Depuis vendredi soir la communauté Mac sur internet frémis sous le doux
nom de "Opener".
Opener est un script shell qui est en fait un dérivé d'outils de hacker
pour unix (RootKit) qui profite de droits accordés pour voler les mots
de passes, numéro de licence, etc... et installer un backdoor sur votre
machine.
A ce jour, il ne semble y avoir qu'une seule personne infectée.
On trouve beaucoup de détails sur cette histoire sur le site Macintoush
(1) en Anglais.
Les sites d'actus Mac francophone relaye l'information avec parfois
quelques approximations (on y parle de virus ou de cheval de troie, ce
qui n'est pas exact). (2) et (3).
Le script pour s'installer nécessite un accès physique a la machine, un
utilisateur doit donc le lancer manuellement sur la machine et donner le
mot de passe administrateur.
L'origine de ce script semble provenir d'un site de Hacker Mac (5)
L'éditeur d'anti-virus Sophos a semble-t-il été le premier a réagir (1),
suivi de près par Symantec
Après le "faux trojan" de intego, le "malware" qui se faisait passé pour
la démo de Office 2004 (téléchargeable) en p2p; les problèmes de
sécurité se multiplient cette année sur notre plateforme.
Il s'agit là de trojan (chevaux de troie) qui mystifie l'utilisateur
pour s'installer et faire les méchancetés; pas de virus donc.
Cela prouve, AMHA, l'attention que la plateforme Mac occasionne auprès
de tous (ça attire des hackers) et aussi que la sécurité est bien assuré
(pour l'instant) car ce n'est que par le biais de "tromperie" que ces
logiciels malveillant (malware) s'installent, pas par des failles de
sécurités.
Il convient de rester éveiller de surveiller l'avenir de ce "Opener" qui
pourrait se retrouver transformer en vrai "trojan" (ou pire) dans les
mains d'un malveillant.
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
- effectuer les mises à jour de sécurité Apple
- garder à jour le système
- se méfier des logiciels externes téléchargés
- se méfier des installeurs qui demandent un mot de passe
- contrôler l'activité du Firewall (activé)
Un article (anglais) sur le sujet chez macDevCenter (3)
les problèmes de sécurité se multiplient cette année sur notre plateforme.
Faut pas pousser. Ce genre de chose est possible et très simple depuis AppleScript au moins. Aucun antivirus ne pourra jamais remplacer la réflexion de l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut fournir un mot de passe. Sans compter que quelle que soit le plate-forme, il n'y a aucune sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.
-- Olivier Goldberg, étudiant, macaddict, plongeur CMAS *** Pour le courrier personnel, écrire à: olivier (arobase) ogoldberg (point) net AIM/iChat: Nept47
les problèmes de
sécurité se multiplient cette année sur notre plateforme.
Faut pas pousser.
Ce genre de chose est possible et très simple depuis AppleScript au
moins. Aucun antivirus ne pourra jamais remplacer la réflexion de
l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut
fournir un mot de passe.
Sans compter que quelle que soit le plate-forme, il n'y a aucune
sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.
--
Olivier Goldberg, étudiant, macaddict, plongeur CMAS ***
Pour le courrier personnel, écrire à:
olivier (arobase) ogoldberg (point) net
AIM/iChat: Nept47
les problèmes de sécurité se multiplient cette année sur notre plateforme.
Faut pas pousser. Ce genre de chose est possible et très simple depuis AppleScript au moins. Aucun antivirus ne pourra jamais remplacer la réflexion de l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut fournir un mot de passe. Sans compter que quelle que soit le plate-forme, il n'y a aucune sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.
-- Olivier Goldberg, étudiant, macaddict, plongeur CMAS *** Pour le courrier personnel, écrire à: olivier (arobase) ogoldberg (point) net AIM/iChat: Nept47
pdorange
Olivier Goldberg wrote:
les problèmes de sécurité se multiplient cette année sur notre plateforme.
Faut pas pousser. Ce genre de chose est possible et très simple depuis AppleScript au moins. Aucun antivirus ne pourra jamais remplacer la réflexion de l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut fournir un mot de passe. Sans compter que quelle que soit le plate-forme, il n'y a aucune sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.
