Codes malveillants
Un Cheval de Troie sournoi pour MacOS X.
Par Jerome Saiz, le 25 oct 2004 à 15:28:00.
Ca n'arrive pas qu'aux autres : un cheval de Troie particulièrement sournoi vient d'être découvert pour Mac OS X. Il n'est pas encore dans la nature et il ne s'agit donc pour l'instant que d'une preuve de concept. Mais avec un tel précédent, les utilisateurs du Mac pourraient bientôt aussi avoir à faire attention à ce qu'ils reçoivent par email. [Mis à jour le 26/10/04]
Cela devait bien arriver un jour ou l'autre : depuis que les Mac ont un vrai système d'exploitation, ils peuvent désormais avoir aussi de vrais soucis de sécurité.
C'est en tout cas ce tente de démontrer le cheval de Troie Renepo (Opener, à l'envers). Il s'agit d'un code exécutable (un simple script) susceptible d'être envoyé par email et chargé, une fois exécuté, de modifier profondément la configuration de sécurité de Mac OS X. Et pour un système basé sur Unix, donc configurable à l'extrême, cela veut dire hélas beaucoup de choses.
Renepo désactive ainsi le pare-feu du système puis télécharge et installe toute une série d'outils malicieux, dont un sniffer pour capturer les mots de passe en clair sur le réseau et un crackeur pour tenter d'obtenir ceux des utilisateurs du système (à l'image d'un John The Cracker bien connu dans le monde Unix). Il installe aussi un logiciel de téléconférence, probablement pour "écouter" les conversations si une webcam est installée.
Le Cheval de Troie modifie également les droits de nombreux répertoire systèmes critiques afin de les rendre accessibles à tout le monde en lecture et en écriture. Il se créé ensuite un utilisateur root pour faciliter le contrôle du système et, pour finir, arrête tous les systèmes de journalisation afin de masquer sa présence. Le parasite raffle ensuite tous les numéros de série qu'il peut trouver, tels les produits Adobe, VirtualPC ou Final Cut Pro.
Cependant Renepo ne peut faire de dégâts que s'il est volontairement exécuté par l'utilisateur. Il ne se reproduit pas, et il ne s'agit donc pas d'un virus ou d'un ver. La sécurité par défaut de MacOS X lui permet de ne pas craindre, pour l'instant, une épidémie à la Sasser. Aucun service vulnérable n'est exposé par défaut. Bref, pour être infecté, il faut le vouloir.
En outre, une fois exécuté, son activité sera limité aux droits de l'utilisateur (sous Mac OS X, l'utilisateur par défaut est administrateur mais les applications qui souhaitent bénéficier de ses droits doivent demander son mot de passe).
Moralité : sous Mac ou PC, rien ne change : ne cliquez pas sur n'importe quoi !
- La description du ver chez Sophos
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
