Flux RSS

Inscrivez-vous

Une faille de sécurité dans les smartphones HTC sous Android

Des chercheurs en sécurité ont découvert une faille dans plusieurs modèles de smartphones Android HTC qui via une application et un accès à Internet procurerait une mine d'informations sur le téléphone, y compris les adresses e-mail, les données de géolocalisation, les numéros de téléphone et les SMS.

Les modèles de téléphone concernés par cette faille sont les EVO 3D, EVO 4G, Thunderbolt, et probablement la gamme Sensation. Les chercheurs, Trevor Eckhart, Artem Russakouskii, et Justin Case, ont alerté le constructeur le 24 septembre dernier, mais celui-ci n'a pas donné suite. Ils ont donc décidé de rendre public la vulnérabilité.

La faille provient des modifications réalisées par HTC sur les versions du système d'exploitation Android intégrées aux modèles EVO et Thunderbolt et plus exactement à l'ajout d'un outil d'enregistrement, HTClogger. Ces changements donnent la possibilité à toute application qui se connecte à Internet (avec permission) d'avoir accès à une pléthore d'informations sensibles sur l'appareil (les adresses e-mail, les données de géolocalisation, les numéros de téléphone et les SMS). De plus, elle peut également transmettre des données glanées sur le web à votre insu.

« Normalement, les applications vous demandent de vous connecter uniquement pour des requêtes spécifique, donc lorsque vous installez un jeu acheté sur la place de marché Android et que vous autorisez l'accés à Internet (pour soumettre les scores en ligne, par exemple ), vous ne vous attendez pas à lire votre journal d'appel ou la liste de vos e-mails », explique Artem Russakouskii. Il compare cette faille, à la personne qui laisse les clés de sa maison sous le paillasson et pense que personne ne les trouvera.

Une autre application jugée suspecte

En plus de l'outil d'enregistrement, note le chercheur, HTC a également modifié Android avec l'ajout d'une application appelée androidvncserver.apk. Ce programme, qui est conçu pour donner aux tiers un accès distant au téléphone, paraît de prime abord anodin, mais les chercheurs la trouvent « suspecte ». « L'application n'a pas démarré par défaut, mais qui sait ce qui peut la déclencher et potentiellement accéder à votre téléphone à distance ? » s'interrogent les chercheurs.

Selon Trevor Eckhart, il n'existe aucun moyen de corriger cette faille sans jailbreaker les smartphones ce qui annule la garantie. Si vous ne voulez pas pirater l'OS du téléphone, vous pouvez supprimer l'application incriminée, htcloggers.apk, qui se trouve dans / system / app /.

Chrome, identifié comme malware, a été supprimé par Windows

« Voilà certainement une bonne méthode pour gagner la guerre des navigateurs ! » a déclaré Andrew Storms, directeur de la sécurité chez nCircle Security. Ce clin d'oeil rappelle la bataille que mène Microsoft contre les autres éditeurs de navigateur Internet pour imposer Internet Explorer. Selon les estimations réalisées par un cabinet d'étude qui mesure l'usage des navigateurs sur le web, et donc les parts de marché détenues par chacun, d'ici la fin de l'année, Chrome devrait dépasser Mozilla Firefox et ravir la seconde place sur le podium des navigateurs les plus populaires. Si bien que Google et Microsoft se retrouvent en concurrence pour la première place.

Google a informé les utilisateurs de Chrome que Microsoft avait marqué son navigateur comme malware. Les utilisateurs de Chrome ont commencé à signaler ce pistage du navigateur vendredi matin dans un fil de discussion qui a rapidement pris de l'ampleur sur le forum du support technique de Google. « Ce matin, après avoir démarré mon PC, une fenêtre d'alerte Windows est apparue, signalant qu'un problème de sécurité devait être résolu sur la machine », a déclaré un utilisateur identifié par le pseudo « chasd harris » dans le premier message du fil de discussion. « Le bouton Détails m'a permis de voir que le fichier coupable était «  PWS: Win32/Zbot ». J'ai donc cliqué sur le bouton Supprimer. Mais au redémarrage de mon PC, Chrome avait disparu. Il avait été supprimé ou désinstallé. » D'autres témoignages faisaient état d'un comportement similaire sur leur PC protégé par Microsoft Security Essentials - un logiciel antivirus grand public gratuit pour Windows - ou par Forefront, un antivirus plutôt réservé au monde de l'entreprise.

