Olivier Goldberg wrote:Il peut affecter ~/Applications
J'ai pas ce dossier. Ca doit être rare.
Olivier Goldberg <listes@ogoldberg.net> wrote:
Il peut affecter ~/Applications
J'ai pas ce dossier. Ca doit être rare.
Olivier Goldberg wrote:Il peut affecter ~/Applications
J'ai pas ce dossier. Ca doit être rare.
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Patrick Stadelmann wrote:Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Je suis déçu, et surpris de votre ton et le ton générale, blasé, de
cette enfilade de soi-disant utilisateurs chevronnés. C'est du genre
"Ouais ouais, quoi encore, déjà vu, et alors?..."
Vous semblez croire que tout le monde a votre faculté d'analyse. Or, il
suffir de jeter un coup d'oeil au catastrophe sécuritaire que c'est le
monde Windows, et au reflexes typiques chez les utilisateurs lambda pour
se rendre compte que ce n'est pas le cas. "Il fallait pas cliquer sur le
fichier attaché!" "Ah bon, pourquoi?"...
Pourquoi serait-ce mieux chez nous?
Eho, on est sur le Mac ici! L'ordi
de ceux "qui ne veulent pas mettre les mains sous le capot", remember?
"Une fenêtre du Finder en vue par liste et le tour est joué"
Désolé - bullshit. Va regarder comment la plupart des utilisateurs
travaillent. Le newbie travaille très souvent en mode icônes (c'est
jôooli), et le pro en mode colonnes - les deux peuvent très bien
dbl-cliquer une icône sans avoir lu les infos "type", surtout quand
l'icône est convaincant, et et le fichier mp3 se met à jouer. Je
schématise un peu, mais forcer tout le monde a basculer en mode liste
pour vérifier *chacun des fichiers qu'il reçoit* est une absurdité. Si
c'est ça la seule défense, on est mal.
Regardez les dates, le POC a été fait en deux jours à partir du jour du
premier post. Ce n'est qu'un POC, une esquisse. Disons le premier étape.
Maintenant on sait que ça peut marcher. Si l'on voulait vraiment faire
du mal, on pourrait sans doute pousser la technique plus loin.
Aujourd'hui, vu le nombre de fichiers mp3 en circulation sur les réseaux
parallels genre Gnutella/Hotline, et la culture iTunes/iPod bien en
place, on ne peut pas sous estimer le danger je crois.
Il éxiste au
moins cinq applis P2P sur Mac OSX, dont 4 gratuits. Sans compter
Hotline, Carracho etc. Plus que jamais. Même à l'époque Napster on
n'avait pas un tel choix. Et ce malgré les efforts de la RIAA et la
SACEM.
Une fois de plus, l'utilisateur lambda est celui qu'on vise quand on
écrit ce genre de virus, pas l'expert.
Le mp3 me paraît un vecteur très
interessant si on veut faire du mal. Bon, les experts peuvent s'amuser à
trier par type. En ce qui me concerne, je reste vigilant - et entretemps
j'ai signalé l'URL de la page à Intego, McAfee, Symantec et surtout
Apple.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Je suis déçu, et surpris de votre ton et le ton générale, blasé, de
cette enfilade de soi-disant utilisateurs chevronnés. C'est du genre
"Ouais ouais, quoi encore, déjà vu, et alors?..."
Vous semblez croire que tout le monde a votre faculté d'analyse. Or, il
suffir de jeter un coup d'oeil au catastrophe sécuritaire que c'est le
monde Windows, et au reflexes typiques chez les utilisateurs lambda pour
se rendre compte que ce n'est pas le cas. "Il fallait pas cliquer sur le
fichier attaché!" "Ah bon, pourquoi?"...
Pourquoi serait-ce mieux chez nous?
Eho, on est sur le Mac ici! L'ordi
de ceux "qui ne veulent pas mettre les mains sous le capot", remember?
"Une fenêtre du Finder en vue par liste et le tour est joué"
Désolé - bullshit. Va regarder comment la plupart des utilisateurs
travaillent. Le newbie travaille très souvent en mode icônes (c'est
jôooli), et le pro en mode colonnes - les deux peuvent très bien
dbl-cliquer une icône sans avoir lu les infos "type", surtout quand
l'icône est convaincant, et et le fichier mp3 se met à jouer. Je
schématise un peu, mais forcer tout le monde a basculer en mode liste
pour vérifier *chacun des fichiers qu'il reçoit* est une absurdité. Si
c'est ça la seule défense, on est mal.
Regardez les dates, le POC a été fait en deux jours à partir du jour du
premier post. Ce n'est qu'un POC, une esquisse. Disons le premier étape.
Maintenant on sait que ça peut marcher. Si l'on voulait vraiment faire
du mal, on pourrait sans doute pousser la technique plus loin.
