Eugène Kaspersky, informaticien co-fondateur de la marque Kaspersky Lab. et membre de la Computer Antivirus Researchers’ Organization (CARO), une association internationale regroupant les plus grands experts de la lutte contre les virus, a fait remarquer à la conférence Infosecurity Europe 2012 :

I think (Apple) are ten years behind Microsoft in terms of security – For many years I’ve been saying that from a security point of view there is no big difference between Mac and Windows. It’s always been possible to develop Mac malware, but this one was a bit different. For example it was asking questions about being installed on the system and, using vulnerabilities, it was able to get to the user mode without any alarms.

Dire qu’Apple n’a pas fait un bon travail en contenant le malware Flashback, qui a exploité une faille au sein de Java pour infecter des ordinateurs qui se contentaient de visiter un site infecté, serait injuste. Ci-dessous un graphique documentant ces efforts, affiché par Symantec un concurrent de Kaspersky :

Kaspersky ajoute : « Apple est maintenant dans le même monde que Microsoft a été pendant plus de 10 ans : les correctifs de sécurité, les mises à jour, et ainsi de suite ». Avec des pirates capables de s’appuyer sur les succès les conseils et astuces d’un plus grand nombre de logiciels malveillants sur Mac, Kaspersky signale qu’Apple va être obligé d’investir davantage dans la recherche de vulnérabilités et étendre son cycle de mises à jour.

Kaspersky Lab est actuellement le troisième fournisseur mondial de la sécurité informatique dans le monde. En 2005, le magazine Red Herring inclut Kaspersky Lab dans sa liste des « Red Herring 100 Europe », une sélection de 100 entreprises privées en Europe et en Israël que le magazine considère jouer un rôle de premier plan dans l’innovation et la technologie.

Êtes-vous inquiet pour votre Mac ? Pensez-vous qu’Apple va écouter le message lancé par Eugène ?

La société a mis à disposition ce correctif jeudi après-midi à la fois pour son site Web mais également accessible depuis la mise à jour de votre Mac. Afin de lancer automatiquement la mise à jour sur votre Mac, cliquez sur la « Pomme » en haut à gauche de l’écran, puis cliquez sur « Mise à jour de logiciels ».

« Ce correctif de sécurité Java supprime les variantes les plus courantes du logiciel malveillant Flashback », indique Apple dans le commentaire de la mise à jour. « Cette mise à jour configure également le module web Java pour désactiver l’exécution automatique des applets Java. Les utilisateurs peuvent réactiver leur exécution dans l’application Préférences Java. Si le module web Java détecte qu’aucun applet n’a été exécuté depuis longtemps, les applets Java seront à nouveau désactivés ».

Pour rappel, si ce logiciel malveillant existe sur Mac depuis Septembre 2011, celui-ci a récemment pris de l’ampleur. La semaine dernière, la société de sécurité russe Dr. Web a indiqué qu’il avait infecté plus d’un demi-million de Mac à travers le monde. D’ailleurs, toujours selon cette source, 57% des ordinateurs infectés seraient aux États-Unis, et 274 machines infectées seraient chez Apple !
Le logiciel installe Flashback sur une machine vulnérable et tente de récolter l’activité de votre navigation sur le Web, ainsi que vos noms d’utilisateur et mots de passe. Il envoie ensuite ces informations à son réseau d’ordinateurs à travers le Web. Il est ce qu’on appelle une infection par « drive-by download ». Il s’agit d’une méthode permettant d’infecter un ordinateur avec des malwares lors d’une simple visite sur un site Internet. Autrement dit, Flashback venait s’installer sur votre machine après seulement une visite d’une page infectée, sans aucun mot de passe administrateur ou procédure d’installation nécessaire…

Cette dernière mise à jour est essentiellement la même version de Java publiée par Apple la semaine dernière, mais avec un outil de suppression Flashback et une préférence pour contrôler si les applets Java peuvent s’exécuter automatiquement ou non.

Certes les plus initiés ont sans doute déjà identifié et éradiqué le problème notamment en utilisant le Terminal comme indiqué sur cette page, mais derrière cette mise à jour d’Apple cela ne fait aucun doute que ça va aider de nombreux utilisateurs qui ne sont soit toujours pas au courant de l’infection, ou pas sûr de ce qu’il faut faire à ce sujet.