Je sais Olivier, j'ai mal dut m'exprimer... C'est d'ailleurs le sens de ma conclusion a priori.
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS quand même ;-)
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
Olivier Goldberg <listes2@ogoldberg.net> wrote:
les problèmes de
sécurité se multiplient cette année sur notre plateforme.
Faut pas pousser.
Ce genre de chose est possible et très simple depuis AppleScript au
moins. Aucun antivirus ne pourra jamais remplacer la réflexion de
l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut
fournir un mot de passe.
Sans compter que quelle que soit le plate-forme, il n'y a aucune
sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.
Je sais Olivier, j'ai mal dut m'exprimer... C'est d'ailleurs le sens de
ma conclusion a priori.
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS
quand même ;-)
--
Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
les problèmes de sécurité se multiplient cette année sur notre plateforme.
Faut pas pousser. Ce genre de chose est possible et très simple depuis AppleScript au moins. Aucun antivirus ne pourra jamais remplacer la réflexion de l'utilisateur quant à ce qu'il peut ouvrir, et à ce à quoi il peut fournir un mot de passe. Sans compter que quelle que soit le plate-forme, il n'y a aucune sécurité dès lors qu'il y a un accès physique à l'ordinateur concerné.
Je sais Olivier, j'ai mal dut m'exprimer... C'est d'ailleurs le sens de ma conclusion a priori.
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS quand même ;-)
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
listes2
Pierre-Alain Dorange wrote:
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS quand même ;-)
Pas plus dur qu'avec le shell script dont question plus haut.
-- Olivier Goldberg, étudiant, macaddict, plongeur CMAS *** Pour le courrier personnel, écrire à: olivier (arobase) ogoldberg (point) net AIM/iChat: Nept47
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS quand même ;-)
Pas plus dur qu'avec le shell script dont question plus haut.
-- Olivier Goldberg, étudiant, macaddict, plongeur CMAS *** Pour le courrier personnel, écrire à: olivier (arobase) ogoldberg (point) net AIM/iChat: Nept47
laurent.pertois
Pierre-Alain Dorange wrote:
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root
Ca n'empêchera pas l'installation d'Opener qui ne nécessite que des droits d'admin.
- effectuer les mises à jour de sécurité Apple
Là, je me demande quelle va être la parade.
- garder à jour le système
Vi, mais pareil, ça n'empêchera pas Opener d'être installé.
- se méfier des logiciels externes téléchargés
Ca a toujours été vrai :-)
- se méfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer et où, au hasard les machins Vise :-/
- contrôler l'activité du Firewall (activé)
Opener y place des règles lui permettant de passer sans l'arrêter, si je me souviens bien.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
Ca n'empêchera pas l'installation d'Opener qui ne nécessite que des
droits d'admin.
- effectuer les mises à jour de sécurité Apple
Là, je me demande quelle va être la parade.
- garder à jour le système
Vi, mais pareil, ça n'empêchera pas Opener d'être installé.
- se méfier des logiciels externes téléchargés
Ca a toujours été vrai :-)
- se méfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer
et où, au hasard les machins Vise :-/
- contrôler l'activité du Firewall (activé)
Opener y place des règles lui permettant de passer sans l'arrêter, si je
me souviens bien.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root
Ca n'empêchera pas l'installation d'Opener qui ne nécessite que des droits d'admin.
- effectuer les mises à jour de sécurité Apple
Là, je me demande quelle va être la parade.
- garder à jour le système
Vi, mais pareil, ça n'empêchera pas Opener d'être installé.
- se méfier des logiciels externes téléchargés
Ca a toujours été vrai :-)
- se méfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer et où, au hasard les machins Vise :-/
- contrôler l'activité du Firewall (activé)
Opener y place des règles lui permettant de passer sans l'arrêter, si je me souviens bien.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
laurent.pertois
Pierre-Alain Dorange wrote:
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS quand même ;-)
Ben, rien qu'un do shell script "rm -rf ~/" fait beaucoup de mal, il ne nécessite en plus aucun mot de passe ni droit d'administration.
Certes le système ne s'en trouve pas affecté mais l'utilisateur s'en trouve fort marri...
Sjnma c'est d'ailleurs ce que faisait le faux Office 2004.
Sinon, en AS on peut très bien demander le mot de passe de l'utilisateur pour escalader les droits, voire télécharger Opener facilement pour le placer au bon endroit si l'utilisateur est admin (ce qu'on peut très bien vérifier avec un peu d'astuce, je suis sûr, au lancement du script).
Bref, les possibilités sont infinies, la meilleure protection étant quand même de savoir ce qu'on fait et d'y réfléchir quelques secondes...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS
quand même ;-)
Ben, rien qu'un do shell script "rm -rf ~/" fait beaucoup de mal, il ne
nécessite en plus aucun mot de passe ni droit d'administration.
Certes le système ne s'en trouve pas affecté mais l'utilisateur s'en
trouve fort marri...
Sjnma c'est d'ailleurs ce que faisait le faux Office 2004.
Sinon, en AS on peut très bien demander le mot de passe de l'utilisateur
pour escalader les droits, voire télécharger Opener facilement pour le
placer au bon endroit si l'utilisateur est admin (ce qu'on peut très
bien vérifier avec un peu d'astuce, je suis sûr, au lancement du
script).
Bref, les possibilités sont infinies, la meilleure protection étant
quand même de savoir ce qu'on fait et d'y réfléchir quelques secondes...
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Quand a la simplicité et surtout la discrétion, ça va être dur avec AS quand même ;-)
Ben, rien qu'un do shell script "rm -rf ~/" fait beaucoup de mal, il ne nécessite en plus aucun mot de passe ni droit d'administration.
Certes le système ne s'en trouve pas affecté mais l'utilisateur s'en trouve fort marri...
Sjnma c'est d'ailleurs ce que faisait le faux Office 2004.
Sinon, en AS on peut très bien demander le mot de passe de l'utilisateur pour escalader les droits, voire télécharger Opener facilement pour le placer au bon endroit si l'utilisateur est admin (ce qu'on peut très bien vérifier avec un peu d'astuce, je suis sûr, au lancement du script).
Bref, les possibilités sont infinies, la meilleure protection étant quand même de savoir ce qu'on fait et d'y réfléchir quelques secondes...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Laurent PERON
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root
Salut
je ne connais pas [encore] macOSX, mais je me débrouille en Linux. Tu entends quoi par "activer le compte root" ? Se logguer root ?
LaP
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
Salut
je ne connais pas [encore] macOSX, mais je me débrouille en
Linux. Tu entends quoi par "activer le compte root" ? Se logguer root ?
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root
Salut
je ne connais pas [encore] macOSX, mais je me débrouille en Linux. Tu entends quoi par "activer le compte root" ? Se logguer root ?
LaP
Patrick Stadelmann
In article <1gm8tci.16ky06oqczxmdN%, (Laurent Pertois) wrote:
Pierre-Alain Dorange wrote:
- se mfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer et où, au hasard les machins Vise :-/
Ceux qui utilisent l'installeur d'Apple peuvent exécuter des scripts lors du processus d'installation, scripts qui peuvent probablement (je n'ai pas regardé en détail s'il y a des protections à ce niveau) être utilisé pour installer des fichiers supplémentaires par rapport à ce qui est indiqué par l'installeur.
Patrick -- Patrick Stadelmann
In article <1gm8tci.16ky06oqczxmdN%laurent.pertois@alussinan.org>,
laurent.pertois@alussinan.org (Laurent Pertois) wrote:
- se mfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer
et où, au hasard les machins Vise :-/
Ceux qui utilisent l'installeur d'Apple peuvent exécuter des scripts
lors du processus d'installation, scripts qui peuvent probablement (je
n'ai pas regardé en détail s'il y a des protections à ce niveau) être
utilisé pour installer des fichiers supplémentaires par rapport à ce qui
est indiqué par l'installeur.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1gm8tci.16ky06oqczxmdN%, (Laurent Pertois) wrote:
Pierre-Alain Dorange wrote:
- se mfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer et où, au hasard les machins Vise :-/
Ceux qui utilisent l'installeur d'Apple peuvent exécuter des scripts lors du processus d'installation, scripts qui peuvent probablement (je n'ai pas regardé en détail s'il y a des protections à ce niveau) être utilisé pour installer des fichiers supplémentaires par rapport à ce qui est indiqué par l'installeur.