Aujourd'hui, vu le nombre de fichiers mp3 en circulation sur les réseaux
parallels genre Gnutella/Hotline, et la culture iTunes/iPod bien en
place, on ne peut pas sous estimer le danger je crois.
Il éxiste au
moins cinq applis P2P sur Mac OSX, dont 4 gratuits. Sans compter
Hotline, Carracho etc. Plus que jamais. Même à l'époque Napster on
n'avait pas un tel choix. Et ce malgré les efforts de la RIAA et la
SACEM.
Une fois de plus, l'utilisateur lambda est celui qu'on vise quand on
écrit ce genre de virus, pas l'expert.
Le mp3 me paraît un vecteur très
interessant si on veut faire du mal. Bon, les experts peuvent s'amuser à
trier par type. En ce qui me concerne, je reste vigilant - et entretemps
j'ai signalé l'URL de la page à Intego, McAfee, Symantec et surtout
Apple.
Patrick Stadelmann wrote:Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Je suis déçu, et surpris de votre ton et le ton générale, blasé, de
cette enfilade de soi-disant utilisateurs chevronnés. C'est du genre
"Ouais ouais, quoi encore, déjà vu, et alors?..."
Vous semblez croire que tout le monde a votre faculté d'analyse. Or, il
suffir de jeter un coup d'oeil au catastrophe sécuritaire que c'est le
monde Windows, et au reflexes typiques chez les utilisateurs lambda pour
se rendre compte que ce n'est pas le cas. "Il fallait pas cliquer sur le
fichier attaché!" "Ah bon, pourquoi?"...
Pourquoi serait-ce mieux chez nous?
Eho, on est sur le Mac ici! L'ordi
de ceux "qui ne veulent pas mettre les mains sous le capot", remember?
"Une fenêtre du Finder en vue par liste et le tour est joué"
Désolé - bullshit. Va regarder comment la plupart des utilisateurs
travaillent. Le newbie travaille très souvent en mode icônes (c'est
jôooli), et le pro en mode colonnes - les deux peuvent très bien
dbl-cliquer une icône sans avoir lu les infos "type", surtout quand
l'icône est convaincant, et et le fichier mp3 se met à jouer. Je
schématise un peu, mais forcer tout le monde a basculer en mode liste
pour vérifier *chacun des fichiers qu'il reçoit* est une absurdité. Si
c'est ça la seule défense, on est mal.
Regardez les dates, le POC a été fait en deux jours à partir du jour du
premier post. Ce n'est qu'un POC, une esquisse. Disons le premier étape.
Maintenant on sait que ça peut marcher. Si l'on voulait vraiment faire
du mal, on pourrait sans doute pousser la technique plus loin.
Aujourd'hui, vu le nombre de fichiers mp3 en circulation sur les réseaux
parallels genre Gnutella/Hotline, et la culture iTunes/iPod bien en
place, on ne peut pas sous estimer le danger je crois.
Il éxiste au
moins cinq applis P2P sur Mac OSX, dont 4 gratuits. Sans compter
Hotline, Carracho etc. Plus que jamais. Même à l'époque Napster on
n'avait pas un tel choix. Et ce malgré les efforts de la RIAA et la
SACEM.
Une fois de plus, l'utilisateur lambda est celui qu'on vise quand on
écrit ce genre de virus, pas l'expert.
Le mp3 me paraît un vecteur très
interessant si on veut faire du mal. Bon, les experts peuvent s'amuser à
trier par type. En ce qui me concerne, je reste vigilant - et entretemps
j'ai signalé l'URL de la page à Intego, McAfee, Symantec et surtout
Apple.
C'est pas la même chose que ce qui expiqué au début, c'est juste une
application qui est nommé toto.mp3... La je suis d'accord que ça peut
induire en erreur (c'est un cheval de troie pas un virus).
Mais le coup expliqué au début du tag ID3 qui exécute du code quand on
joue le morceau dans iTunes, ça j'ai un peu de mal a l'avaler...
j'ai fait que survoler (meme pas honte) mais il m'a semblé que la
personne disait qu'il est possible de faire un mp3 valide, avec du code
executable dans un ID3. Le code n'etant appelé que si on double clic sur
le fichier, iTunes quant a lui lisant le mp3 comme si de rien était.
Je cite :If done properly (one way
that leaps to mind is to plug the viral code into the ID3 tag intended
to contain cover art, and write the .mp3 file with a JMP or BRA
instruction starting at the first byte of the file, targeted to jump
into the executable portion hiding in the ID3 tag) it would even be
playable from within an application (like if it were played by being put
on a playlist in an application, rather than double-clicked), though it
might seem to have a small glitch at the beginning due to the "corrupted
data block" of the JMP instruction.
Quand à la PoC, si j'ai bien compris, c'est exactement ce qu'elle fait.
C'est pas la même chose que ce qui expiqué au début, c'est juste une
application qui est nommé toto.mp3... La je suis d'accord que ça peut
induire en erreur (c'est un cheval de troie pas un virus).
