Flashback: Apple aurait encore beaucoup à apprendre sur la sécurité
Pendant très longtemps Mac OS puis Mac OS X ont été très peu touchés par des attaques virales ou par des chevaux de Troie alors qu'ils pullulaient sous Windows. Depuis, la situation s'est grandement améliorée pour le système d'exploitation de Microsoft et dégradée sous Mac OS X.
La prise de conscience a été violente la semaine dernière après que l'éditeur russe d'Antivirus Dr Web eut dénombré près de 600 000 Mac infectés par le cheval de Troie Flashback. Cette annonce a provoqué la stupeur et l'incrédulité allant jusqu'à mettre en doute les affirmations de cette société. Depuis, elles ne font plus de doute, Kaspersky étant arrivé aux mêmes constatations, avec plus de 600 000 Mac infectés dont la moitié aux Etats-Unis (7891 en France). Nous détaillons en fin de brève la manière dont ces chiffres ont été obtenus.
Apple n'a pas officiellement réagi à cette information, mais la société agirait de manière discrète. Pour commencer, elle aurait demandé la désactivation de noms de domaines utilisés pour piloter ces botnets. Chose amusante ou agaçante suivant le point de vue, elle aurait ainsi demandé la désactivation de l'un de ceux qu'avait utilisé Dr Web pour mesurer le nombre de machines atteintes. En fait, Kaspery et Dr Web auraient contacté Apple pour se rapprocher d'eux et les aider à venir à bout de ces problèmes, mais la société leur aurait adressé une fin de non recevoir. Apple affirme travailler avec la communauté de la sécurité, mais personne ne sait qui est concerné, alors que cette communauté est habituée à une grande transparence.
Autre chose reprochée à Apple, son manque de réactivité. La dernière mouture de Flashback utilisait une faille de Java. Apple l'a corrigée après l'annonce de Dr Web, mais bien plus tard qu'Oracle, qui l'a corrigée en février.
En bref, Apple fait face à un nouveau défi, s'adapter à ces attaques, qui ont maintenant peu de chances de cesser spontanément, le Mac ayant atteint une taille critique qui le rend intéressant à pirater. C'est d'autant plus vrai que trop de gens considèrent que ce genre d'attaque n'est pas possible sous OS X et ne prennent pas les précautions élémentaires pour s'en protéger au moins par la méfiance.
De son côté, Apple va devoir choisir entre deux solutions:
- Vouloir protéger ses clients en montant une grosse cellule de veille très réactive capable de proposer très vite des correctifs aux failles de sécurité et aux attaques,
- Admettre que le Mac est faillible et inviter ses clients à plus de vigilence ou pourquoi pas à faire appel à des logiciels tiers de protection.
Dans l'idéal, la solution serait un mélange des deux.
Voici la manière dont ils ont obtenu ces chiffres. Ils ont décortiqué Flashback pour en comprendre l'exact fonctionnement. Ils ont ainsi constaté que le code du logiciel était chiffré en utilisant l'UUID de la machine. Une fois décodé, ils ont découvert que ce cheval de Troie utilisait des algorithmes pour générer très souvent de nouvelles URL avec lesquelles il pouvaient communiquer vers l'extérieur et recevoir des ordres, leurs créateurs pouvant alors créer et changer à la demande de serveurs cibles. Les ingénieurs de ces sociétés d'antivirus ont alors réussi à récupérer des URL pas encore exploitées par les pirates et les ont utilisées pour savoir combien de machines tentaient de se connecter dessus. Ils ont alors pu recenser de manière très précise le nombre de machines qui envoyaient des requêtes sur ces serveurs, d'où la précision extrême, qui pouvait paraître suspecte aux plus sceptiques, tout en sachant qu'il y en a probablement plus si les machines étaient éteintes le jour où les mesures ont été réalisées.