Le cheval de Troie Flashback frappe le Mac: Mythes, désinfection et protection

Flashback, le premier botnet à avoir infecté un nombre significatif de Mac, ne cesse de faire parler de lui dans les médias. Quels sont les mythes qui l’entourent, et comment peut-on s’en protéger?

Mythes

  • Les Mac n’ont pas de virus, donc il n’est pas nécessaire de prendre des précautions. Ceci est totalement faux. Contrairement à iOS, OS X permet l’exécution de logiciels de toute source. Ceci donne une grande flexibilité à l’utilisateur mais comporte aussi des risques. Bien que l’architecture du système d’exploitation aie de forts attributs par rapport à la sécurité, il ne peut protéger l’utilisateur à 100%. Bien que le sandboxing puisse aussi aider, il n’est pas requis à ce jour dans OS X, et peu d’applications en font usage.
  • Les gens qui ont des Mac se pensent immunisés. Ce mythe gagne en popularité depuis quelques années. Il est possible que certaines publicités d’Apple y contribuent. Dans la réalité, je n’ai pas remarqué de grande différence entre les utilisateurs de Windows et de Mac par rapport à la sécurité en général.
  • Les utilisateurs de Mac n’auraient pas eu de problème s’ils avaient eu un antivirus. Puisque la plupart des logiciels antivirus pour Mac ne détectaient pas Flashback au moment de l’infection massive, ceci est faux. Un antivirus est utile dans certaines circonstances, mais sur Mac comme sur Windows, on ne peut s’y fier à 100%. Il vous permettra de détecter des virus plus vieux et agit comme filtre à plus haut niveau en entreprise, mais il est souvent complètement inefficace contre les attaques récentes, et pratiquement toujours inutile contre les attaques visant une victime en particulier.
  • C’est la faute de Java, pas d’Apple! J’ai entendu cette phrase, qui est plutôt choquante quand on sait qu’Oracle avait corrigé sa version de Java il y a déjà longtemps. Apple n’a pas fait attention, et on espère que ça changera un peu la façon de faire sur la boucle infinie.

Détection et désinfection

La dernière mise-à-jour Java d’OS X inclus un outil pour enlever Flashback. Je ne l’ai pas testé, mais il doit fonctionner. Les instructions suivantes sont pour voir de façon manuelle si un Mac est infecté , ce qui n’est plus nécessaire mais peut être intéressant

Pour détecter Flashback, il suffit d’exécuter les commandes suivantes dans le terminal. Chaque commande doit être exécutée séparément.

defaults read /Applications/Safari.app/Contents/Info LSEnvironment 
defaults read /Applications/Google\ Chrome.app/Contents/Info LSEnvironment 
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment 
defaults read /Applications/iCab\ 4/iCab.app/Contents/Info LSEnvironment 
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES 

Sur un système qui est propre, les commandes ne trouveront rien et afficheront un message similaire pour chaque ligne:

The domain/default pair of (...) does not exist 

Si le système arrive à trouver quelque chose, vous devrez le nettoyer. Ceci peut-être fait en utilisant la dernière mise-à-jour Java d’Apple ou un outil comme celui de F-Secure. Il est aussi possible de le faire en enlevant manuellement les fichiers détectés avec les commandes précédentes, mais à moins d’être un pro du terminal, il est préférable de s’en tenir aux outils mentionnés ci-haut. De plus, quelques variantes différentes de Flashback existent et de nouvelles seront créées, donc les instructions pourraient ne pas être à jour.

Protection

  • Assurez-vous d’avoir toutes les mises-à-jour pour votre système. Ceci est important même si dans le cas spécifique de l’épidémie de Flashback, ça n’aurait pas aidé puisque c’est Apple qui a mis plusieurs semaines à intégrer les derniers correctifs qu’Oracle avait déjà corrigé dans Java. À moins d’habiter dans une région éloignée avec une quantité de bande passante ultra limitée, ça ne vous coutera rien de configurer votre système pour qu’il vérifie à chaque jour la disponibilité des rustines. Ceci est effectué dans la section “Software Update” des préférences de votre Mac.
  • Désactivez tous les plug-ins que vous n’utilisez pas. Flashback utilisait une vulnérabilité dans Java pour s’installer à travers votre navigateur. La même chose pourrait arriver dans le futur, que ce soit avec Java ou un autre plug-in comme par exemple, hypothétiquement, Flash. Safari permet de désactiver Java et les autres plug-ins. Java est contrôlé séparément.
  • Désinstallez Flash de votre système d’exploitation. Si vous utilisez Chrome, il possède son propre plug-in Flash. Donc de cette façon vous pouvez naviguer en utilisant Safari avec Flash et Java complètement désactivé, et lorsque nécessaire, Chrome sera disponible avec les plug-ins. Pourquoi? Parce que Chrome possède une fonction qui permet d’activer les plug-ins de façon manuelle (Click to play). Donc de cette façon aucun plug-in ne sera exécuté par défaut, sauf sur les sites configurés comme exception. Firefox est aussi flexible et permet de configurer les plug-ins de façon sécuritaire, et certaines extensions permettent de désactiver tout script sur le web par défaut (NoScript, Flashblock). Si vous êtes un power user, amusez vous !
  • Logiciel Anti-virus: J’utilise personnellement le logiciel ClamXAv, une version Mac de ClamAV, qui est très populaire sur les serveurs de courriel. Il s’agit d’un antivirus qui n’est normalement pas utilisé en temps réel, donc il permet de vérifier des fichiers ou des disques mais il ne protège pas à l’exécution. Il est possible d’utiliser la fonction “Sentry” afin de lui faire vérifier certains dossiers de façon régulière, comme par exemple l’endroit ou vous téléchargez vos applications.
  • Pour les power users: Little Snitch est un firewall personnel qui vous averti lorsqu’une application tente d’accéder à Internet. De cette façon, si un logiciel malveillant tente de se connecter à sa centrale de contrôle, vous saurez qu’il se passe quelque chose de louche! Mais attention, n’installez pas cette application sur les Mac de tous vos amis car la quantité de questions, surtout au début, découragera beaucoup d’utilisateurs. Fait intéressant: Flashback détecte LittleSnitch et se désinstalle, de façon à ce que les power users ne se rendent pas compte de l’existence du Botnet avant qu’il aie pu s’attaquer à des ordinateurs moins bien protégés!
  • Aucune protection n’est parfaite. Les antivirus ne détectent pas tout, même loin de là. Avec un peu de chance, Apple sera plus rapide à résoudre les problèmes de sécurité, mais il y en aura toujours d’autres. Donc n’oubliez pas la protection la plus importante contre les logiciels malveillants, les disques durs possédés par le diable, le feu et le vol: la copie de sauvegarde. Idéalement, une copie de sauvegarde devrait être gardée en dehors de votre maison, comme par exemple chez un ami ou sur un service Cloud.

À propos de Guillaume

Aussi à voir...

Super Mario Run, le renouveau de Nintendo en mars sur Android

La firme japonaise spécialisée dans le jeu vidéo lance sa première véritable application mobile, Super …

Un commentaire

  1. Je vais vérifier de suite… Merci

Qu'en penses-tu ?