3 000 utilisateurs ont perdu Chrome

À 10 heures du matin vendredi, sois trois heures environ après les premiers témoignages d'utilisateurs sur le forum de Google, Microsoft livrait un fichier de définition mis à jour. Plusieurs blogueurs, dont Ryan Naraine et Ed Bott de ZDNet, avaient également signalé le problème tôt vendredi. Microsoft a reconnu sa méprise, et a indiqué qu'environ 3 000 utilisateurs avaient été concernés par ce problème. « Nous avons constaté que le fichier PWS: Win32/Zbot était mal identifié, provoquant sur certains PC le blocage de Google Chrome, voire sa suppression, » a déclaré Microsoft dans un communiqué publié sur la page Facebook de son centre de recherche de logiciels malveillants. « Le problème a déjà été résolu, mais environ 3 000 clients ont été touchés, » a reconnu Microsoft dans son communiqué qui invite également les utilisateurs à mettre à jour Security Essentials avec le nouveau fichier de définition, puis à réinstaller Chrome.

De son côté, Google a plaqué en haut des pages de son site de support technique une bannière rouge qui prévient : « Attention Alerte : Google Chrome est reconnu comme malware par les logiciels de sécurité de Microsoft. » En effet, Chrome est identifié à un Zbot, plus connu sous le nom de Zeus, un cheval de Troie au service d'un grand botnet spécialisé dans le piratage de coordonnées bancaires en ligne, et utilisé ensuite par les cyber criminels pour siphonner de l'argent de comptes bancaires.

[[page]]

Microsoft n'est pas le premier fabricant de logiciels de sécurité à commettre des bourdes de ce type. Les trois plus grands éditeurs d'antivirus au niveau mondial - Symantec, McAfee et Trend Micro - ont déjà émis dans le passé des fichiers de définitions incorrects, causant parfois de bien plus grands dégâts. Ainsi, en avril 2010, une mise à jour de l'antivirus McAfee a bloqué un nombre inconnu de PC d'entreprises dans le monde entier. Il avait isolé par erreur un fichier essentiel du système d'exploitation Windows XP.

Parmi les utilisateurs ayant supprimé Chrome par erreur en acceptant l'invite de Security Essentials, certains ont déclaré que leurs signets avaient également été éliminés et qu'ils n'avaient pas été restaurés après la réinstallation de Chrome, ce qui n'a pas été le cas pour tout le monde. Pour mieux comprendre ce qui se passait, nos confrères de Computer World ont reproduit la manip en demandant à l'antivirus Security Essentials de supprimer manuellement le ficher « chrome.exe ». En premier lieu, les testeurs disent avoir eu du mal à réinstaller Chrome sous Windows 7 en utilisant Internet Explorer pour télécharger le navigateur de Google. Pour y parvenir, ils ont du désinstaller les fichiers restants de Chrome et utiliser Firefox pour télécharger et enregistrer le fichier d'installation de Chrome. Ils sont ensuite parvenus à restaurer le navigateur de Google sur leur ordinateur et dans leur cas, à récupérer les anciens signets de Chrome. Pour l'instant, Microsoft n'a pas donné de réponse pour dire si la suppression des signets de Chrome par Security Essentials était définitive ou non, comme ont pu le constater certains utilisateurs.

