Accueil Semaine Mois Occaz' Compte Forum Bas

Samedi 25 février 2006

Les virus sont à nos portes

Les virus sont à nos portes. Que dis-je, à nos portes ? Ils sont déjà en train de passer par le trou de la serrure !

L'art de tromper le Finder et les iApps

Il est assez facile de leurrer le Finder de le lui faire prendre des vessies pour des lanternes.

Un fichier destiné au terminal mais portant une autre extension (jpeg par exemple) ne sera pas correctement identifié par le Finder. Celui-ci affichera alors l'icône générique d'un jpeg. À moins de demander systématiquement à "lire les informations", il n'y a pas moyen, à ce jour, de déceler l'arnaque. Quand l'utilisateur demande l'ouverture du fichier jpeg trafiqué, ce n'est pas Aperçu qui se lance mais le Terminal. Qui exécute alors le code malveillant dans le cadre des droits de l'utilisateur.

Plus embêtant encore, un certain nombre d'iApps décompressent un certain nombre des fichiers et les ouvrent, le tout automatiquement. Safari, pour ne pas le nommer, le fait par défaut. Mail est également touché. Un jpeg trafiqué sera ouvert par ces applications sans alerter l'utilisateur. Certes, depuis la version 10.4 d'OS X, les téléchargements sont accompagnés d'une question sur la sécurité. Mais de l'autre côté, certains fichiers, comme les jpeg, sont considérés - par défaut - comme fiables. Alors, qui va s'inquiéter alors que l'apparente sécurité a augmenté ? Il y a là un véritable tunnel où peuvent s'engouffrer de bien vilaines petites bêtes…

Plutôt que de détailler le comment, voici une preuve (sans danger). Téléchargez donc cette image compressée preuve.jpg.zip. Si vous avez Safari réglé normalement, vous n'avez plus rien à faire : vous êtes déjà infecté… Si vous n'utilisez pas Safari ou que vous avez désactivé la préférence "Ouvrir automatiquement les fichiers fiables", vous devrez ouvrir l'image "preuve.jpg" que vous venez de télécharger.

Vous n'avez rien vu ? Maintenant, regardez donc à la racine de votre dossier personnel (dans le Finder, faites Pomme + n). Vous y verrez un nouveau fichier intitulé "virus_faux". Rassurez-vous, c'est un fichier totalement vide qui n'a aucun effet. Mais vous imaginez sans peine que si j'ai pu écrire dans votre disque, j'aurai pu faire bien d'autres choses…

Il est certain qu'une prochaine mise à jour atténuera ce danger, en particulier en revoyant cette notion très discutable de "fichier fiable". Mais il est également très probable que ce type d'escroquerie logicielle continuera. La façon dont le Finder affiche les icônes correspondants aux fichiers est en effet complexe et sujette à bien des manipulations malveillantes.

Virus : une preuve de concept en circulation

Vous me direz que cette "preuve.jpg" n'est pas un virus mais de l'ingénierie sociale avec exploitation de failles. Que cela sera corrigé (au moins en partie) dès la prochaine mise à jour d'Apple. C'est très probable. Le problème, c'est que c'est un moyen facile de faire entrer un fichier malveillant dans nos machines. Or, une fois entré, un fichier malveillant peut devenir un virus. La preuve d'un tel virus vient d'être publiée.

Au départ, on a cru à un véritable virus. D'où un début de panique suivi d'un grand ouf de soulagement quand il est apparu que ce virus n'était pas dangereux et qu'il comportait même certaines erreurs de programmation. Si l'on suit attentivement l'historique de cette histoire, la première version de ce virus (plus exactement, c'est un cheval de Troie) est apparue sur un Web Board consacré au piratage. Sous le nom de "latestpics.tgz", le fichier est ensuite arrivé anonymement sur le site de Mac Rumors et une analyse détaillée a été publiée par Andrew Welch sur le Web Board d'Ambrosia, qui l'a baptisé Oomp-A.

Bien qu'il ne soit pas vraiment dangereux, Oomp-A, également connu sous le nom de Leap.A, a tous les attributs d'une sale bête. Voici ce qu'il fait :

il crée une réplique de lui-même pour expédition ultérieure,
il crée un outil lui permettant d'infecter vos applications,
Il infecte les quatre dernières applications que vous avez lancé,
Au lancement d'une application infectée, il envoie sa réplique, via iChat, à vos contacts Bonjour! (ou Rendezvous).

Il faut également noter que son auteur a essayé (sans aboutir) de le faire circuler via le courrier électronique, et qu'un bug de programmation l'empêche d'être vraiment dangereux.

Pas dangereux ? Certes. Mais l'utilisation d'un InputManager pour infecter les applications de l'utilisateur est plus qu'inquiétante. Parce qu'il ne faut plus grand chose pour qu'un vrai virus voit le jour. Un crétin sachant brasser du code suffit. Les crétins, ce n'est pas vraiment ce qui manque. Et la réputation d'OS X de système d'exploitation exempt de tout virus ne peut qu'attiser les fantasmes des crétins.

Or Oomp-A n'est pas le premier. On a déjà eu Inqtana-A et B, un ver Bluetooth qui s'en prenait aux versions précédentes de Tiger (lui aussi était une preuve de concept). Alors, un véritable virus/malware pour Mac, si ce n'est pas le prochain, ce sera le suivant. En tout cas, c'est pour demain.

La preuve est faite, il faut prendre des mesures

Contre l'ingénierie sociale, il n'y a que le bon sens (difficile, je sais). Rappelons-en la règle de base : n'ouvrez pas un fichier de provenance incertaine. Même si c'est une image d'Angelina Jolie nue. Ou de Brad Pitt, Mesdames !
N'oubliez pas les règles de base :
- Activez votre Firewall intégré (Préférences, Partage, volet Coupe feu) et n'ouvrez que le nécessaire.
- N'activez que les liaisons nécessaires (Ethernet, AirPort, Bluetooth).
- Ne mettez pas un CD/DVD contenant le dernier jeu piraté par le petit neveu de 14 ans dans votre lecteur.
Bref, ne laissez pas n'importe quoi rentrer dans votre ordinateur…
Ne tapez pas votre mot de passe si vous ne savez pas pourquoi l'ordinateur vous le demande (autrement dit, hors installation de logiciel). Est-ce que vous donnez le code de votre carte bancaire au téléphone, même si on vous dit que c'est la Police ?
Pour boucher les failles d'OS X, courrez aux préférences de Safari et, dans les préférences générales, désactivez l'ouverture automatique des fichiers "fiables". Ce n'est pas assez, mais pour le reste, vous devrez attende une mise à jour des iApps et du Terminal.

