Menaces sur la réputation La CNIL condamne Google à 150 000 € pour non respect des règles sur les données personnelles de ses utilisateurs.
sept 21

C’est en 2008 qu’est apparu le premier faux antivirus pour Mac OS X et pendant très longtemps, il n’y a eu aucun autre exemplaire de ce type de programme pour Mac. Mais au cours du deuxième trimestre 2011, les spécialistes de la lutte contre les virus ont détecté plusieurs  » logiciels  » portant des noms évocateurs tels que MacDefender, MacSecurity, MacProtector, etc. et diffusés probablement par les mêmes personnes dans le but de gagner illégalement de l’argent sur le compte d’utilisateurs crédules de Mac OS X.

Vu que les utilisateurs de Mac OS X se trouvent principalement dans les pays développés où la diffusion de faux antivirus peut rapporter le plus aux individus malintentionnés, la géographie de la répartition des faux antivirus pour Mac OS X correspond à la géographie de la répartition des programmes similaires sous Windows dont nous avons parlé plus haut.Ces individus malintentionnés ont estimé qu’il était plus judicieux de se lancer sur le nouveau marché des programmes malveillants pour OS X avec de faux antivirus car de tels programmes confondent plus facilement les utilisateurs.

Pour amener l’utilisateur à installer le faux antivirus, les escrocs ont utilisé des sites qui imitent l’analyse d’un ordinateur. Grâce à des méthodes de référencement désapprouvées (référencement noir), ils ont réussi à placer ces sites dans le haut des résultats de recherche sur Google Images pour les recherches les plus souvent lancées à l’époque. Ainsi, un utilisateur qui lançait par exemple une recherche sur  » photo de la mort d’Oussama ben Laden  » se retrouvait sur une page Web où l’analyse de son ordinateur était effectuée. Ensuite, cet utilisateur recevait un message signalant la présence de nombreux problèmes de sécurité et il était invité à installer un logiciel antivirus  » gratuit « . En cas d’acceptation de l’offre, l’utilisateur devait saisir son mot de passe d’administrateur pour l’installation. Une fois installé, ce faux antivirus, à l’instar des versions existantes sous Windows, fonctionnait selon un scénario bien connu : il décelait des milliers de menaces inexistantes et proposait de  » nettoyer  » l’ordinateur. Il faut d’ailleurs signaler que le nombre de signatures dans ces faux antivirus est plusieurs fois supérieur au nombre de programmes malveillants connus à ce jour pour Mac. Afin de pouvoir réaliser la réparation, il fallait absolument acheter la  » version complète  » du faux antivirus pour un prix compris entre 50 et 100 dollars américains. Il faut savoir que dans un cas pareil, l’utilisateur qui achète le logiciel proposé avec sa carte de crédit transmet toutes les données aux individus malintentionnés qui pourront par la suite retirer pratiquement n’importe quelle somme.

Le 31 mai, soit près d’un mois après l’apparition du premier faux antivirus pour Mac détecté en 2011, Apple a diffusé une mise à jour de sécurité pour le système de protection intégré Xprotect d’OS X qui permet de supprimer automatiquement les faux antivirus. Mais à peine quelques heures plus tard, les individus malintentionnés ont diffusé une nouvelle version de leur programme qui a échappé à Xprotect pendant 24 heures. Si les individus malintentionnés ont déjoué si rapidement la protection, c’est parce que Xprotect utilise une technologie très élémentaire pour détecter les programmes malveillants : l’analyse sur la base de signatures. Il suffit donc aux individus malintentionnés de modifier quelques octets du programme pour rendre leur création indétectable. Par la suite, pour contourner encore plus efficacement la protection offerte par Xprotect, les auteurs du virus ont ajouté au mode d’infection un petit téléchargeur détecté par les logiciels de Kaspersky Lab sous le nom de Trojan-Downloader.OSX.FavDonw. En quoi cette méthode est-elle plus efficace ? Xprotect n’analyse que les fichiers qui ont été téléchargés à l’aide du navigateur. Si le faux antivirus est récupéré à l’aide d’un gestionnaire de téléchargements, il n’est absolument pas détecté. Par conséquent, les individus malintentionnés peuvent contourner sans grande difficulté la protection intégrée : il suffit de mettre à jour en permanence le téléchargeur sans modifier considérablement le fichier principal. Qui plus est, ce mode d’attaque ne requiert pas la saisie d’un mot de passe par l’utilisateur lors de l’installation du programme malveillant.

A l’instar des faux antivirus sous Windows, les faux antivirus pour Mac OS sont diffusés à l’aide des tristement célèbres partenariats. La présence de la ligne  » affid  » (abréviation de affiliate ID) dans les fichiers du téléchargeur en témoigne. Ce paramètre permet au propriétaire du partenariat d’identifier le partenaire à payer pour l’installation du faux antivirus.

Nous supposons que la prochaine étape dans le développement des programmes malveillants pour Mac OS X portera sur des outils de dissimulation de l’activité et des téléchargeurs universels pour Mac ainsi que des chevaux de Troie destinés à voler les informations bancaires comme ZeuS ou SpyEye. Le temps est venu pour les utilisateurs de Mac de penser sérieusement à la sécurité de leur système et d’installer un logiciel antivirus.

Les commentaires sont fermés.