Depuis ce problème, la sécurité des ordinateurs Mac dans son ensemble est de toute évidence remise en question. Il est donc bon de voir Apple prendre des mesures, mais il aurait été appréciable de le voir un peu plus tôt, puisqu’il s’agissait d’une vulnérabilité connue.

Cette mise à jour est recommandée pour tous les utilisateurs Mac possédant Java ! En revanche, cette mise à jour supprime certainement le malwares, mais elle ne vous indique pas si vous étiez infecté… Un peu dommage !

J’espère que vous n’avez pas été infecté !

Pour ceux qui ne le savent pas, un malware est selon Wikipedia un « logiciel malveillant développé dans le but de nuire à un système informatique, sans le consentement de l’utilisateur infecté. De nos jours, le terme virus est souvent employé, à tort, pour désigner toutes sortes de logiciels malveillants. En effet, les malwares englobent les virus, les vers, les chevaux de Troie, ainsi que d’autres menaces ».
Flashback, va quant-à lui récupérer toutes vos informations personnelles (nom, prénom, adresse, mots de passe, etc…), puis les envoyer à son créateur…

Afin de vous éviter d’employer les grands moyens à coup de bombes et autres produits, Apple prévoit de sortir un logiciel qui permet de détecter et supprimer les infections de logiciels malveillants Flashback sur votre Mac. C’est en tout cas ce que la firme a annoncé mardi dans un communiqué. Apple a expliqué qu’il est conscient de cette infection, qui tire parti d’une vulnérabilité non corrigée de Java. Aucune date de sortie n’a pour le moment été donnée.

En plus du logiciel de détection Flashback, Apple a déclaré qu’il souhaite « travailler avec les FAI dans le monde entier », et ce afin d’éviter au maximum les effets d’un botnet, dont l’un des buts est d’identifier et infecter d’autres machines par diffusion de programmes malveillants.

« Apple is developing software that will detect and remove the Flashback malware » indique Apple. « In addition to the Java vulnerability, the Flashback malware relies on computer servers hosted by the malware authors to perform many of its critical functions. Apple is working with ISPs worldwide to disable this command and control network ».

Si ce logiciel malveillant existe sur Mac depuis Septembre 2011, celui-ci a récemment pris de l’ampleur. La semaine dernière, la société de sécurité russe Dr. Web a indiqué qu’il avait infecté plus d’un demi-million de Mac à travers le monde. D’ailleurs, toujours selon cette source, 57% des ordinateurs infectés seraient aux États-Unis, et 274 machines infectées seraient chez Apple !

À ce jour il y a deux manières de détecter et supprimer une infection Flashback, mais elles impliquent l’utilisation du Terminal et autant dire que pour les utilisateurs les moins expérimentés cela risquent de ne pas le faire ! Mais, si vous voulez toujours tenter l’aventure, je vous conseille de vous rendre sur cette page et de suivre les différentes instructions :

Manual Removal Instructions

1. Run the following command in Terminal:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

2. Take note of the value, DYLD_INSERT_LIBRARIES
3. Proceed to step 8 if you got the following error message:

"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"

4. Otherwise, run the following command in Terminal:

grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%

5. Take note of the value after "__ldpath__"
6. Run the following commands in Terminal (first make sure there is only one entry, from step 2):

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

7. Delete the files obtained in steps 2 and 5
8. Run the following command in Terminal:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

9. Take note of the result. Your system is already clean of this variant if you got an error message similar to the following:

"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

10. Otherwise, run the following command in Terminal:

grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%

11. Take note of the value after "__ldpath__"
12. Run the following commands in Terminal:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES

13. Finally, delete the files obtained in steps 9 and 11.

La solution d’Apple va sans aucun doute cibler les utilisateurs grand public qui en ont entendu parler et qui souhaitent s’assurer que leur Mac n’est pas infecté !

Note : N’hésitez pas à consulter ce lien pour en savoir plus à propos de la mise à jour Java

Plutôt rassurant non ? On pourra apprécier l’effort d’Apple de corriger le problème lié à cette Java, dont Apple n’est pas vraiment responsable. Même si une mise à jour Java existe, celle-ci ne permet pas de nettoyer les Mac infectés…