Pour les plus paranos d'entre vous, des solutions modifiant l'emplacement du Terminal, son nom ou son mode d'accès ont été publiées. Ce sont des bidouilles difficiles d'accès pour le grand public et qui peuvent introduire un faux sentiment de sécurité, je vous laisse donc le soin de les chercher et de les évaluer vous-même.
Appliquez le bon vieux principe machiavélien de diviser pour régner. Ne vous cantonnez pas aux iApps. Plutôt que d'utiliser Safari, passez à Firefox. Ou Camino (qui vient de sortir). Ou un autre. Utilisez un autre client de messagerie que Mail, comme Eudora par exemple. Pour la messagerie instantanée, changez également.

Bien sûr que c'est pratique et confortable de se contenter des logiciels intégrés au système d'exploitation. Il y a plus d'automatismes, plus de confort. Mais si c'est vrai pour les utilisateurs, cela l'est aussi pour les auteurs de virus. Il est plus facile d'écrire un virus visant le Finder, Safari et Mail que de prévoir des cas du type Finder/Musashi/Thunderbird. Alors changez !
Comme tout administrateur système digne de ce nom, séparez votre usage de l'ordinateur de son administration. Si ce n'est déjà fait, créez un compte d'administrateur (avec un mot de passe digne de ce nom s'il vous plait !). Puis ouvrez une session avec ce compte et, depuis cette session, retirez à votre compte courant les privilèges d'administration. C'est depuis ce compte d'administrateur, et uniquement celui-là, que vous gérerez votre ordinateur et installerez des logiciels. Pour votre utilisation courante de l'ordinateur, travaillez dans votre session utilisateur uniquement.

C'est sûrement une contrainte, mais c'est également un moyen très fiable d'éviter qu'un code malicieux n'ait trop de privilèges.
Achetez un logiciel anti-viral. Ce n'était pas nécessaire jusqu'à présent, mais cela le devient vraiment. Le temps du Mac à l'abri des virus, c'est fini. Bon, ne paniquez pas non plus et n'achetez pas n'importe quoi ! Tout le monde s'est senti à l'abri, y compris les éditeurs d'anti-virus. Alors le réveil est douloureux et certains réagissent trop fort, comme Sophos qui, au moment où j'écris ces lignes, a un anti-virus qui annonce des dizaines de fichiers infectés par Inqtana-B dans les machines de ses clients ! Donc, prenez votre temps de regarder les offres et de lire les tests avant d'acheter.

Et surtout, n'oubliez pas de mettre à jour régulièrement les définitions virales de votre anti-virus. Celui-ci ne peut combattre que ce qui lui a été indiqué. Des nouveaux virus apparaissent tous les jours, il a donc besoin d'être tenu au courant.
Last, but not least, faites des sauvegardes. Il y a d'excellents logiciels qui font cela très bien, certains sont même gratuits…

Vous pouvez aussi le faire vous-même, du moins pour tous vos documents, si vous avez séparé votre compte utilisateur de votre compte administrateur comme suggéré plus haut. Fermez votre session utilisateur, ouvrez une session administrateur et copiez votre dossier utilisateur sur un CD/DVD, un disque dur externe ou une autre partition. Si l'ordinateur vous demande un nom d'administrateur et un mot de passe, donnez-les sans crainte, c'est la preuve de son bon fonctionnement.

Tout ceci ne vous mettra pas totalement à l'abri d'une infection, mais si vous faites des sauvegardes régulièrment, vous pourrez au moins guérir d'une infection sans trop de pertes. Même si tous vos dossiers sont effacés par une saloperie agressive, vous pourrez au moins repartir depuis votre sauvegarde. Vous comprenez pourquoi j'insite sur l'importance des sauvegardes ?

Bonne santé à tous.

Sources :

Les failles dans le Finder et Safari :

http://www.heise.de/english/newsticker/news/69862

Dans Mail :

http://www.heise.de/english/newsticker/news/69919

L'analyse de Oomp-A :

http://www.ambrosiasw.com/forums/index.php?showtopic=102379

Inqtana-A et B, et les faux positifs de Sophos :

macfixit.com

Merci également à MacInTouch, Macworld, macosxhints et bien d'autres. Et surtout, un grand merci à MacBidouille, où j'ai vu la première alerte.

Olivier Pellerin

Commentaires

Ajouter un commentaire

Aller au bas de la page

25-02-2006 : 00h30

1. Benlop

J'ai déjà posté le truc sur MacBidouille, mais je vous en informe ici aussi...

La faille de Safari, avec le fichier qui lance le terminal ne fonctionne pas si le fichier téléchargé se trouve dans un dossier ayant un nom accentué. Par exemple, mes téléchargements vont dans "Réception" sur le bureau : le script shell refuse de se lancer, il bute sur l'accent.
Pour un virus, c'est assez peu méchant.

Voilà donc un début de protection qui marche pas mal, pour les francophones, donc nous tous ici.

EDIT : également, l'utilisation du mode Colonnes du Finder, nous met la puce à l'oreille : il nous l'indique bien comme document Terminal, et ne propose pas d'aperçu.

25-02-2006 : 02h06

2. gaya

Je vous trouve bien alarmiste docteur, vous êtes sure que pour que mon mac ne s'enrhume pas, il me faille en plus d'une écharpe, un tube d'aspirine, du mercuro-chrome, une minerve, des béquilles, un préservatif, un tube dentifrice, un turlututu et un chapeau pointu...?

Vous voyez déjà se proliférer l'apocalypse aviaire alors qu'on fait fasse à un petit opportun qu'un mouvement du terminal hors du dossier application permet d'empêcher de nuire.

Il n'y a vraiment pas de quoi déclencher une psychose et inviter tout le monde à se barricader les armes à la main, non?