Recap IT : Timeline de Facebook vulnérable, Amazon dégaine la Kindle Fire, Oracle prépare OpenWorld

Les actualités sur la sécurité auront tenu toute la semaine. Dès le lundi, des spécialistes se sont interrogés sur la vulnérabilité de la fonctionnalité de Timeline de Facebook. De plus en plus de voix d'utilisateurs aux Etats-Unis et en Europe se font entendre sur cette fonction biographique avec au coeur des débats la protection des données personnelles. Mercredi, c'est Symantec qui dévoile une technique de piratage qui expédie des courriels vérolés qui semblent provenir des imprimantes multifonctions de l'entreprise. Le même jour, on apprenait que le site MySQL.com a été piraté pour injecter des logiciels malveillants. Cette affaire montre aussi que les sites de logiciel Open Source commencent à devenir des cibles. Enfin, la fin de la semaine a été marquée par la découverte d'un piratage du réseau informatique d'Areva. Le spécialiste du nucléaire s'est voulu rassurant en indiquant qu'aucune données sensibles n'a été touchée. Enfin, le rapport annuel des équipes de sécurité d'IBM X-Force souligne la montée en puissance des malwares au sein des applications mobiles.

Amazon lance Kindle Fire

Attendue, la tablette d'Amazon a été finalement dévoilée mercredi soir. Elle s'appelle la Kindle Fire et coûte 200 dollars. Elle est très orientée vers les contenus en s'appuyant sur les offres de l'éditeur aussi bien pour les livres, que pour la musique et la vidéo. Certains voient déjà dans cette tablette un concurrent à l'iPad, alors qu'elle s'adresse à un marché différent, mais complémentaire. Il faudra attendre pour connaître les premiers chiffres de vente. Sur ce marché des tablettes, des rumeurs ont bruissé en fin de semaine sur un potentiel abandon par RIM de la fabrication de sa tablette BlackBerry PlayBook. Le constructeur canadien a démenti en qualifiant ces insinuations de « pure fiction ». Enfin, pour finir sur la mobilité, Intel a annoncé la mort de son OS Meego pour le ressusciter avec Samsung sous le nom Tinzen.

Oracle fait des pré-annonces

Alors que l'évènement OpenWorld va se dérouler la semaine prochaine à San Fransico, Oracle a fait plusieurs annonces cette semaine. Il a ainsi présenté un super serveur Sparc T4 qui sera disponible à la fin de l'année 2011. Mark Hurd, vice-président d'Oracle a d'ailleurs indiqué qu'une feuille de route claire et précise serait dévoilée sur les processeurs Sparc. La firme de Redwood a également annoncé la sortie de Solaris 10 8/11. Par ailleurs, des analystes ont donné leur sentiment sur les annonces qui seront faites sur OpenWorld.

IBM X-Force : les appareils mobiles de plus en plus ciblés par les malwares

Le rapport « X-Force 2011 Mid-Year Trend and Risk Report » publié par les équipes d'IBM sur montre que le marché de la téléphonie mobile est une cible privilégiée par les pirates. Selon ce document, les méthodes d'attaques menées contre les systèmes d'exploitation mobiles vont passer de 18 en 2009 à environ 35 d'ici la fin 2011, tandis que le nombre de vulnérabilités passera d'environ 65 à plus de 180 sur la même période. « Au premier semestre 2011, nous avons constaté une augmentation de l'activité des logiciels malveillants visant la dernière génération de smartphone, notamment parce que les pirates ont flairé les nombreuses opportunités sur ce type d'appareil,» affirme le rapport.

Ce dernier, qui prend les terminaux fonctionnant sous Android comme exemple, explique que certaines des applications proposées par les places de marché sont des malware. Si bien que les utilisateurs devraient être plus vigilants dans leurs choix et sur les relais où ils téléchargent leurs applications. « Les marchés d'application Android sont l'un des vecteurs les plus populaires et les plus efficaces pour distribuer des logiciels malveillants. A côté du marché officiel propre à Google, il existe de nombreux marchés tiers non-officiels, » indique le rapport. Un autre problème avec les appareils mobiles, notamment les téléphones, c'est que les utilisateurs sont dépendants du constructeur pour corriger les failles identifiées dans le système d'exploitation. Ces vulnérabilités connues peuvent rester en l'état, non pas parce que les correctifs n'existent pas, mais parce qu'ils ne sont pas fournis tels quels par les fabricants de téléphones. « De nombreux fournisseurs de téléphonie mobile ne s'embarrassent pas pour faire des mises à jour de sécurité sur leurs appareils, » indique encore le rapport.

