Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Matériel Ordinateur Système Mac

[SECURITE] Opener un "malware"

Le
pdorange
FU2 : fr.comp.sys.mac

Depuis vendredi soir la communauté Mac sur internet frémis sous le doux
nom de "Opener".

Opener est un script shell qui est en fait un dérivé d'outils de hacker
pour unix (RootKit) qui profite de droits accordés pour voler les mots
de passes, numéro de licence, etc et installer un backdoor sur votre
machine.

A ce jour, il ne semble y avoir qu'une seule personne infectée.

On trouve beaucoup de détails sur cette histoire sur le site Macintoush
(1) en Anglais.

Les sites d'actus Mac francophone relaye l'information avec parfois
quelques approximations (on y parle de virus ou de cheval de troie, ce
qui n'est pas exact). (2) et (3).

Le script pour s'installer nécessite un accès physique a la machine, un
utilisateur doit donc le lancer manuellement sur la machine et donner le
mot de passe administrateur.

L'origine de ce script semble provenir d'un site de Hacker Mac (5)

L'éditeur d'anti-virus Sophos a semble-t-il été le premier a réagir (1),
suivi de près par Symantec

Après le "faux trojan" de intego, le "malware" qui se faisait passé pour
la démo de Office 2004 (téléchargeable) en p2p; les problèmes de
sécurité se multiplient cette année sur notre plateforme.
Il s'agit là de trojan (chevaux de troie) qui mystifie l'utilisateur
pour s'installer et faire les méchancetés; pas de virus donc.

Cela prouve, AMHA, l'attention que la plateforme Mac occasionne auprès
de tous (ça attire des hackers) et aussi que la sécurité est bien assuré
(pour l'instant) car ce n'est que par le biais de "tromperie" que ces
logiciels malveillant (malware) s'installent, pas par des failles de
sécurités.

Il convient de rester éveiller de surveiller l'avenir de ce "Opener" qui
pourrait se retrouver transformer en vrai "trojan" (ou pire) dans les
mains d'un malveillant.

Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
- effectuer les mises à jour de sécurité Apple
- garder à jour le système
- se méfier des logiciels externes téléchargés
- se méfier des installeurs qui demandent un mot de passe
- contrôler l'activité du Firewall (activé)

Un article (anglais) sur le sujet chez macDevCenter (3)

(1) <http://www.macintouch.com/opener.html>
(2) <http://www.macplus.org/magplus/arti...cler84>
(3) <http://www.macdevcenter.com/pub/a/m...y.html>
(4) <http://www.sophos.com/virusinfo/ana...a.html>
(5) <http://freaky.staticusers.net/ugboa...opic.php?t712>

--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Lire les 36 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 8
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
listes2
Le #952168
Pierre-Alain Dorange
les problèmes de
sécurité se multiplient cette année sur notre plateforme.


Faut pas pousser.
Ce genre de chose est possible et très simple depuis AppleScript au
moins. Aucun antivirus ne pourra jamais remplacer la réflexion de
l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut
fournir un mot de passe.
Sans compter que quelle que soit le plate-forme, il n'y a aucune
sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.

--
Olivier Goldberg, étudiant, macaddict, plongeur CMAS ***
Pour le courrier personnel, écrire à:
olivier (arobase) ogoldberg (point) net
AIM/iChat: Nept47

Répondre en citant
pdorange
Le #952167
Olivier Goldberg
les problèmes de
sécurité se multiplient cette année sur notre plateforme.


Faut pas pousser.
Ce genre de chose est possible et très simple depuis AppleScript au
moins. Aucun antivirus ne pourra jamais remplacer la réflexion de
l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut
fournir un mot de passe.
Sans compter que quelle que soit le plate-forme, il n'y a aucune
sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.


Je sais Olivier, j'ai mal dut m'exprimer... C'est d'ailleurs le sens de
ma conclusion a priori.

Quand a la simplicité et surtout la discrétion, ça va être dur avec AS
quand même ;-)

--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac Clarus, the DogCow

Répondre en citant
listes2
Le #952015
Pierre-Alain Dorange
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS
quand même ;-)


Pas plus dur qu'avec le shell script dont question plus haut.

--
Olivier Goldberg, étudiant, macaddict, plongeur CMAS ***
Pour le courrier personnel, écrire à:
olivier (arobase) ogoldberg (point) net
AIM/iChat: Nept47

Répondre en citant
laurent.pertois
Le #952013
Pierre-Alain Dorange
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root


Ca n'empêchera pas l'installation d'Opener qui ne nécessite que des
droits d'admin.

- effectuer les mises à jour de sécurité Apple


Là, je me demande quelle va être la parade.

- garder à jour le système


Vi, mais pareil, ça n'empêchera pas Opener d'être installé.

- se méfier des logiciels externes téléchargés


Ca a toujours été vrai :-)

- se méfier des installeurs qui demandent un mot de passe


Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer
et où, au hasard les machins Vise :-/

- contrôler l'activité du Firewall (activé)


Opener y place des règles lui permettant de passer sans l'arrêter, si je
me souviens bien.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Répondre en citant
laurent.pertois
Le #952014
Pierre-Alain Dorange
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS
quand même ;-)


Ben, rien qu'un do shell script "rm -rf ~/" fait beaucoup de mal, il ne
nécessite en plus aucun mot de passe ni droit d'administration.

Certes le système ne s'en trouve pas affecté mais l'utilisateur s'en
trouve fort marri...

Sjnma c'est d'ailleurs ce que faisait le faux Office 2004.

Sinon, en AS on peut très bien demander le mot de passe de l'utilisateur
pour escalader les droits, voire télécharger Opener facilement pour le
placer au bon endroit si l'utilisateur est admin (ce qu'on peut très
bien vérifier avec un peu d'astuce, je suis sûr, au lancement du
script).

Bref, les possibilités sont infinies, la meilleure protection étant
quand même de savoir ce qu'on fait et d'y réfléchir quelques secondes...

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme