Mac OS X : le troyen Flashback infecte plus de 550 000 machines

Il suffit de mettre à jour Java pour bloquer l'infection 116
Vincent Hermann
Bien que la menace d’une infection soit nettement réduite pour un utilisateur Mac, le risque zéro n’existe pas. Un troyen est en train de prouver d’ailleurs qu’il peut infecter des centaines de milliers de machines : Flashback.

Les utilisateurs de Mac étant sous Snow Leopard et Lion ont sans doute reçu une mise à jour de l'environnement Java (1.6.0_31) pour leur système. Elle corrige en particulier une faille exploitée par un malware baptisé Flashback. L'éditeur de solutions antivirales DrWeb indique que la menace est réelle puisque plus de 550 000 machines auraient été infectées.

trojan flashback

DrWeb indique sur son site avoir repéré ces machines grâce à l’utilisation par le malware d’un comportement spécifique. BackDoor.Flashback.39, de son vrai nom, infecte une machine via une page web spécialement conçue. Un code JavaScript est utilisé pour charger un applet Java contenant une exploitation de la faille citée plus haut. Le code JavaScript lui-même a selon DrWeb été retrouvé sur de nombreux sites. Au total, selon les sources de l’éditeur, plus de quatre millions de pages web seraient ainsi infectées.

Une fois en place sur la machine, Flashback établit une communication avec un certain nombre de serveurs. C’est cette communication particulière qui a permis à l’éditeur de recenser les 550 000 machines concernées. Ces dernières sont d’ailleurs considérées comme un botnet, à savoir un parc de machines zombies pouvant être contrôlées par une unique personne (ou un serveur). Les quatre plus gros foyers d’infection sont :
  1. Les États-Unis avec 56,6 %
  2. Le Canada avec 19,8 %
  3. Le Royaume-Uni avec 12,8 %
  4. L’Australie avec 6,1 %
Il reste toutefois une chance à l’utilisateur de ne pas laisser sa machine être contrôlée. En effet, quand Flashback est prêt à prendre le pouvoir, il demande quand même les droits administrateurs à l’utilisateur. La question est posée via la classique fenêtre du mot de passe :

trojan flashback 

On remarque que la demande semble générée par « Software Update » avec l’icône bleue du composant de mises à jour de Mac OS X. Méfiance donc car ce composant ne pose la question qu’au moment de l’installation des mises à jour. En-dehors de ce contexte, cette demande sera donc forcément suspicieuse. Si l’utilisateur s’aperçoit de la supercherie, il peut donc bloquer l’étape finale. Toutefois, la machine est toujours considérée comme infectée.

L’éditeur F-Secure propose une méthode manuelle à appliquer dans le Terminal de Mac OS X. Quelques commandes suffiront à vérifier dans un premier temps si votre machine est réellement infectée :
  • defaults read /Applications/Safari.app/Contents/Info LSEnvironment
  • defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Si vous obtenez dans les deux cas un résultat « does not exist » (comme dans la capture ci-dessous) c’est que votre machine n’est pas touchée.

trojan flashback

Dans le cas contraire, il faudra suivre les étapes indiquées par F-Secure. Notez en outre que la mise à jour Java corrige la faille qui permet l’infection, mais n’empêche en aucun cas le malware d’agir s’il est déjà en place. 

Le problème est en tout cas sérieux, comme en témoignent les nombreux sujets créés dans les forums officiels d'Apple.