Des logiciels de plus en plus vulnérables

En dehors de la mobilité, ceux qui luttent contre les malware sont face à une menace croissante liée à la faiblesse des logiciels évalués par le système de notation Common Vulnerability Scoring System (CVSS), ceux affichant des notes de 10/10 étant les plus critiques. Selon le CVSS, au cours du premier semestre 2011, le pourcentage de vulnérabilités critiques a fait un bond, passant de 1% à 3%, comparé à l'année 2010. Certes, ce niveau reste faible, mais il atteint tout de même le triple de l'année dernière. « Et, au milieu de l'année en cours, le nombre de vulnérabilités critiques est déjà supérieur à celui de toute l'année dernière, » indique encore le rapport. « Presque toutes ces failles critiques posent un problème sérieux : elles permettent l'exécution de code à distance, avec un impact potentiel important sur un produit logiciel de classe entreprise », ajoute encore le rapport.

Les vulnérabilités se concentrent aussi sur un nombre de plus en plus réduit de fournisseurs, comme le constate le rapport. En 2009, 10 produits logiciels se partageaient un quart (25%) de toutes les vulnérabilités les plus critiques signalées. Au milieu de cette année, ce nombre a bondi à un tiers (34%). IBM X-Force n'a pas dévoilé les noms de ce Top 10. « L'essentiel, c'est que les services informatiques des entreprises consacrent cette année autant de temps, sinon plus, à déployer des correctifs pour ces produits, » indique le rapport.

Le rapport met aussi en évidences quelques améliorations :

- Pour la première fois depuis 5 ans, les vulnérabilités affectant les applications web sont passées de 49% à 37%.

- Les vulnérabilités critiques sont au niveau d'il y a quatre ans.

- Le spam et le phishing traditionnels sont en baisse.

Sécurité des échanges numériques : Keynectis acquiert OpenTrust

Avec le rachat d'OpenTrust par Keynectis, ce sont deux spécialistes français de la sécurité des échanges numériques qui unissent leurs forces. L'objectif annoncé est d'accélérer le développement de leurs activités en France et à l'international où OpenTrust dénombre déjà quelque deux millions d'utilisateurs dans plus de cent pays. Avec ce renfort, Keynectis compte doubler son chiffre d'affaires d'ici trois ans, en réalisant alors la moitié de celui-ci à l'export, indique l'éditeur dans un communiqué. Ensemble, les deux sociétés disent totaliser près de 20 millions de chiffres d'affaires avec 120 collaborateurs. Elles réunissent des logiciels proposés en mode service (SaaS) ou sous forme de licences, dans le domaine de la confiance numérique pour l'e-administration, de la gestion des identités et des transactions dématérialisées interentreprises.

Dans le domaine de l'identité numérique, Keynectis propose des solutions telles que Sequoia e-Passport avec laquelle les gouvernements peuvent protéger et vérifier les passeports électroniques et biométriques, ou encore Sequoia CitizenID, pour la production de titres sécurisés tels que les cartes d'identité ou les permis de conduire. L'éditeur a mis au point des produits d'authentification forte comme K.Access qui prend appui sur une clé USB, un téléphone portable ou un baladeur numérique comme l'iPod. Il dispose également de solutions de signature électronique (K.Websign et K.Sign), de certification des données transmises (Certify.Center) et de protection des infrastructures (certificats SSL, coffre-fort électronique). Il dispose par ailleurs d'un bouquet de services, Trustfull e-gaming, pour garantir l'intégrité des opérations dans le domaine des jeux en ligne.

Atteindre une taille critique en Europe

De son côté, l'offre logicielle d'OpenTrust comprend des fonctions d'authentification forte, de signature électronique et de non-répudiation. Elle permet de sécuriser les équipements d'interconnexion au réseau et les terminaux d'accès (smartphones inclus), et d'installer des processus de dématérialisation de l'information, que le système d'information des entreprises soit géré en interne, dans un cloud privé, ou qu'il recoure à des applications hébergées dans un cloud public. Sa suite intégrée et modulaire rassemble les logiciels OpenTrust PKI (Public Key Infrastructure), SMC (Smart Card Manager), MFT (Managed File Transfer), SPI (Signature and Proof Infrastructure). En mode SaaS, l'éditeur propose OpenTrust Electronic Signing Desk et Secure Post Office.

