Mac OS X et les malwares : comment se protéger ?

Classé dans : À la une, Tendances | 0

Mac OS X a depuis longtemps une réputation de fiabilité et de sécurité, notamment due à la rareté des virus et de la plupart des menaces numériques sur ce système. Si cette affirmation a pu être vraie durant plusieurs années, l’augmentation des parts de marché, de la visibilité d’Apple et de sa croissance en font aujourd’hui une cible tout aussi intéressante que les produits concurrents. Qu’en est-il réellement aujourd’hui et quelles sont les mesures à prendre?

Quelques définitions…

Le Malware

Les menaces numériques sont des logiciels malveillants (d’ou le terme Malware). On confond souvent Malware et Virus. Il convient de rétablir une vérité sur un abus de langage. Le fameux « virus » n’est qu’une des formes possibles. En effet, il fait partie des Malwares qui contiennent de nombreuses sous-catégories.

Selon Wikipedia :

« Les virus sont capables de se répliquer, puis de se propager à d’autres ordinateurs en s’insérant dans d’autres programmes ou des documents légitimes appelés « hôtes ». Ils se répartissent ainsi : virus de secteur d’amorçage ; de fichier ; de macro ; et de script. Certains intègrent des rootkits. Les virus peuvent s’avérer particulièrement dangereux et endommager plus ou moins gravement les machines infectées. » 

[…] « Les vers (worm) sont capables d’envoyer une copie d’eux-mêmes à d’autres machines. Ils peuvent être classés selon leur technique de propagation : les vers de courrier électronique ; Internet ; IRC ; les vers de réseau ; et ceux de partage de fichiers. Certains, comme le ver I Love You, ont connu une expansion fulgurante. »

[…]« Les chevaux de Troie (Trojan horse) sont divisés en plusieurs sous-catégories, et comprennent notamment les portes dérobées, les droppers, les notificateurs, les logiciels espions (dont les keyloggers) etc. Ils ont chacun des objectifs spécifiques. Certains chevaux de Troie utilisent également des rootkits pour dissimuler leur activité. »

La notion d’automatisation et d’auto-réplication est à la base de la définition du Virus. Aujourd’hui, mis à part quelques rares cas sur Mac, le Virus n’est pas la forme la plus importante de logiciels malveillants. Les Malwares qui ont le plus prospéré ces dernières années sont avant tout les Macro-virus et les Adwares.

Les macro-virus sont des scripts Visual Basic intégrés dans des documents Microsoft Office (Word, Excel, Powerpoint). Ils ont une portée limitée en terme de dégâts mais peuvent poser énormément de problèmes nuisant à la productivité dans un environnement professionnel, voire à des pertes de données. Ces Macro étant compatible entre les plateformes, la plupart peuvent se propager sans problèmes aux contacts, clients ou fournisseurs travaillant sous Windows.

Les Adwares (ou Publiciels) peuvent empêcher de travailler dès que l’on a un navigateur internet ouvert, inondant le poste sous des publicités, y compris NSFW. Les moyens de contamination le plus souvent rencontrés sont: Des logiciels qui se présentent comme des outils de protection de votre ordinateur suite à une alerte virus sur un site internet (MacKeeper), des extensions Safari ou pages de recherches par défaut lançant des tonnes de publicités en arrière plan (Genieo), s’installant le plus souvent en parallèle dans l’installateur d’un logiciel que l’on veut installer: (ex: souvent dans l’installateur de Cacaoweb, Transmission, Handbrake ou autre logiciel hors App Store).

Un peu d’histoire…

Commençons par un petit historique des menaces qu’a connu le Mac. On s’aperçoit très vite que les Malwares sur Mac ne datent pas d’aujourd’hui. En 1982 , le premier Virus « Mac » est crée par Rich Skrenta. Ce virus appelé Elk Cloner va se transmettre via un disque et va afficher un poème. On est ici bien loin des dangers que l’on rencontre aujourd’hui !

En 1994 apparait un véritable virus (Virus B) qui modifie le système de fichiers et d’autres applications ce qui entraine parfois le plantage du système.

C’est dans les années 2000 que les menaces se multiplient sur Mac OS X,  devenant de plus en plus ingénieuses et de plus en plus efficaces. Ainsi en 2008, le premier cheval de Troie qui permettait par la suite de prendre le contrôle à distance de l’ordinateur est crée. Il exploitait une faille dans la fonction AppleScript.THT.

En 2011, une nouvelle forme de menace apparait, le faux antivirus. Un adware va vous afficher des publicités vous indiquant que vous êtes menacé et vous encourage à acheter l’anti-virus qui va lui-même installer le malware réel.

Mais c’est en 2012 que le grand public va prendre conscience que les Mac peuvent aussi être vulnérables. Le cheval de troie Flashback va contaminer plus de 600 000 Mac via une fausse mise à jour d’Adobe Flash Player. Il était ensuite capable de voler les données personnelles de l’utilisateur.

Quelles sont les menaces actuelles sur Mac? 

