Bien que la menace d’une infection soit nettement réduite pour un utilisateur Mac, le risque zéro n’existe pas. Un troyen est en train de prouver d’ailleurs qu’il peut infecter des centaines de milliers de machines : Flashback.
Les utilisateurs de Mac étant sous Snow Leopard et Lion ont sans doute reçu une mise à jour de l'environnement Java (1.6.0_31) pour leur système. Elle corrige en particulier une faille exploitée par un malware baptisé Flashback. L'éditeur de solutions antivirales DrWeb indique que la menace est réelle puisque plus de 550 000 machines auraient été infectées.
DrWeb indique sur son site avoir repéré ces machines grâce à l’utilisation par le malware d’un comportement spécifique. BackDoor.Flashback.39, de son vrai nom, infecte une machine via une page web spécialement conçue. Un code JavaScript est utilisé pour charger un applet Java contenant une exploitation de la faille citée plus haut. Le code JavaScript lui-même a selon DrWeb été retrouvé sur de nombreux sites. Au total, selon les sources de l’éditeur, plus de quatre millions de pages web seraient ainsi infectées.
Une fois en place sur la machine, Flashback établit une communication avec un certain nombre de serveurs. C’est cette communication particulière qui a permis à l’éditeur de recenser les 550 000 machines concernées. Ces dernières sont d’ailleurs considérées comme un botnet, à savoir un parc de machines zombies pouvant être contrôlées par une unique personne (ou un serveur). Les quatre plus gros foyers d’infection sont :
On remarque que la demande semble générée par « Software Update » avec l’icône bleue du composant de mises à jour de Mac OS X. Méfiance donc car ce composant ne pose la question qu’au moment de l’installation des mises à jour. En-dehors de ce contexte, cette demande sera donc forcément suspicieuse. Si l’utilisateur s’aperçoit de la supercherie, il peut donc bloquer l’étape finale. Toutefois, la machine est toujours considérée comme infectée.
L’éditeur F-Secure propose une méthode manuelle à appliquer dans le Terminal de Mac OS X. Quelques commandes suffiront à vérifier dans un premier temps si votre machine est réellement infectée :
Dans le cas contraire, il faudra suivre les étapes indiquées par F-Secure. Notez en outre que la mise à jour Java corrige la faille qui permet l’infection, mais n’empêche en aucun cas le malware d’agir s’il est déjà en place.
Le problème est en tout cas sérieux, comme en témoignent les nombreux sujets créés dans les forums officiels d'Apple.
Les utilisateurs de Mac étant sous Snow Leopard et Lion ont sans doute reçu une mise à jour de l'environnement Java (1.6.0_31) pour leur système. Elle corrige en particulier une faille exploitée par un malware baptisé Flashback. L'éditeur de solutions antivirales DrWeb indique que la menace est réelle puisque plus de 550 000 machines auraient été infectées.
DrWeb indique sur son site avoir repéré ces machines grâce à l’utilisation par le malware d’un comportement spécifique. BackDoor.Flashback.39, de son vrai nom, infecte une machine via une page web spécialement conçue. Un code JavaScript est utilisé pour charger un applet Java contenant une exploitation de la faille citée plus haut. Le code JavaScript lui-même a selon DrWeb été retrouvé sur de nombreux sites. Au total, selon les sources de l’éditeur, plus de quatre millions de pages web seraient ainsi infectées.
Une fois en place sur la machine, Flashback établit une communication avec un certain nombre de serveurs. C’est cette communication particulière qui a permis à l’éditeur de recenser les 550 000 machines concernées. Ces dernières sont d’ailleurs considérées comme un botnet, à savoir un parc de machines zombies pouvant être contrôlées par une unique personne (ou un serveur). Les quatre plus gros foyers d’infection sont :
- Les États-Unis avec 56,6 %
- Le Canada avec 19,8 %
- Le Royaume-Uni avec 12,8 %
- L’Australie avec 6,1 %
On remarque que la demande semble générée par « Software Update » avec l’icône bleue du composant de mises à jour de Mac OS X. Méfiance donc car ce composant ne pose la question qu’au moment de l’installation des mises à jour. En-dehors de ce contexte, cette demande sera donc forcément suspicieuse. Si l’utilisateur s’aperçoit de la supercherie, il peut donc bloquer l’étape finale. Toutefois, la machine est toujours considérée comme infectée.
L’éditeur F-Secure propose une méthode manuelle à appliquer dans le Terminal de Mac OS X. Quelques commandes suffiront à vérifier dans un premier temps si votre machine est réellement infectée :
- defaults read /Applications/Safari.app/Contents/Info LSEnvironment
- defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Dans le cas contraire, il faudra suivre les étapes indiquées par F-Secure. Notez en outre que la mise à jour Java corrige la faille qui permet l’infection, mais n’empêche en aucun cas le malware d’agir s’il est déjà en place.
Le problème est en tout cas sérieux, comme en témoignent les nombreux sujets créés dans les forums officiels d'Apple.
![[Enquête] Les escrocs du scraping](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/12848.jpg)
![[MàJ] Jeux vidéo : après s’être vidé un chargeur dans le pied, le moteur Unity fait volte-face](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/12832.jpg)