Ensemble, les éditeurs, basés l'un et l'autre à Issy-les-Moulineaux, continueront à se focaliser sur cinq domaines : l'identité numérique, la sécurité dans l'entreprise, les solutions mobiles, la signature et la dématérialisation et les échanges B-to-B. Le directeur général de Keynectis, Pascal Colin, soulignait peu de temps avant le rachat à 100% d'OpenTrust que les deux sociétés se connaissaient bien et que leur rapprochement était soutenu par un actionnariat fort très familier de leur écosystème (*). Olivier Guilbert, PDG d'OpenTrust, pointait pour sa part l'opportunité d'atteindre une taille critique dans le domaine des infrastructures de confiance en Europe.

Illustration : K.Sign, solution de signature électronique de Keynectis.

(*) Au capital de Keynectis se côtoient Gemalto, Morpho (Groupe Safran), la Caisse des Dépôts et Consignations, Euro-Information (Groupe Crédit Mutuel-CIC), L'imprimerie Nationale et TDH (Thierry Dassault Holding), Thierry Dassault étant de président du conseil d'administration de Keynectis. A celui d'OpenTrust figurait notamment les fonds d'investissements Iris Capital, GemVentures, Crédit Agricole Private Equity, Elaia Ventures, Seeft Ventures et 123Venture.

Le réseau informatique d'Areva piraté

Areva vient de reconnaître que son système informatique avait été attaqué par des pirates. Selon L'Expansion, qui évoque une origine asiatique, ces intrusions duraient depuis deux ans.  Elles auraient touché non seulement la France mais également des sites du groupe à l'étranger.  Areva a confirmé que son réseau informatique avait été piraté. « Nous avons subi une attaque et nous avons pris de mesures afin que ces actes ne se renouvellent pas », a indiqué le service communication du groupe. « Des mesures de renforcement de nos systèmes de sécurité ont été prises avec le soutien de l'Agence nationale de la sécurité des systèmes d'informations (Anssi) ».

Areva s'est voulu rassurant en précisant que les attaques portaient sur des données non critiques et pas sur des informations sensibles  il y a eu un accès frauduleux sur le  réseau commun d'infrastructures permettant l'échange d'informations non critiques, a précisé Areva.  Les secrets industriels du groupe n'ont pas été impactés.  

Illustration: Crédit photo: D.R
(...)

ElcomSoft trouve un moyen de craquer les mots de passe des terminaux Blackberry (MAJ)

La société russe, Elcomsoft, indique qu'avant l'arrivée de son produit, il n'y avait aucun moyen d'accéder au mot de passe d'un smartphone BlackBerry. En effet, ces derniers sont configurés pour effacer toutes les données sur le téléphone si un mot de passe est tapé incorrectement 10 fois de suite.

Elcomsoft a démontré qu'il existait un moyen de contourner le problème en utilisant la carte amovible multimedia du BlackBerry, mais seulement si un utilisateur a configuré son smartphone d'une certaine manière. Afin que le logiciel de l'éditeur puisse réussir, un utilisateur doit avoir activé l'option de chiffrement sur la carte multimédia. Cette fonctionnalité est désactivée par défaut, mais Elcomsoft estime qu'autour de 30 % des utilisateurs de BlackBerry choisissent cette sécurité supplémentaire.

Casser le code depuis la carte

Le logiciel peut alors analyser la carte cryptée et utiliser une méthode dite de « force brute » pour trouver un mot de passe, ce qui implique des millions d'essais de combinaisons possibles par seconde. Elcomsoft précise qu'il peut récupérer un mot de passe à sept caractères en moins d'une heure à condition que le mot choisi soit tout en minuscules ou en majuscules. Le logiciel n'a pas besoin d'accéder au BlackBerry mais seulement à la carte.