On en reparle dans un an...

25-02-2006 : 02h44

3. pilote.ka

Qelle est la différence entre un compte utilisateur et un code administrateur?

25-02-2006 : 04h42

4. Cosmike

Gasp! Je suppute quelques dizaines de commentaires...

25-02-2006 : 05h57

5. Okazou

Très intéressant article, intelligent, clair et profitable.

•••

Chaud devant !

• L'idée que les vendeurs de logiciels antivirus guettent avec gourmandise, la salive aux lèvres et les poches grand ouvertes, le moment où, ENFIN ! un virus (un seul !) atteindra un Macintosh — ce marché en développement — cette idée me révulse, m'insupporte.
• L'idée que ce premier virus aura atteint le Macintosh d'un crétin qui ne prend pas de précautions me révulse tout autant. Celui-là, je le maudirais pour des générations. :-)
• L'idée que les afficionados de Windaube se gonfleront de suffisance crasse enfin satisfaite m'indiffère. Ils est démontré depuis longtemps et avec précision qu'ils sont très cons. Quand on dit que le problème se situe entre le siège et l'ordinateur c'est bien de ceux-là qu'on parle.
• L'idée que je battrais volontiers au rouge, avec une gerbe d'orties, les sinistres fesses du branleur qui l'aura programmé ne me traverse pas l'esprit. Il y aura toujours des branleurs à coder des saloperies. Le problème n'est pas là parce qu'il ne sera jamais résolu par ce bout-là.

Alors suivons tous avec le plus grand sérieux les conseils d'Olivier mais faisons un bras d'honneur à la vénalité secouriste des marchands d'amulettes.

Bien sûr, je ne suivrai pas les conseils 5 et 7 :
— Le conseil 7 pour ne pas engraisser les vautours et pour entretenir ma vigilance. Elle sera TOUJOURS ma meilleure protection.
— Le conseil 5 parce qu'il revient à nier l'esprit qui habite les Macintosh et seulement eux.
J'ai choisi le Macintosh parce que c'est l'unique ordinateur qui soit un hommage à la cohérence. J'utilise donc en priorité les logiciels qui ont été écrits pour lui par leur géniteur. Même s'ils sont parfois légèrement moins ceci ou moins cela, ils sont souvent plus ceci ou plus cela. L'ensemble machine + OS + logiciels est unique et tout à fait incomparable.
Il est donc inadmissible de détruire cette architecture savante sous le seul motif qu'on a peur. La peur est méprisable et mauvaise conseillère. Résistons, au contraire !

La grande arnaque de l'air du temps :
Ami du Macintosh, que tu aies ou pas un antivirus installé sur ta machine, si un nouveau virus arrive et que tu as manqué à ton devoir de prudence élémentaire, tu passes à la casserole ! Les antivirus n'ont jamais empêché un nouveau virus de sévir. Ils sont toujours arrivés trop tard ! Les éditeurs-profiteurs de virus s'engraissent de leur incapacité à concevoir un vrai vaccin. Ils apportent toujours le remède quand le malade est mort. Ils bassinent ton cercueil d'un nuage d'encens.
N'oublie jamais que tu as plus de chance de crever sous les roues d'un kat'kat' en traversant la rue que ton Macintosh sous l'attaque d'un logiciel véreux.

Apple doit faire son boulot à un bout de la chaîne et nous à l'autre comme le conseille Olivier. Point.

Vous dites « virus » ? Ça m'en rappelle un autre qui requiert une prudence de chat.

Ils ne passeront pas par moi mais, surtout, ils ne m'empêcheront pas de vivre comme je l'entends.

--
Au nom de l'Europe, j'ai voté NON !
… et la gauche libérale aurait tort de l'oublier.

25-02-2006 : 07h35

6. François Cuneo

gaya, je ne pense pas qu'Olivier soit trop alarmiste.

Je pense qu'au contraire, votre réaction est typique (ce n'est pas méchant hein!) de celui qui ne veut pas voir ce qui est en train d'arriver. Qui préfère se gausser pour ne pas voir les choses en face.

Oui, nous avons un problème qui commence. Que ça n'intéresse pas la plupart des vandales qui préfèrent Windows est une chose, par contre le jour où un de ces petits salopards se dit que le Mac après tout est une cible intéressante, on sera bien dans la m…

Okazou, je m'en fous d'engraisser qui tu veux, j'engraisse bien des assureurs. J'ai installé Norton depuis des années, remplacé depuis quelques semaines pas Virus Bariier, que je vais tester bientôt.

Il se trouve que Virus Barrier a détecté le "faux virus" d'Olivier. Il arrivera peut-être trop tard, mais il a détecté sur mon Mac un certain nombre de virus lorsque je l'ai installé, en particulier dans des courriers.

Certes, des Virus pour PC, mais on n'en a pas tout à fait rien à foutre. Ne serait-ce que par solidarité.

Par contre, je ne suivrai pas non plus le conseil 5, même si je suis en train de recommencer à utiliser FireFox avec un zoli thème, pour ses options de recherche, pas parce qu'il serait plus sûr que Safari.

25-02-2006 : 09h24

7. Inconnu

Excellent article, merci. Toutefois, tout comme François, je n'appliquerai pas le conseil n°5 et je continuerai d'utiliser les applications qui me plaisent tout en restant prudent...

Citation de pilote.ka

Qelle est la différence entre un compte utilisateur et un code administrateur?

Un utilisateur standard peut utiliser certaines applications et certains outils (les restrictions sont définies par un administrateur) . Il ne peut pas modifier une préférence système qui affecte tous les utilisateurs de l'ordinateur (Economie d'énergie, Impression, ...).

Un administrateur peut configurer n'importe quel panneau des Préférences Sytème. Il peut également installer des applications et des ressources pour tous les utilisateurs de l'ordinateur. Un compte administateur au minimum est obligatoire, lors de l'installation de Mac OS X, le premier compte crée est de ce type.

Pour configurer les comptes de ces deux types d'utilisateurs, il faut utiliser le panneau "Comptes" des Préférences Système.

