Avec l'aide d'autres vendeurs de solutions de sécurité, l'entreprise avait utilisé la technique du « sinkholing » pour empêcher les domaines de commande et de contrôle (C&C) dirigés par le botnet Flashback d'émettre des ordres ou de mettre à jour son code d'attaque. Elle a pu aussi estimer la taille du botnet et surtout perturber son fonctionnement. En fin de semaine dernière, Doctor Web a publié sur son blogune analyse portant sur les communications établies entre 95 000 Macs infectées par le malware Flashback et les domaines détournés. Les tentatives de communication effectuées par le botnet ont eu lieu le 13 avril, soit plus d'une semaine après la révélation de l'existence d'un énorme botnet Flashback par Doctor Web. Le malware utilisait une vulnérabilité critique dans Java pour infecter les ordinateurs Mac. Apple, qui continue à effectuer le support de Java pour ses utilisateurs sous OS X, a corrigé la vulnérabilité début avril, soit sept semaines après la découverte de la faille par Oracle et la livraison de mises à jour de Java pour Windows et Linux.
95 000 Mac infectés faute de mise à jour Java
Sans surprise, 63,4% des machines infectées par Flashback tournent sous OS X 10.6 Snow Leopard, la plus récente version du système d'exploitation d'Apple fournie avec Java. Selon Net Application, qui mesure les parts occupées par les systèmes d'exploitation sur Internet, le mois dernier, Snow Leopard était le système Mac OS X le plus représenté. Ce qui en fait la cible privilégiée de Flashback. Leopard, alias OS X 10.5, est le second système Mac OS X le plus infecté par Flashback, selon Doctor Web. Le vendeur a établi que 25,5% des 95 000 Mac hébergeant le malware tournaient avec l'édition 2007 de l'OS d'Apple. Leopard était aussi livré avec Java, mais contrairement à Snow Leopard et à Lion, ce système d'exploitation ne bénéficie plus de mises à jour de sécurité, et ne reçoit donc plus de correctifs Java pour ces versions. Enfin, le mois dernier, Leopard tournait sur 13,6% de tous les ordinateurs Mac.
Mais, alors que le taux d'infection des Mac sous Snow Leopard et sous Leopard est plus élevé que la part qu'ils occupent en terme d'utilisation, l'inverse est aussi vrai pour Mac OS X 10.7 Lion. Le mois dernier, le système d'exploitation sorti en 2011 représentait 39,6% de tous les systèmes Mac OS X en cours d'exécution, mais ne représentait que 11,2% des Mac infectés par le malware Flashback. Cette disparité semble conforter la décision prise en 2010 par Apple de « déprécier » Java, et d'arrêter de le coupler avec son système Mac OS X. Lion a été le premier système livré sans Java, laissant aux utilisateurs la liberté de le télécharger et de l'installer eux-mêmes.
Mac OS X Lion (à l'extrême droite) est le système le moins infecté par le malware Flasback. La décision d'Apple de ne plus coupler son OS avec Java semble avoir été la bonne. (Données : Doctor Web et Net Applications)
Même si Doctor Web ne tire pas ces conclusions de ses données, les chiffres indiquent clairement que les versions de Mac OS X livrés avec Java - Snow Leopard et Leopard - ont beaucoup plus de chance d'être touchées par Flashback. À l'inverse, Lion - livré sans Java par défaut - est beaucoup mieux protégé contre le malware. Les données du vendeur montrent également que de nombreux utilisateurs Mac ne mettent pas leurs systèmes à jour, ce que Ed Bott, de ZDNet, fait aussi remarquer dans son blog. Ainsi, 24% des Mac infectés sous Snow Leopard sont en retard d'au moins une mise à jour, 10,4% en ont trois ou plus en retard, et 8,5% sont à quatre mises à jour en retard et plus. Les utilisateurs de Mac OS X Lion ne sont pas bien meilleurs : 28% ont une ou plusieurs mises à jour de retard.
En matière d'application de correctifs, les utilisateurs de Windows ne sont pas mieux placés. Selon Qualys, qui examine régulièrement plusieurs centaines de milliers de PC, dans l'entreprise, 5% à 10% des machines sous Windows ne sont jamais mises à jour, et certaines mises à jour livrées par Microsoft sont ignorées par 20 à 30% des PC sous Windows, jusqu'à quatre mois ou plus après leur sortie. selon les données de Doctor Web, les utilisateurs Mac ne sont pas très rapides non plus pour mettre leurs machines à jour, voire pour ne rien faire du tout. L'OS X 10.6.7, l'avant avant-dernière mise à jour de Snow Leopard, a été livrée il y a 13 mois, mais seuls 9% des Macs sous Snow Leopard infectés par le malware tourne avec cet update.
Mise à jour simple mais indispensable
Afin d'empêcher Flashback d'exploiter la faille Java dans les systèmes Snow Leopard et Lion, les utilisateurs doivent lancer « Mise à jour de logiciels» à partir du menu Apple et télécharger les correctifs pour Java livrés ce mois-ci. La fonction « Mise à jour de logiciels » permet également d'installer la dernière version disponible des systèmes d'exploitation sur des Macs exécutant des versions plus anciennes. En ce qui concerne les machines tournant sous Leopard, les utilisateurs peuvent désactiver Java dans leurs navigateurs afin d'empêcher les attaques.
Plus tard cette année, Oracle doit sortir une version 7 de Java pour les utilisateurs sous Mac OS X. Ceux qui feront la mise à jour vers Java 7 recevront alors des mises à jour de sécurité régulières directement d'Oracle, et non plus d'Apple.
Â