Cette fonctionnalité est disponible dans le programme nommé Phone Password Breaker. Il coûte 79 livres sterling pour l'édition grand public et  199 £ pour la version professionnelle. Ce programme peut aussi récupérer les mots de passe utilisés pour accéder à des fichiers de sauvegarde cryptés sur les iPhone, iPhone et iPod Touch d'Apple sans avoir besoin d'avoir le terminal dans la main.

Les fichiers de sauvegarde contiennent des données sensibles, y compris les journaux d'appels, les archives de SMS, des calendriers, des photos, des paramètres de compte email, l'historique de la navigation et plus encore.

Elcomsoft est déjà connue pour avoir craqué l'année dernière le service de backup sur PC et Mac (BlackBerry Desktop Software). Elle avait aussi réussi à casser le protocole WPA utilisé par les réseaux sans fil.

(Mise à jour) Suite à l'article, RIM rappelle que la méthode présentée est mise en oeuvre dans des conditions particulières. La société donne quelques conseils pour éviter ces risques.

"Pour une protection plus forte et si l'utilisateur préfère l'option de crypter le contenu d'une carte, RIM préconise de choisir pour le chiffrement la clé du terminal ou de combiner celle-ci avec le mot de passe du smartphone.

Pour augmenter la difficulté de deviner les mots de passe, RIM recommande de toujours utiliser des identifiants forts. Ils doivent avoir les caractéristiques suivantes: ponctuation, chiffres, lettres majuscules et minuscules. Ils ne doivent pas inclure le nom d'utilisateur, de compte ou tout autre mot ou une phrase qui serait facile à deviner.

RIM rappelle que la sécurité des terminaux mobiles et les éléments réseaux sont testés tous les jours par les chercheurs en sécurité de sociétés tierces."

Des pirates cachent leurs attaques dans de faux courriels d'imprimante

Les hackers ont trouvé une nouvelle ruse pour tromper les utilisateurs et les inciter à ouvrir des pièces jointes malveillantes : leur envoyer des messages mails qui ont l'air de venir des imprimantes multifonctions de leur environnement de travail familier. En effet, de nombreuses imprimantes sont aujourd'hui capables d'envoyer des documents numérisés. « C'est une nouvelle tactique d'attaque que nous n'avions pas repéré jusqu'à présent », explique Paul Wood, analyste senior en intelligence informatique chez Symantec.cloud, une branche de service de messagerie et de sécurité Internet au sien de l'entreprise de sécurité.

Invariablement, ces courriels contiennent une sorte de cheval de Troie qui peut être utilisé pour télécharger d'autres malwares ou voler des documents sur l'ordinateur visé. Dans son rapport mensuel « Symantec Intelligence Report » publié hier, l'entreprise donne quelques exemples de courriels repérés récemment. À première vue, les emails ne suscitent pas la méfiance, affichant dans la rubrique objet un banal « Fwd : Document numérisé envoyé par HP Officejet ». Dans le courriel on peut lire aussi que « le document joint a été numérisé et envoyé à partir d'une imprimante Hewlett-Packard HP Officejet 05701J. » Celui-ci est signé « Envoyé par Morton. »

Un courriel qui à l'air d'être interne à l'entreprise

Comme le fait remarquer Paul Wood, pour tromper sur l'expéditeur, les scammmers ou escrocs s'arrangent en général pour que le courriel comporte le même nom de domaine que celui du destinataire. Certains des messages récupérés par Symantec semblent, si l'on n'y regarde pas de trop près, provenir de la messagerie interne de l'entreprise. Ce qui augmente la probabilité de faire ouvrir la pièce jointe par la personne recevant le message. Ce qui est étrange, c'est que celle-ci se présente sous forme de fichier « .zip ». Or, selon le chercheur, la plupart des imprimantes avec fonction de messagerie ne peuvent pas envoyer de fichier « .zip ». « Elles ne peuvent envoyer qu'un fichier image, » a t-il confirmé.

