake-antivirus-programs-claim-30-million-victims.html
11 http://blog.intego.com/2008/06/19/new-critical-threat-to-mac-os-x/
12 http://blog.intego.com/2008/08/01/apple-issues-important-security-update/
13 http://blog.intego.com/2008/07/30/more-complaints-over-apples-delayed-dns-patch/
14 http://blog.intego.com/2008/09/18/quicktime-bug-discovered-may-be-vector-for-attack/
15 http://blog.intego.com/2008/11/14/safari-update-plugs-holes-adds-anti-phishing-feature/
16 http://blog.intego.com/2008/11/25/apple-recommends-antivirus-software/
17 http://support.apple.com/kb/HT1222
 !
 !


Voir les articles précédents

    

Voir les articles suivants