Un cheval de Troie découvert sous OS X [MàJ]
Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.
Basé sur la crédulité de certains, il va proposer une mise à jour permettant d'avoir accès à l'intégralité du site. Un fichier sous forme de .dmg sera alors téléchargé, et le mot de passe administrateur demandé.
En fait, le logiciel plutôt que d'installer quoique ce soit, va changer le DNS de la machine.
Une fois le DNS changé, il sera possible aux pirates d'orienter les victimes vers de faux sites permettant de réaliser des phishings aussi parfaits que possible. Ceci peut toucher des comptes Paypal, Ebay ou encore associés à des banques.
Il installe également une routine vérifiant régulièrement que le DNS n'a pas été entre temps modifié et veille à remettre le malicieux.
Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.
Il y a hélas des chances que ce type d'attaque n'aille en augmentant et se fasse de plus en plus pernicieuse avec le temps, les parts de marché d'Apple augmentant.
[MàJ] Nous rajoutons seulement quelques explications à la manière dont fonctionnent les DNS et donc ce cheval de Troie.
Sur internet, les machines se reconnaissent entre elles par des adresses IP. Chacune a la sienne propre. Par exemple, le serveur de MacBidouille a l'adresse http://212.43.222.205. Pour éviter aux personnes d'avoir à se rappeler des numéros et à faire facilement des correspondances, on a créé les noms de domaines et les URL, adresses comme http://www.macbidouille.com.
A chaque demande pour accéder à un site, votre ordinateur va aller faire une requête à un serveur DNS (domain name server) qui va lui donner la correspondance entre le nom du site et son adresse IP.
Vous utilisez en principe le DNS de votre opérateur internet. Mais si on arrive à vous faire changer à votre insu de DNS, on peut très bien vous renvoyer sur l'IP choisie par ceux qui gèrent ce DNS et par exemple vous faire croire que vous êtes sur le site eBay alors qu'en fait vous en êtes sur une réplique sur un autre serveur. A moins de vérifier votre serveur DNS ou l'adresse IP de la machine, vous avez toutes les chances de vous faire avoir pour peu que la copie de la page soit bien faite, ce qui n'est pas le plus dur à réaliser.
Ce problème est donc très sérieux.