Codes malveillants
MacOS X : premier ver ? nouveau virus ?
Par Jerome Saiz, le 17 fév 2006 à 11:56:00.
Le Mac connaît un nouveau code malicieux. OSX/Leap se propage via la messagerie instantanée iChat après avoir été activé manuellement par l'utilisateur. Le débat fait rage entre ceux qui le considèrent comme un virus, ceux qui estiment qu'il s'agit d'un ver et les plus pragmatiques qui y voient seulement un cheval de Troie tout simple. Explications.
La communauté Mac est en émoi : OSX/Leap est le premier code malicieux à avoir presque le goût d'un virus ou d'un ver façon Windows.
Le code malicieux a été diffusé pour la première fois sur un forum de discussion, sous la forme d'une archive compressée censée contenir des captures d'écran du prochain MacOS X (Leopard). Le fichier est baptisé "latestpics".
Une fois décompressée, l'archive révèle un fichier censé être une image JPG (il en a l'icône), mais qui est en réalité un script exécutable. En double-cliquant pour l'ouvrir, ce dernier va tenter de s'installer sur le système sous la forme d'un
InputManager.Précisons pour les adeptes de Windows qu'un InputManager est un programme très particulier. Il suffit de le déposer dans un répertoire spécifique (soit celui du système, si l'on a les droits nécessaires, soit celui de l'utilisateur) pour qu'il soit ensuite chargé avec toutes les applications lancées. Et comme il est chargé dans le même espace mémoire que ces dernières, il peut facilement accéder à leurs informations.
Et, oui, dit comme ça, un InputManager pourrait être vu comme une véritable assistance à l'infection !
Une fois ainsi capable de surveiller le chargement de chaque application, le ver tentera de se propager de plusieurs manières : en infectant tout d'abord les applications les plus utilisées ce mois-ci (via l'outil de recherche SpotLight). Puis, surtout, en surveillant le lancement de chaque application grâce à l'InputManager installé. Dans ce cas, s'il s'agit de la messagerie instantanée iChat, il s'enverra à tous les contacts de l'utilisateur, toujours sous la forme de son archive compressée. Il semblerait que l'auteur ait tenté de procéder de la même manière avec le client de courriers électroniques Mail.app, mais sans succès.
Les correspondants de l'utilisateur infecté recevront alors à leur tour une archive compressée contenant le ver. Ils devront, pour être infectés, accepter le fichier, l'ouvrir et double-cliquer sur la pseudo-image. Bref, il faut vraiment le vouloir ! Mais l'expérience du monde Windows nous montre que la réserve d'utilisateurs naïfs prêts à cliquer n'importe où est particulièrement vaste. Et il n'y a aucune raison pour que ce soit très différent sous Mac !
OSX/Leap s'envoie par messagerie instantanée iChat à tous les contacts de l'utilisateur (source : Symantec)
Le ver ne fait rien d'autre que de se propager.
Ver buggé et système d'exploitation robuste...En dépit de toute l'agitation autours de ce OSX/Leap (car c'est effectivement une certaine nouveauté en matière de code malicieux pour MacOS X), le danger n'est pas très grand et, surtout, il ne remet pas en cause les fondements mêmes du système.
Contrairement à Windows, MacOS X fonctionne très bien au quotidien si l'utilisateur n'a pas de droits d'administration (mais, tout comme Windows, de nombreux utilisateurs n'ont pas pris la peine de se créer un compte sans droits !). L'isolation robuste entre les comptes du systèmes et ceux des utilisateurs fait que le parasite ne pourra pas infecter grand chose s'il est exécuté depuis un compte non privilégié.
Par ailleurs, le code est particulièrement buggé : les applications infectées risquent de ne plus fonctionner, et l'envoi par email ne fonctionne pas.
Finalement, OSX/Leap aura surtout servi une cause : réveiller les utilisateurs de MacOS X et leur montrer qu'ils sont aussi vulnérables que ceux de Windows... s'ils ne prennent pas la peine de profiter de la robustesse inhérente à leur système.
Le parasite aura également su mettre en lumière les "InputManager", une méthode certes très pratique, mais pas seulement pour les développeurs d'applications légitimes !
Plus d'information
- Le détail du ver OSX/Leap chez Sophos (en anglais).
- La même chose chez McAfee (en anglais).
- Et chez Symantec, en images (en anglais).
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