Il existe un troisième type d'utilisateur, l'administateur Système (appelé aussi superuser ou root). Il a accès en lecture et écriture a tous les fichiers et paramètres du système, y compris les fichiers cachés. Par défaut cet utilisateur existe, mais il est désactivé, impossible donc d'ouvrir une session en son nom. Pour l'activer, il faut utiliser le Gestionnaire Netinfo ou le Terminal, mais attention à ce que vous faîtes...

Yvan

25-02-2006 : 09h55

8. Inconnu

Olivier, merci de m'avoir ouvert les yeux. Je me pensais protégé jusqu'à présent, je sais désormais que je ne le suis plus tout à fait.

Avec l'augmentation de la part de marché des Mac, il est prévisible que les développeurs de virus s'intéressent à notre plateforme.

Au dela des virus, il est important de rappeler que les Mac sont des machines sécurisées, avec peu de ports ouverts. Windows, par contre, avant la SP2, était grand ouvert... Depuis, Microsoft a réagi et fermé des ports.

25-02-2006 : 10h01

9. Fabien

Très bon article Olivier, mais...

Attention ! Le mieux est l'ennemi du bien.

La force du Mac c'est sa simplicité, or tes recommandations font de l'informatique une forteresse imprenable pour la plupart des gens !

Points 1,2,3 et 4: Oui oui oui !! Surtout le 1 et le 3 !
La plus grosse faille de sécurité se situe entre l'écran et le dossier de la chaise, et celle-là, Apple ne pourra jamais la corriger.

Par contre 5, 6 et /, je dis non.

5 parce que les logiciels que tu cites n'arrivent pas à la cheville des logiciels Apple. La situation sous Windows est différente, il est facile de conseiller Firefox comme une alternative à Explorer puisque ce dernier est complètement largué, idem pour Outlook. Mais on ne peut pas en dire autant des "iApps".

6 parce que je n'ai pas envie de passer mon temps à switcher d'un utilisateur à l'autre. En fait, ce conseil est excellent pour Monsieur et Madame ToutLeMonde qui n'installe pas grand chose sur sa machine, mais il faudra alors leur expliquer le concept du multiutiisateur et du Fast-User-Switching.

7 NON ! Traitez moi de parano, mais les fabricants d'anti-virus ont cette capacité à entretenir un climat de peur que je trouve insupportable. De plus je les soupçonne d'être eux-même à l'origine de certains virus (à qui profite le crime). Tous les virus "dévastateurs" de ces dernières années pouvaient très facilement être évités par un peu de bon sens.
De plus ce sont des logiciels qui s'installe au fin fond du système et qui le rende donc facilement instable.

Tout ça pour dire que le meilleur conseil de ta liste est à mon sens le numéro 8:

FAITES DES BACKUPS.

1,3 et 8 et vous n'aurez plus de soucis à vous faire.

25-02-2006 : 10h26

10. François Cuneo

Citation de Fabien

7 NON ! Traitez moi de parano, mais les fabricants d'anti-virus ont cette capacité à entretenir un climat de peur que je trouve insupportable. De plus je les soupçonne d'être eux-même à l'origine de certains virus (à qui profite le crime). Tous les virus "dévastateurs" de ces dernières années pouvaient très facilement être évités par un peu de bon sens.
De plus ce sont des logiciels qui s'installe au fin fond du système et qui le rende donc facilement instable.

Fabien, tu as peut-être raison. C'est vrai, les éditeurs d'antivirus vivent sur la crainte des autres et ne font en tout cas rien pour l'amoindrir, si ce n'est offrir leurs services.

Il n'empêche qu'ils sont tout de même une sécurité face à ces saloperies de virus.

Quant au fait qu'ils envoient peut-être eux-même des virus, ce bruit a toujours couru. Mais si un jour il s'avérait que c'était exact, alors je ne donne pas cher de leur peau. Je ne pense sérieusement pas que des sociétés aussi importantes qu'Intego ou Symantec puissent se permettre ce genre de choses.

Donc moi, je vis avec un antivirus, et mon système s'en porte très bien. Quoi? J'ai dû le réinstaller tous les six mois?

Je promets que ces logiciels n'y sont pour rien.

25-02-2006 : 10h40

11. p4bl0

C'est fou ça !!

Il y a la grippe aviaire qui nous envahi et les mac users sont obséder par leur soi-disant virus.......

:D :D :p

25-02-2006 : 10h40

12. Mirou

De bleu, entre les pigeons qui éternuent sur ma fenêtre et les virus qui tappent contre mon firewall, je me sens plus trop en sécurité ;-)

A part ça, merci pour ces quelques conseils, et surtout, bravo pour avoir mes les références en fin d'article ! C'est très très pro, ça, Olivier !

(PS: à quand une gestion des trackbacks dans CUK ?)

Mirou
mirou.blogs.com

25-02-2006 : 10h41

13. Mirou

Aille, grillé par truk2oof !

Mirou
mirou.blogs.com

25-02-2006 : 11h03

14. Invite

« Pour votre utilisation courante de l’ordinateur, travaillez dans votre session utilisateur uniquement. »

Si le cheval de Troie est un script qui s’attaque au système, le mot de passe administrateur est requis ; même s’il agit dans le cas d’une session administrateur.
Si le cheval de Troie est un script qui s’attaque au dossier Utilisateur de la session, aucun mot de passe administrateur n’est requis ; même s’il agit dans le cas d’une session Utilisateur sans droit d’administration.
Donc ni les documents, ni les courriels (stockés dans le dossier Mail de l’Utilisateur) ne sont protégés par le point 6 (qui apporte quelques désagréments et peu de protection).

25-02-2006 : 11h04

15. nicos

Citation de Fabien et al.

La plus grosse faille de sécurité se situe entre l'écran et le dossier de la chaise

Problème résolu: utiliser des tabourets

Et puis le multi-user-switching, c'est bien beau, mais ca pompe en mémoire! Surtout si vous laissez Safari faire ce qu'il veut avec les widgets!!!

Il ne peut pas y avoir de protection parfaite, comme une securiser une maison contre des voleurs. Ou alors si, mais c'est invivable. Tant pis pour les principes et la sacro-sainte ideologie Apple, un anti-virus (que j'ai pas encore), un firewall, de la jugeotte et hop.