La nuisance la plus fréquemment rencontrée sur notre plateforme est l’Adware qui va afficher de la publicité sans arrêt à l’écran. Il s’installe de façon très simple, une publicité sur votre navigateur internet s’ouvre en vous proposant de télécharger le logiciel que vous recherchez. Le téléchargement s’effectue. Vous pouvez même installer votre logiciel, mais dans le même temps une petite case à cocher vous demande si vous souhaitez bénéficier d’outils supplémentaires comme présenté dans la capture d’écran suivante :

Les problèmes commencent alors, modification des préférences du navigateur, publicités qui s’ouvrent sans arrêt depuis n’importe quel site… Il devient alors très difficile de revenir à la normale sans jouer de la ligne de commande. Apple propose bien une procédure pour limiter les dégâts, mais cela ne solutionne pas le problème de fond. Pour pouvoir enlever ce genre de Malware, il faut trouver dans les différentes bibliothèques du Mac les fichiers de préférences qui lancent dans le navigateur ces scripts de publicité. Attention toutefois, tous les fichiers présents dans ces dossiers ne sont pas nuisibles, le mieux en cas de doute est de faire des recherches ou de consulter un spécialiste pour savoir ce à quoi correspond chaque fichier.

Pour résumer, dans ces dossiers vont se trouver tous les éléments qui vont se lancer au démarrage du système (Démons) et à l’ouverture d’une session (Agents). C’est pourquoi, une fois installé dans ces dossiers, il peut être très compliqué de les y déloger. La procédure est longue et fastidieuse, il est donc préférable de se protéger en amont.

La présence d’Adware est très pénible à l’usage et même si des utilitaires permettent de les retirer facilement, il convient de faire attention à ne pas installer un logiciel faisant l’inverse de ce pour quoi on pense l’installer…

Plus récemment, une version du virus XAgent, développée spécifiquement sur Mac par le groupe de hackers russes APT28, a permis l’exfiltration de données sensibles, telles que les données de carnet d’adresse ou les sauvegardes d’iPhone.

Autre type de malware, nettement plus dangereux, le Ransonware, illustré à l’échelle mondiale par le récent Wannacry : Son principe est simple, ce malware une fois installé va chiffrer des dossiers et vous demandera de payer pour pouvoir y avoir accès à nouveau. Le premiers cas connu sur Mac est passé via l’installation du logiciel BitTorrent Transmission, diffusé via une version corrompue. Ce Ransonware chiffrait non seulement les données du Mac mais était également conçu pour chiffrer les sauvegardes Time Machine, rendant ainsi impossible toute récupération des données. La seule solution pour se débarrasser de ce type de Malware est de complètement effacer son disque dur, ce chiffrement étant du même niveau qu’un FileVault2, rendant toute récupération de données impossible.

 

Comme nous avons vu précédemment dans l’historique d’autres formes de menaces existent mais le but ici est de vous présenter les menaces les plus fréquentes et nous allons maintenant voir comment vous y préparer.

 

Installer un antivirus : utile ou pas ?

C’est LA grande question qui a été posée durant des années, la réputation d’Apple s’appuyant en grande partie sur la sécurisation de ses produits. Oui, Mac OS X est basé sur un noyau UNIX (BSD) dont la réputation n’est plus à faire. Oui, Apple en a renforcé la sécurité par différents mécanismes (désactivation du compte root, structuration du système en couches, XProtect, Gatekeeper, SIP, etc.). Mais un système invulnérable serait malgré tout un système fermé et non évolutif, ce qui est impensable dans le marché des systèmes d’exploitation.

Il est donc préférable de se protéger en amont pour être « vacciné » autant que possible contre ces désagréments. De nombreuses solutions pour Mac existent. Mais entre les faux anti-virus qui vous font payer des menaces fantômes, inefficaces et ceux qui ralentissent l’ordinateur, il est aujourd’hui très difficile de s’y retrouver.

De plus, disposer d’un anti-malware sur votre Mac évitera le phénomène du « porteur sain » et évitera que vous transmettiez des infections numériques à vos clients, fournisseurs, ou collaborateurs, ce qui reste le plus gros risque sur Mac. Difficile d’expliquer à un client qu’un ordinateur a été vérolé à cause d’une volonté d’économie sur l’antivirus…

 

Comment choisir son Anti-Malware?

Associée à l’antivirus qui analyse les fichiers en temps réel, une solution avec un firewall intégré est aujourd’hui un atout non négligeable. Celle-ci va bloquer les tentatives de connexion à votre poste de travail, et surtout permettre de personnaliser les règles du firewall en fonction des besoins du poste, ce qui évite d’avoir une politique de firewall côté réseau entrant soit trop laxiste soit trop restrictive, le but étant que la sécurité des postes ne se mette pas en travers des besoins de ce dernier.

Les éditeurs leaders (Sophos, McAfee, AVG, Kaspersky, BitDefender, Avast, etc.) proposent des solutions compatibles Mac. Dans le cas d’une infrastructure disposant de serveurs Windows dédiés, il conviendra de s’assurer que les mises à jour des clients sont bien assurées par les serveurs, ce qui n’est pas toujours le cas avec des clients Mac. Dans les cas de petites structures où le Mac est prédominant, on préférera des solutions plus adaptées au modèle Apple, tel que la gamme Flextivity de l’éditeur Intego. Le coût de l’abonnement sera bien entendu un critère de sélection, mais dans ce domaine, les choses ont tendance à s’uniformiser.

 

S. Sainte-Marie & Y. Barian