Patrick -- Patrick Stadelmann
Patrick Stadelmann
In article <417dfe0e$0$1976$, Laurent PERON wrote:
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root
Salut
je ne connais pas [encore] macOSX, mais je me débrouille en Linux. Tu entends quoi par "activer le compte root" ? Se logguer root ?
Sur Mac OS X, le compte "root" existe bien sûr mais est désactivé par défaut : on ne peut pas se logguer comme root. On peut exécuter des commandes avec les privilèges de root via la commande "sudo", mais c'est tout.
Patrick -- Patrick Stadelmann
In article <417dfe0e$0$1976$626a14ce@news.free.fr>,
Laurent PERON <laurent.nospam.peron@free.fr> wrote:
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
Salut
je ne connais pas [encore] macOSX, mais je me débrouille en
Linux. Tu entends quoi par "activer le compte root" ? Se logguer root ?
Sur Mac OS X, le compte "root" existe bien sûr mais est désactivé par
défaut : on ne peut pas se logguer comme root. On peut exécuter des
commandes avec les privilèges de root via la commande "sudo", mais c'est
tout.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <417dfe0e$0$1976$, Laurent PERON wrote:
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root
Salut
je ne connais pas [encore] macOSX, mais je me débrouille en Linux. Tu entends quoi par "activer le compte root" ? Se logguer root ?
Sur Mac OS X, le compte "root" existe bien sûr mais est désactivé par défaut : on ne peut pas se logguer comme root. On peut exécuter des commandes avec les privilèges de root via la commande "sudo", mais c'est tout.
Patrick -- Patrick Stadelmann
fra
Laurent Pertois wrote:
- se méfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer et où, au hasard les machins Vise :-/
- se méfier des installeurs qui demandent un mot de passe
Les pires étant ceux qui ne permettent pas de voir ce qui va s'installer et où, au hasard les machins Vise :-/
Ceux là n'ont jamais droit à mon mot de passe !
-- Fra
laurent.pertois
Patrick Stadelmann wrote:
Ceux qui utilisent l'installeur d'Apple peuvent exécuter des scripts lors du processus d'installation, scripts qui peuvent probablement (je n'ai pas regardé en détail s'il y a des protections à ce niveau) être utilisé pour installer des fichiers supplémentaires par rapport à ce qui est indiqué par l'installeur.
Bien vu, il faudrait fouiller ce qu'ils peuvent faire mais vu qu'ils sont aussi exécutés en tant que root, il y a de fortes chances que ça puisse le faire.
Mais en tous cas, on a plus de chances d'aller voir dedans que dans un Vise.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Ceux qui utilisent l'installeur d'Apple peuvent exécuter des scripts
lors du processus d'installation, scripts qui peuvent probablement (je
n'ai pas regardé en détail s'il y a des protections à ce niveau) être
utilisé pour installer des fichiers supplémentaires par rapport à ce qui
est indiqué par l'installeur.
Bien vu, il faudrait fouiller ce qu'ils peuvent faire mais vu qu'ils
sont aussi exécutés en tant que root, il y a de fortes chances que ça
puisse le faire.
Mais en tous cas, on a plus de chances d'aller voir dedans que dans un
Vise.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Ceux qui utilisent l'installeur d'Apple peuvent exécuter des scripts lors du processus d'installation, scripts qui peuvent probablement (je n'ai pas regardé en détail s'il y a des protections à ce niveau) être utilisé pour installer des fichiers supplémentaires par rapport à ce qui est indiqué par l'installeur.
Bien vu, il faudrait fouiller ce qu'ils peuvent faire mais vu qu'ils sont aussi exécutés en tant que root, il y a de fortes chances que ça puisse le faire.
Mais en tous cas, on a plus de chances d'aller voir dedans que dans un Vise.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.