Je dirais meme Ouf!, avec Vista qu'arrive, les processeurs Intel, et maintenant les virus, on va peut etre enfin pouvoir avoir une vision moins irrationelle et passionée de ce pretendu grand schisme Apple/Windows.

25-02-2006 : 11h17

16. mina

Pour ceux qui veulent se protéger tout en n'engraissant pas les vendeurs d'antivirus, il y a ClamXav, une implémentation Mac OS X de ClamAV, un antivirus gratuit.

http://www.clamxav.com/
http://www.clamav.net/

Nicolas

25-02-2006 : 11h19

17. nlex

Firefox étant au moins aussi bon voir meilleurs que Safari, je ne vois pas le problème de le conseiller…

25-02-2006 : 11h41

18. Fabien

Citation de nlex

Firefox étant au moins aussi bon voir meilleurs que Safari, je ne vois pas le problème de le conseiller…

désolé, mais je ne suis pas de cet avis. Pour beaucoup de raisons dont celles-ci:

- Pas de gestion des services
- Pas de copier-coller en Rich Text
- Pas de remplissage automatique lié au Carnet d'Adresses et au Trousseau.

25-02-2006 : 11h57

19. gaya

Je me rappelle avoir tremblé dans les années 90 quand tous les chroniqueurs se sont mis a hurler au virus.
Je fus alors tout rassuré de voir la petite extension de Rival faire traîner un peu plus le démarrage de mon performa, pour me gratifier d'un flicage de salle d'embarcation, à chaque insertion d'une disquette.
Chaque fois que je découvrais un mac dépourvu de son sas d'embarquement, je m'écriais "Ohlala t'as pas d'antivirus". Et on remédiait vite au problème, car vraiment c'était trop grave.

Bref! maintenant qu'on peu faire un bilan sur feu mac os 9, on comptabilise en tout et pour tout 40 malwares, et compte tenu du peu d'effet de leur malveillance, on se permettra de les dégrader du rang de terroriste, à celui de Pied Nickelé.

Le comble de l'histoire, c'est que mon Rival n'a jamais rencontré aucun de ces 40 malfaiteurs.
Tant mieux me répondra l'assureur.
Oui mais, si on ne m'avait pas bourré le mou, je me serais contenté des précautions d'usages, à savoir sauvegarder mes chères données, sans tomber dans un comportement fanatique parce que des journalistes avaient dépeint des caricatures de virus.

Mettez un peu d'eau dans votre vin les gars, prenez du recul, et vous verrez qu'entre le problème et vos solutions il y a disproportion.

De plus, en médiatisant à coup d'effet d'annonce de gros titres et de colonnes à la une, chaque pseudo tentative d'infection, vous appâtez les cyniques et les cinglés en mal de reconnaissance ou d'existence.

On a suffisamment d'exemples aujourd'hui pour s'interroger sur le rôle prépondérant de la presse dans la propagation de la bêtise humaine.

Informez, mais ne déformez pas la réalité, en braquant une loupe sur la monstruosité d'un insecte... "et si il était 100 fois plus gros".

Sauf votre respect.

25-02-2006 : 12h11

20. Smop

Une fois de plus, on part de l'axiome tel que l'outil informatique est accessible à tout le monde, et ce sans la moindre formation.

C'est FAUX !

Que ce soit un PC sous Windows ou Linux, un Mac sous Mac OS X ou je ne sais quel autre système, l'informatique ça s'apprend. Et l'apprendre ne veut pas dire seulement connaître l'emplacement du bouton de mise sous tension, de se souvenir de quelques raccourcis clavier et de savoir déplacer la souris. Un ordinateur est un outil de plus en plus complexe, et pour cacher cette complexité, les éditeurs travaillent sur l'ergonomie. Cela leur permet de démocratiser l'informatique et donc de vendre plus. Mais l'ergonomie n'est qu'une adaptation de la machine au plus grand nombre. Ce n'est pas elle qui va réduire la véritable complexité du système - bien au contraire ! Elle ne fait que dissimuler cette complexité sous la convivialité des artifices multimédias.

Donc, comme je l'écrivais plus haut, l'informatique ça s'apprend. Les éditeurs et constructeurs, Apple en première ligne, ont toujours vanté les mérites de leurs produits en les présentant de façon scandaleusement mensongère. Et l'immense majorité des gens gobent depuis toujours leur discours mercantile... Comme cela se confirme dans bien des domaines, les gens ne savent plus réfléchir. Ils se laissent charmer pas les effets de mode, le marketing, la publicité...

Que ce soit un Windows ou un Mac OS X, une machine correctement administrée fonctionne très bien et en toute sécurité. Les bugs existent, bien sûr, mais dans la majorité des cas le gros bug est l'utilisateur.

On me rétorquera sans doute que c'est à la machine de s'adapter à l'homme et non pas l'inverse. On pourrait argumenter là-dessus, mais ce qui est clair, c'est qu'aujourd'hui nous en sommes encore très loin. Tant que les utilisateurs refuseront de s'investir réellement dans la compréhension de leurs ordinateurs personnels, ils ne peuvent s'en prendre qu'à eux-mêmes lorsque les choses ne se passent pas comme ils le souhaitent.

Hier encore, j'ai dû intervenir dans un cabinet d'architectes qui utilisaient une dizaine de Mac dernier cri en réseau. Magnifiques bureaux high tech avec vue sur la mer. Rapide état des lieux. Aucune machine ne demandait de mot de passe au démarrage. Tous les utilisateurs étaient "admin". Le réseau local était connecté au réseau Internet sans la moindre protection. Personne ne savait ce que voulait dire une adresse IP. La simple évocation du mot "terminal" et tout le monde était parcouru par un frisson d'effroi. Quand je vois de telles hérésies, je me dis vraiment que les gens n'ont que ce qu'ils méritent...

Bref, tout ça pour dire que ces histoires de virus sont abordées de manière ultra simpliste, et une bonne et sérieuse formation Unix vaudra largement tous les antivirus ou bidouillages aveugles du monde !

25-02-2006 : 12h45

21. Leo_11

Bel article Olivier, merci...

Je viens de remarquer un truc... les archives sont décompressées par défaut par BOMArchivehelper... si tu utilises StuffIt 10 l'archive que tu joins à ton article est décompressée et un message t'avertis qu'il se passe un truc pas net...

