Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours

Mais c'est un site officiel !
Logiciel 3 min
Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours

Les utilisateurs du logiciel HandBrake sur Mac en ont peut-être obtenu une version frelatée s’ils l’ont installé récemment. Les développeurs avertissent qu’un fichier infecté a été placé à leur insu sur leurs serveurs de téléchargement. On peut cependant se débarrasser du malware.

HandBrake est un logiciel open source très connu dans le domaine des conversions de vidéos, qui se veut relativement simple à utiliser. Le type d’application tout-en-un et prenant l’utilisateur par la main qui a fait son succès. Mais à l’instar de ce que l’on avait pu voir avec Transmission l’année dernière, le site officiel s’est mis à distribuer pendant quelques jours une version infectée de HandBrake, avec un malware caché dans ses entrailles.

Une variante du malware OSX.PROTON

On ne sait pas exactement ce qui s’est passé, mais les serveurs de téléchargement de HandBrake ont distribué ce malware entre les 2 et 6 mai. En tenant compte de la « célébrité » du logiciel, ce sont pratiquement cinq journées entières durant lesquelles les internautes ont peut-être été infectés.

« Peut-être » parce que les développeurs indiquent qu’il y a une chance sur deux pour que la mouture téléchargée contienne le malware (selon le miroir choisi pour l’internaute). Ce dernier est une variante d’OSX.PROTON, un outil d’accès distant (RAT, pour Remote Access Tool) somme toute assez classique, avec toutes les fonctionnalités qu’on peut attendre pour les pirates : surveillance des frappes au clavier, prise de captures d’écran, vol de fichiers, exécution de commandes, accès distant, etc.

Ces actions ne sont autorisées que si l'attaquant parvient à obtenir les droits administrateurs, ce qui ne peut être donné que par le mot de passe de l’utilisateur. HandBrake n’en réclamant pas, les pirates ont glissé une fausse fenêtre demandant l’installation d’un pack de codecs. En temps normal, le logiciel n’en a pour information pas besoin.

Le malware facile à détecter et à supprimer

Heureusement pour l’utilisateur, le malware n’est pas un as du camouflage et ses techniques n’ont rien d’époustouflant… même si sa capacité de nuire est entière et qu’il peut faire de nombreux dégâts s’il parvient à s’activer.

Pour savoir si vous êtes infecté, il suffit d’ouvrir le Moniteur d’activité (Dossiers Outils dans Applications) et de vérifier si une ligne « Activity_agent » apparaît. Si c’est le cas, c’est que votre Mac est contaminé. Cela étant, vous le saviez déjà peut-être si vous vous souvenez avoir donné votre mot de passe pour une installation de codecs.

Pour supprimer le malware, il suffit d’exécuter ces commandes dans le Terminal :

  1. launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  2. rm -rf ~/Library/RenderFiles/activity_agent.app

Notez que ces commandes ne s’occupent que de l’agent résident. Il faut dans tous les cas supprimer l’application en déplaçant l’icône dans le dossier Applications vers la Corbeille (et la vider tant qu’à faire). En outre, si un fichier proton.zip se trouve dans le dossier /Library/VideoFrameworks/, il faudra également l’expédier dans les limbes.

Un type d’infection dont il est difficile de se méfier

Qui que soient les responsables de cette contamination, le vecteur choisi fonctionnera toujours pour une partie des utilisateurs. Même si HandBrake demande quelques connaissances, il est suffisamment simple pour attirer tout un chacun. Un internaute n’a a priori aucune raison de se méfier d’un site officiel.

C’est bien là tout le problème, comme le cas de Transmission l’avait prouvé l’année dernière. Le scénario était à peu près le même : une version frelatée de l’application avait été mise à disposition sur les serveurs officiels de téléchargement. Si l’utilisateur ne fait pas attention à ce qu’on lui demande, il peut aisément se faire avoir. C’est particulièrement vrai pour HandBrake : seuls ceux qui ont déjà utilisé le logiciel savent qu’il ne réclame pas le mot de passe et n’installe aucun codec.

En attendant, les développeurs indiquent qu’une enquête est en cours pour savoir ce qui s’est passé. La fonctionnalité XProtect de macOS a également été mise à jour par Apple, les nouvelles installations de cette version contaminée ne devraient donc plus être possibles. 

23 commentaires
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 09/05/17 à 09:50:51

Vivement l'instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs
(affichés par les dev à la main bien sûr, après la compil)

Édité par jackjack2 le 09/05/2017 à 09:51
Avatar de domFreedom INpactien
Avatar de domFreedomdomFreedom- 09/05/17 à 09:52:24

Faudra analyser comment un miroir officiel a pu être contaminé par ce type de malware.
Nul doute que les devs placeront une signature de code, ou à défaut, les CRC des fichiers "originaux"... :fumer:

edit : grilled

Édité par domFreedom le 09/05/2017 à 09:52
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 09/05/17 à 09:54:06

J'avais lu qu'il y avait un développeur commun aux deux projets.. mais je retrouve plus la news, grosse flemme :D

Avatar de Pierre_ INpactien
Avatar de Pierre_Pierre_- 09/05/17 à 09:56:18

jackjack2 a écrit :

Vivement l'instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs

+1 :yes:

Avatar de adrenalinedj Abonné
Avatar de adrenalinedjadrenalinedj- 09/05/17 à 10:00:23

Et tu fais comment si le hash affiché sur la page de download est le même que celui du fichier vérolé ?
(dans le genre, je te vérole le fichier mais le hash aussi)

Ton navigateur validera ton téléchargement ?

Édité par adrenalinedj le 09/05/2017 à 10:01
Avatar de Patmol Abonné
Avatar de PatmolPatmol- 09/05/17 à 10:02:18

Sur cette article, ils l'indiquent à la fin, enfin, ici c'est le créateur, peut -être que c'est de lui que tu parles : HandBrake infecté par le malware PROTON : comment s'en débarrasser ? - MacG

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 09/05/17 à 10:03:02

ah ben voilà :chinois:

Avatar de benjarobin Abonné
Avatar de benjarobinbenjarobin- 09/05/17 à 10:09:37

La seule vrai solution est la signature via GnuPG, sauf qu'il faut avoir déjà avoir la clé publique... Et c'est un peu le problème... Donc en gros il n'y a pas de vrai bonne solution, à moins de créer un réseau de confiance comme pour les dépôts sous Arch Linux (On a besoin de faire confiance qu'a 2 ou 3 personnes).

Édité par benjarobin le 09/05/2017 à 10:11
Avatar de Whinette INpactien
Avatar de WhinetteWhinette- 09/05/17 à 10:10:15

jackjack2 a écrit :

Vivement l'instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs
(affichés par les dev à la main bien sûr, après la compil)

Si le binaire est corrompu, le md5 le sera aussi :/

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 09/05/17 à 10:14:05

meuh y'a pas de virus sur mac :) :xzombi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3