En l’espace d’un week-end, et avec l'aide de chercheurs en sécurité, Apple a rapidement bloqué une cyberattaque visant à infecter les utilisateurs de Mac avec des logiciels de cryptage de fichiers malveillants autrement appelés ransomware. Ce dernier avait été intégré dans une application BitTorrent légitime appelée Transmission. C’est la première attaque de ransomware ciblant des machines Apple. Jusque-là, ce sont surtout les ordinateurs fonctionnant sous Windows qui étaient visés. Après l’attaque, qui consiste à crypter les fichiers d’un ordinateur et d’empêcher leur utilisation, les victimes de ransomware sont invitées à payer une rançon, généralement en Bitcoin, pour récupérer la clé de déchiffrement et retrouver l’accès à leurs fichiers.
C’est l’entreprise de sécurité Palo Alto Networks qui a trouvé, dimanche, le ransomware « KeRanger » empaqueté dans Transmission, un client BitTorrent Mac gratuit. Par le biais de son site Internet, le développeur de Transmission a demandé aux personnes qui avaient téléchargé la version 2.90 du client « de passer immédiatement à la version 2.92 ». On ne sait pas comment les assaillants ont réussi à télécharger une version falsifiée de Transmission sur le site de l'application. Mais la méthode est couramment utilisée. « Il est possible que le site officiel de l’app Transmission ait été compromis et les fichiers légitimes ont pu être remplacés par des versions malveillantes recompilées. Mais nous ne pouvons pas confirmer le mode opératoire utilisé », a indiqué Palo Alto sur son blog.
Une mise à jour vérolée pour Transmission
La version de Transmission contenant le ransomware a été signée avec le certificat d’un développeur légitime d’Apple. Si un utilisateur Mac a autorisé dans ses paramètres de sécurité les téléchargements de développeurs Apple identifiés, GateKeeper d'Apple n’avait pas de raison de l’alerter que l'application était potentiellement être dangereuse. « Apple a révoqué le certificat dès vendredi, après avoir été informé du problème », a précisé Palo Alto. La firme de Cupertino a également mis à jour son moteur antivirus XProtect. Après son installation sur un système, KeRanger attend trois jours avant de se connecter à un serveur de commande et de contrôle distant en utilisant le système Tor. Il est codé pour chiffrer plus de 300 types de fichiers. La rançon demandée était de 1 Bitcoin, soit environ 404 dollars.
Il y a peu de moyens de se défendre contre les ransomwares. La plupart du temps, les programmes antivirus ne les détectent pas, car les attaquants font souvent des modifications pour tromper les logiciels de sécurité. La meilleure protection consiste à effectuer des sauvegardes régulières de ses fichiers et de déconnecter le disque de sauvegarde du réseau pour qu’il reste à l’abri de l'infection. « Malheureusement, il semble que KeRanger a également essayé de chiffrer des fichiers sur Time Machine, le lecteur de sauvegarde grand public d'Apple », a encore écrit Palo Alto Networks. Les ransomwares circulent depuis plus d'une décennie, mais leur prolifération s’est accentuée ces dernières années. Dans un premier temps, les attaques ciblaient les ordinateurs des consommateurs, dans le but de leur soutirer quelques centaines de dollars. Mais les attaquants ont commencé à cibler les entreprises et les organisations qui pouvaient payer des rançons beaucoup plus élevées pour éviter des perturbations dans leur activité. Le mois dernier, un hôpital de Los Angeles a reconnu qu’il avait payé une rançon de 17.000 dollars. Selon lui, c’était la méthode la plus rapide et la plus efficace pour retrouver l’usage de ses fichiers et restaurer ses systèmes. Le ransomware avait affecté le dossier médical informatisé.
OS X et Linux ne sont plus à l'abri
La part d'Apple sur le marché de l'informatique de bureau est beaucoup plus faible que celle de Windows. Mais les cyber attaquants montrent toujours plus d’intérêt pour la plateforme Mac. Jusqu'à présent, le ransomware n'a pas vraiment représenté une menace pour les machines Apple, même si certains chercheurs ont créé la preuve de concept d’un malware pour ordinateurs Macs capable de crypter des fichiers. En novembre dernier, un chercheur en sécurité brésilien, Rafael Salema Marques, a publié une vidéo dans laquelle il montre comment il a codé un ransomware pour Mac en quelques jours. Il n'a pas libéré le code source de son projet. Par contre, l'expert en sécurité OS X, Pedro Vilaça a publié sur GitHub le code preuve de concept d’un ransomware pour Mac qu’il a lui-même développé. Ces différentes expériences montrent que des attaquants pourraient facilement cibler la plate-forme.