Comment faire pour définir par défaut StuffIt ?

25-02-2006 : 12h58

22. gaya

@Leo:

affiche la fenêtre des info du fichier,
choisi ouvrir avec stuffit,
clic sur tout modifier

tous les zip se decompacteront avec stuffit par défaut

NB: par contre je n'ai eu aucun message d'alerte de stuffit 10

25-02-2006 : 13h05

23. Olivier Pellerin

Deux ou trois remarques :
- Je ne suis pas alarmiste, je parle d'une menace future. Ce qui change, c'est qu'un virus est maintenant possible : la boite de Pandore est ouverte. Le risque concret, il est évidemment impossible à évaluer.
- il n'y a pas de sécurité absolue pour un ordinateur. À moins de l'éteindre, de l'enfermer dans un coffre et de couler 10 m3 de béton autour… Les conseils que je donne ne suffisent pas, il améliorent le niveau de sécurité.
- Entre paranoïa et insouciance, à vous de choisir, selon vote niveau de compétence (et n'oubliez pas de faire des sauvegardes).

Je prépare un test de clamXav, à paraître dans ces colonnes.

Citation de 21. Leo_11

Comment faire pour définir par défaut StuffIt ?

Personnellement, j'utilise RCDefaultApp, disponible ici.

25-02-2006 : 13h52

24. vinflash

Est-ce que les plus avertis pourraient nous dire…

Sachant que l'utilisateur "lambda" ne soupçonne pas l'existence du terminal et ne s'en servira sans doute jamais; ne serait-il pas plus judicieux de le supprimer sur ces postes, ou tout au moins le mettre en "Accès interdit" ? (Ce que j'ai fait! Les scripts ne se lancent plus…)
Donc plus de Terminal, plus de virus? Ou y-a-t'il d'autres moyens, autre que celui d'installer un soft malveillant sur sa machine, pour prendre à notre insu le contrôle de cette dernière ?
Automator, AppleScript sont-ils en mesure de supprimer des fichiers ou d'installer, de modifier, dans les "Library" ?

Vincent

25-02-2006 : 14h01

25. François Cuneo

Les sauvegardes, c'est bien joli.

Mais avec un peu de débol, quand tout commence à aller de travers, on branche le disque et Paf, vérolé aussi…

Alors bon, je préfère encore me protéger au maximum.

25-02-2006 : 15h08

26. Olivier Pellerin

Citation de 24. vinflash

Donc plus de Terminal, plus de virus?

N'importe quelle application peut écrire dans la (les) Library, surtout si l'utilisateur est aussi administrateur. Essaye avec TextEdit…

Pour le reste, c'est la question de la gestion des autorisations. Un sujet qui n'est pas à la portée des utilisateurs "normaux" (même si ce n'est pas si difficile). Ce qui me permet de répondre à :

Citation de 25. François Cuneo

…on branche le disque et Paf, vérolé aussi…

Si tu as sauvegardé ton dossier personnel et qu'il ne contient pas d'exécutif, tu es aussi à l'abri que si tu avais stocké tes données dans le Tamiflu (tm). C'est l'avantage d'avoir Unix sous le capot ! D'où l'intérêt d'avoir un compte utilisateur distinct du compte Administrateur. Mais je suis d'accord, c'est contraignant, surtout quand on teste un logiciel par jour.

25-02-2006 : 16h00

27. cyberdid

Article très intéressant, mais chez moi, image.jpeg n'a pas installé de fichier virus_faux...

Connaissez vous Safe Terminal ??

25-02-2006 : 16h02

28. cyberdid

Pardon preuve.jpeg pas image.jpeg

et même après avoir double cliqué sur preuve.jpeg.zip et preuve.jpg, spotlight n'a trouvé AUCUN fichier virus_faux !

25-02-2006 : 16h41

29. vinflash

[/quote] N'importe quelle application peut écrire dans la (les) Library, surtout si l'utilisateur est aussi administrateur. Essaye avec TextEdit…

TextEdit peut créer un dossier, supprimer, déplacer…?
Ecrire un shell, oui! Mais l'exécuter ??
C'était là, le sens de ma question…

Vincent

25-02-2006 : 19h04

30. MarcOS

Très bon article.

J'utilise aussi ClamXav.

J'ai suivi le conseil : un deuxième utilisateur "admin" a été ajouté avec un password généré par Apple. Mon compte n'est plus un compte "admin".

Bon samedi.

Ce soir c'est la remise des césars, vive la Belgique !

marcOS
Limelette

Marc Somville
ma page web

25-02-2006 : 19h06

31. colonel moutarde

Pourquoi le problème des virus sur OS X seraient un NOUVEAU problème ? Parce que c'est à la mode ? Arrêtez !!! Il n'y a rien de nouveau si ce n'est que des "journalistes" se sont intéressés au "problème". Du coup, c'est parole d'évangile et tout le monde est enrhumé ! Cacher un script ou un shell dans un faux fichier jpeg n'est pas une nouveauté de Tiger, on peut le faire depuis 10.0. On le découvre juste aujourd'hui ou quoi ?

Un peu comme les particules fines (pour les suisses). Jusqu'à présent, on appelait ça le smog hivernal. Et savez-vous que la plupart des grippes proviennent de la volaille ou des porcs avant de passer à l'homme. C'est pas bien mais c'est pas nouveau !

--------------------------------------------------
Jetez votre télé ! Lisez et faites l'amour avec votre copine !

25-02-2006 : 20h40

32. François Cuneo

Citation de Colonel Moutarde

Un peu comme les particules fines (pour les suisses). Jusqu'à présent, on appelait ça le smog hivernal. Et savez-vous que la plupart des grippes proviennent de la volaille ou des porcs avant de passer à l'homme. C'est pas bien mais c'est pas nouveau !

Alors quoi?

On s'en fout?

Des particules fines? De la grippe aviaire? Des virus pour Mac?

25-02-2006 : 20h52

33. Chichille

J'ai eu affaire à 1 virus Mac avéré (un !) en… 1992 ou 93. Je n'avais fait aucune manip particulièrement dangereuse (pas d'Internet à l'époque), simplement introduit une disquette d'un client. J'ai donc été content que mon anti-virus me le signale et que je puisse répercuter au client. L'anti-virus était d'ailleurs gratuit, et si un vieux débris moins alzheimérisé que moi peut me rappeler le nom du logiciel, ça me ferait plaisir.