Certes, Windows sait ouvrir des fichiers « .zip », mais cette méthode prouve que l'objectif des escrocs est de masquer l'extension « .zip » aux utilisateurs qui font appel à des outils tiers pour décompresser le contenu des messages. Si bien qu'avec certains outils d'archivage, la pièce jointe malveillante apparaît en fait avec une extension de fichier « .doc » ou « .jpg ». « Les pirates ont trafiqué les noms de fichier afin de ne pas éveiller les soupçons, »  a ajouté Paul Wood. « Cette technique ressemble à d'autres méthodes d'ingénierie sociale observées dernièrement, avec l'envoi de courriels prétendant provenir d'émetteurs connus, mais transportant diverses pièces jointes malveillantes. »

La variante d'un malware Mac refait surface sous forme de PDF

Quand il est téléchargé, le Trojan-Dropper OSX/Revir.A affiche sur l'écran du Mac quelque chose qui ressemble à un document PDF de plusieurs pages, en chinois - peut-être un manifeste politique - un camouflage en réalité. Cependant, celui qui ne résiste pas à l'envie d'ouvrir le faux PDF, installe le cheval de Troie Backdoor : OSX/Imuler.A, lequel, comme son nom l'indique, connecte la machine par une porte dérobée à un serveur distant.

Pour l'instant, c'est la seule opération réalisée par ce cheval de Troie. Le serveur auquel il connecte l'ordinateur n'abrite qu'une simple installation Apache sans danger pour le Mac. De plus, dans la mesure où la souche a été repérée par l'intermédiaire du service de scan VirusTotal et non grâce à des feedbacks d'utilisateurs, les chercheurs de F-Secure ne sont même pas sûrs de savoir comment le Trojan Horse se propage, même si, sur leur blog, ils supposent que le vecteur le plus probable se situe dans les pièces jointes.

Une ruse bien connue

Comme avec les autres malwares Mac, le vrai souci c'est que cet évènement confirme la mise au point d'une méthode d'attaque, et montre comment des logiciels malveillants se font passer pour des fichiers légitimes. Si elle peut inquiéter, la ruse du PDF masqué n'est pas nouvelle : les PC sous Windows ont du faire face à de nombreux chevaux de Troie utilisant l'extension « .pdf.exe » pour s'introduire sur les PC. Dans le cas où l'extension est masquée, la vraie-fausse icône d'un document PDF pourrait inciter les utilisateurs insouciants à cliquer sur un document qu'ils ne devraient pas ouvrir. Comme le dit Rich Mogull, expert en sécurité pour l'environnement Mac, « il est beaucoup plus facile de tromper les utilisateurs et de les amener à installer un logiciel malveillant, que de casser la sécurité du système d'exploitation. »

Ainsi, même si le Trojan-Dropper : OSX/Revir.A ne présente pas de danger immédiat, il rappelle que l'on doit rester vigilant et prendre des précautions raisonnables dans le cas où celui-ci, ou quelque chose qui lui ressemble, devienne une menace bien réelle. Ce n'est pas la première fois que nous invitons les utilisateurs à ne pas cliquer sur des liens ou à ne pas télécharger les pièces jointes aux messages électroniques de personnes inconnues. Si dans Safari, vous décochez l'option « Ouvrir automatiquement les fichiers « fiables » » après téléchargement (Safari -> Préférences -> Général); et aussi longtemps que vous pratiquez le bon sens, vous devriez être à l'abri de la plupart des attaques malveillantes. Vous devez également vous assurer que le fichier de définitions de logiciels malveillants de Mac OS X est à jour.

Une mise à jour chez Apple

Si vous vous laissez accidentellement piéger par ce cheval de Troie particulier, F-Secure a préparé un mode d'emploi pour supprimer manuellement l'accès au backdoor. La manip consiste à ouvrir Moniteur d'activité (dossier Applications/Utilitaires), de sélectionner checkvir dans la liste et de cliquer sur « Quitter l'opération », puis de supprimer les fichiers suivants : /utilisateurs/utilisateur/ Library/LaunchAgents/checkvir/ et utilisateurs/ utilisateur/Library/LaunchAgents/checkvir.plist. Enfin, Apple propose depuis lundi une mise à jour de sécurité pour éradiquer ce problème.

Crédit photo : D.R.

Une carte Moneo pour la sécurité et les différentes services aux Archives Nationales