Donc, payant ou gratuit, un antivirus n'est pas nécessairement une horreur. Par contre, il est vrai que nous avons été très tranquilles ces derniers temps et que j'ai cessé depuis belle lurette d'utiliser Norton Antivirus qui passait son temps (et surtout le mien !) à me télécharger des tonnes de définitions pour Windows. Je vais essayer ClamXav et peut-être aller voir du côté d'Intego.

J'utilise 2 "trucs" de kmx : l'affichage en colonne, avec le même résultat pour "preuve.jpg" : on lit très bien "Document Terminal" dans la colonne suivante. Quant à mes téléchargements, ils vont dans un dossier… "téléchargements", avé 2 assents, qui perturbe le Terminal. Quand je clique sur "preuve.jpg", le Terminal s'ouvre et m'annonce qu'il n'a trouvé "No such file or directory", l'andouille, puisqu'il recherchait "telechargments" sans accent.

Enfin, j'utilise en priorité Camino, et en cas de problème, Firefox ou Safari, voire Opera, parce que de toute façon en matière de navigateur rien n'est parfait et qu'il faut avoir tous les outils ou presque (qui a dit Internet Explorer ?).

Voilà. Bises au dames à qui je signale au passage que je suis officiellement dépourvu de virus (vérifié le 9 février…).

Bof ! Bof ! Bof !

25-02-2006 : 22h16

34. Olivier Pellerin

Citation de vinflash

TextEdit peut créer un dossier, supprimer, déplacer…?
Ecrire un shell, oui! Mais l'exécuter ??
C'était là, le sens de ma question…

Si tu comprends la question, tu connais la réponse : Il faut rendre le fichier exécutable. Le Terminal est le moyen le plus évident. Mais crois-tu que c'est le seul ?
Pour rappel, Oomp-A passe par un InputManager. On pourrait aussi utiliser les outils de manipulation des processus en mémoire.
Enfin, n'oublie pas que le moyen le plus simple reste l'ingénierie sociale. Autrement dit, amener les utilisateurs à se planter eux-mêmes. C'est simpliste, mais ça marche très bien sur le système d'exploitation dominant depuis des décennies.

Le but final, en général, n'est pas de faire des dégâts mais de prendre le contrôle de la machine à distance. Pour l'utiliser lors d'une attaque DoS par exemple.

Nota : je sais que je suis un peu confus. C'est délibéré. Après tout, ceci n'est pas un cours d'écriture de virus.

25-02-2006 : 22h51

35. alec6

Hou… ben, moi j'ai peur ! dis donc !! moi qui depuis vingt ans au moins utilise un Mac sans connaître l'existence même d'un "pare feu" et sans jamais avoir compris la fonction et l'utilité du Terminal (CDG 2E ?) et de ses signes barbares…

Ma chaise est confortable, merci ! Et je n'ai pas vue sur la mer, dommage !

Alexis… qui n'en rate pas une !

25-02-2006 : 23h21

36. henrif

Je prends les devants, je commence à tout "sécuriser", y compris mes messages sur cuk. C'est parti :

jacassais63908623_bataillerons ratifient1175*illusionneraient abrasim?tre39353[crachot?ren salariions41605548[boulonniez cabotin?ren6; enfutailleraient saboterez943042assineraient orthographiiez 488estompassent !
généré avec l' assistant mot de passe® du Tigre® .

Presque de la poésie oulipienne !? L'informatique me rend fou...

---------------------------------------------------------
"Je comprends pas tout, mais je parle de tout : c'est ce qui compte." Coluche

26-02-2006 : 00h39

37. Cougar02

Bonsoir à tous et à toutes,
Je viens de m'inscrire pour avoir la possibilité de donner mon point de vue de "vieux débris alzheimerisé" (comme Chichille) sur le post de Olivier Pellerin.
Et tout d'abord pour le féliciter de pour cet article. Enfin, un papier sérieux sur la question.
J'ai toujours pensé que si les OS Mac (9 ou X) étaient infiniment plus sécurisés que les autres, il n'en était pas moins prudent de "sortir couvert". Et donc, depuis 1989 que je travaille exclusivement sur Mac, j'ai toujours eu un antivirus actif sur mes bécanes. Et depuis mon passage à l'ADSL en 1999, j'ai toujours utilisé un pare-feu. Pour ne citer aucun nom de marque, puisque je ne suis ni actionnaire, ni prêt à le devenir, j'utilise Intego, qui est un "intégré" parfait. Et je verouille mon pare-feu natif dans Tigre. Voilà. Suis-je parano?
Pour l'immense majorité des macusers, oui, sans aucun doute. mais j'ai la faiblesse de vouloir être maître de ma bécane, de mes dossiers, de mes mots de passe, de mes photos en jpeg, de mes comptes bancaires, de mes surfs, de mes téléchargements, de mes décompressions, des pièces jointes que j'envoie, que je fais suivre ou que je reçois.
Qui dit "être maître de" dit "gouverner". Or, l'historien que je suis sait de longue date que "Gouverner, c'est prévoir". Donc, en prévision de ce qui peut toujours arriver, quoiqu'on en dise, et malgré les arcanes du système Unix fondé sur des autorisations, je n'ai aucune - mais alors strictement aucune - confiance dans le mot "impossible" appliqué au domaine de la technique ou de la technologie.
Et je me dis que tout peut arriver, n'importe quand. Et puis, lorsque cela arrive, on s'aperçoit que c'est trop tard.
Il en est de même pour les sauvegardes que des outils à la portée de toutes les bourses savent faire automatiquement à des heures programmées.
Il en est de même pour les coupures de courant, les oscillations de tensions électriques : aussi me suis-je muni d'un onduleur. Ce n'est pas "après"qu'il faut pleurer, râler, regretter et tempêter, c'est "avant" qu'il faut prévoir et donc prévenir.
A l'instant même où ces lignes sont écrites, il y a peut-être un petit malin, quelque part sur la planète, qui prépare un bon virus executable sous Tigre, un bon cheval de troie ou un bon spyware qui ne demande qu'à exercer ces talents néfastes. Sous quelle forme, on n'en sait rien. tant que cela ne sera arrivé, on ne le saura pas. Avant que ma voiture ne tombe en panne sur l'autoroute, elle roulait!
Donc, tant pis si je passe pour un parano, qui ne "déchire pas grave", qui n'est pas "cool". Je préfère ma tranquillité et la possibilité de m'adapeter aux circonstances.
Enfin, comme l'écrit Smop dans un des post ci-dessus, l'informatique, cela s'apprend. Ce n'est pas un jeu de cubes. Et,en réalité, la grande majorité des problèmes qui surviennent sur un ordinateur - quelque soit l'OS, mais surtout le nôtre - se passe dans l'espace qui sépare la chaise et le clavier!

26-02-2006 : 00h45

38. Gabone

Utilisé ClamXav il est performant et gratuit, mais pensé au concepteur entre 5€ et 10€ l’aideront pour la suite de sons travails. http://www.markallan.co.uk/clamXav/
A bon entendeur salut.

26-02-2006 : 02h29

39. vinflash

/quote Pour rappel, Oomp-A passe par un InputManager.
On pourrait aussi utiliser les outils de manipulation des processus en mémoire
ouawh!! Là ça va loin! C'est comme comme de "l'hypnose d'auto-subjectivité subiminale" ramener à l'informatique :)…
Ca serait intéressant de vulgariser le sujet…

Vincent

26-02-2006 : 21h44

40. Olivier Pellerin

Vulgariser le sujet ? Dur, dur…

Disons, simplement, qu'Apple a installé des outils qui simplifient la vie des utilisateurs ainsi que celle des programmeurs. Que ces outils, comme tous les outils informatiques, ne sont pas parfaits. Qu'il y a des erreurs, des choses mal vues, mal finies. C'est inévitable.
Or un ordinateur, c'est un oignon (tout comme Shrek). C'est des couches, sur des couches, sur… Des couches de code sur des couches de code. Et que les imperfections de ces différentes couches ne s'additionnent pas entre elles, elles se multiplient. Dans le même ordre de logique, je te laisse imaginer le niveau de risque acceptable pour la fabrication des composants d'une fusée…

Plus on simplifie la vie des utilisateurs, plus on augmente les couches, donc plus on augmente les risques. Et comme Tiger est autrement plus simple à utiliser qu'Unix, tu commence maintenant à concevoir les risques.

26-02-2006 : 23h56

41. Phfred

Pour le vieux crouton (désolé, mais j'en suis un autre) qui cherche le nom de l'anti virus gratuit du 9, c'était Disinfectant (qui jouait la musique des montipython je crois, mais je ne sais plus comment)
Perso je fais des sauvegardes régulièrement (parce qu'une panne de dur est plus probable qu'un virus) et je n'ouvre pas n'importe quoi, quant aux anti virus ou autre compte utilisateur, ca donne une fausse impression de sécurité.

...
Mortuus non credite ilud quia latet aeterno
Quum per saecula mira mors etiam pereat.

27-02-2006 : 00h39

42. Smop

Citation de Olivier Pellerin

... Et comme Tiger est autrement plus simple à utiliser qu'Unix ...

Mac OS X "Tiger" est une variante d' Unix ! Quant à être plus simple à utiliser, à mon avis tout est relatif. Je dirais plutôt que l'interface graphique Aqua permet une première approche plus intuitive pour le non informaticien. Unix n'est pas compliqué, une fois le concept général assimilé. Tout comme il serait faux de croire que DOS était moins "facile" à utiliser que Windows...

27-02-2006 : 16h40

43. ToTheEnd

Cette histoire est assez marrante et ça faisait des années que je prédisais que ça arriverait.

Heureusement qu'Apple n'a pas trop cédé aux sirènes marketing du "nos machines sont les plus sûres du monde" parce que dans quelques mois, on pourrait bien déchanter.

Je ne pense pas que nos problèmes seront aussi nombreux que sur PC... toutefois, je pense que les nôtres ne font que commencer. Un avenir radieux je prédis aux éditeurs de "sécurité" pour Mac.

T

27-02-2006 : 18h19

44. zitouna

Il me semble avoir entendu parler, celà fait quelques années, d'un "fichier MP3" (aussi faux que ton jpg) qui avait le même genre de propriété, à l'époque aussi, c'était le "premier virus pour Mac OSX". Je crois avoir lu (j'en suis même sûr) qu'une bonne manière de l'empêcher de nuire consistait à ne pas double-cliquer dessus pour l'ouvrir, mais à le glisser-déposer sur l'application qui est sensée le lire (dans ce cas, Ithune), ou à demander à l'ouvrir depuis une application idoine. Ce faisant, on a un message d'erreur dévoilant la supercherie.
<mode déconnage>Les fabricants de virus pour mac sont vraiment incroyablement réactifs, 3 ans(?) pour passer de Mp3 à Jpg, quand on sait le nombre incroyable d'autres possibilités!
Ya pas à dire, je tremble.</mode déconnage>
zit zit zit

27-02-2006 : 19h17

45. Cougar02

Si je peux me permettre, j'ajoute ce lien qui concerne le sujet abordé :

http://www.silicon.fr/articles/14000/EDITO-La-communaute-Apple-est-elle-en-danger.html

28-02-2006 : 21h50

46. Chichille

Citation de Phfred

Depuis, j'ai eu un petit éclair de lucidité et de mémoire et je confirme les souvenirs de Phfred, y compris pour la musique des Monty Pythons, qui devait se déclencher (avec l'image d'un pied écrasant les virus) dans le "à propos de".

D'accord aussi pour admettre que la panne de "dur" est le risque principal. Mais une précaution n'empêche pas l'autre, d'autant que la sauvegarde sur un disque externe (ou plusieurs…) peut limiter les dégâts quel que soit le type d'accident.

Bof ! Bof ! Bof !

04-03-2006 : 16h58

47. macdavid

Juste pour info, le bug de Sophos et des faux positifs est résolu depuis le 23.2

http://www.macfixit.com/article.php?story=20060223074559709&query=sophos

Ajouter un commentaire