Mais le coup expliqué au début du tag ID3 qui exécute du code quand on
joue le morceau dans iTunes, ça j'ai un peu de mal a l'avaler...
j'ai fait que survoler (meme pas honte) mais il m'a semblé que la
personne disait qu'il est possible de faire un mp3 valide, avec du code
executable dans un ID3. Le code n'etant appelé que si on double clic sur
le fichier, iTunes quant a lui lisant le mp3 comme si de rien était.
Je cite :
If done properly (one way
that leaps to mind is to plug the viral code into the ID3 tag intended
to contain cover art, and write the .mp3 file with a JMP or BRA
instruction starting at the first byte of the file, targeted to jump
into the executable portion hiding in the ID3 tag) it would even be
playable from within an application (like if it were played by being put
on a playlist in an application, rather than double-clicked), though it
might seem to have a small glitch at the beginning due to the "corrupted
data block" of the JMP instruction.
Quand à la PoC, si j'ai bien compris, c'est exactement ce qu'elle fait.
C'est pas la même chose que ce qui expiqué au début, c'est juste une
application qui est nommé toto.mp3... La je suis d'accord que ça peut
induire en erreur (c'est un cheval de troie pas un virus).
Mais le coup expliqué au début du tag ID3 qui exécute du code quand on
joue le morceau dans iTunes, ça j'ai un peu de mal a l'avaler...
j'ai fait que survoler (meme pas honte) mais il m'a semblé que la
personne disait qu'il est possible de faire un mp3 valide, avec du code
executable dans un ID3. Le code n'etant appelé que si on double clic sur
le fichier, iTunes quant a lui lisant le mp3 comme si de rien était.
Je cite :If done properly (one way
that leaps to mind is to plug the viral code into the ID3 tag intended
to contain cover art, and write the .mp3 file with a JMP or BRA
instruction starting at the first byte of the file, targeted to jump
into the executable portion hiding in the ID3 tag) it would even be
playable from within an application (like if it were played by being put
on a playlist in an application, rather than double-clicked), though it
might seem to have a small glitch at the beginning due to the "corrupted
data block" of the JMP instruction.
Quand à la PoC, si j'ai bien compris, c'est exactement ce qu'elle fait.
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3
/Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3
/Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3
/Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on
Mac OS X both ignore file types; they will open the file, taste it,
find valid ID3 information followed by an MPEG data stream, and happily
proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent
peut exécuter le code virale (enfin, je suppose).
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on
Mac OS X both ignore file types; they will open the file, taste it,
find valid ID3 information followed by an MPEG data stream, and happily
proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent
peut exécuter le code virale (enfin, je suppose).
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on
Mac OS X both ignore file types; they will open the file, taste it,
find valid ID3 information followed by an MPEG data stream, and happily
proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent
peut exécuter le code virale (enfin, je suppose).
si je comprends bien jusqu'au dernier post (avec son fichier de test!)
la méthode d'infection consiste en un double-clic sur un fichier en .mp3
qui serait en fait déclaré au système comme un *application* et qui
démarrerait donc froidement le virus (tout en lançant en plus iTunes
avec un son, pour ne pas se faire remarquer).
[...]
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
[...]
L'idéal serait d'avoir un script qu'on associerait à un dossier, par
exemple...
[...]
En plus il ne doit pas y avoir beaucoup de terminaisons à tester: en
gros les fichiers musicaux et image, et c'est tout...
si je comprends bien jusqu'au dernier post (avec son fichier de test!)
la méthode d'infection consiste en un double-clic sur un fichier en .mp3
qui serait en fait déclaré au système comme un *application* et qui
démarrerait donc froidement le virus (tout en lançant en plus iTunes
avec un son, pour ne pas se faire remarquer).
[...]
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
[...]
L'idéal serait d'avoir un script qu'on associerait à un dossier, par
exemple...
[...]
En plus il ne doit pas y avoir beaucoup de terminaisons à tester: en
gros les fichiers musicaux et image, et c'est tout...
si je comprends bien jusqu'au dernier post (avec son fichier de test!)
la méthode d'infection consiste en un double-clic sur un fichier en .mp3
qui serait en fait déclaré au système comme un *application* et qui
démarrerait donc froidement le virus (tout en lançant en plus iTunes
avec un son, pour ne pas se faire remarquer).
[...]
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
[...]
L'idéal serait d'avoir un script qu'on associerait à un dossier, par
exemple...
[...]
En plus il ne doit pas y avoir beaucoup de terminaisons à tester: en
gros les fichiers musicaux et image, et c'est tout...
Désolé pour le ton, ce n'était pas mon intention.
Mais il n'y a vraiment
rien de nouveau. Sur Hotline il y a plusieurs années on trouvait des PDF
qui étaient en fait des AppleScripts. En 1992, on se faisait des gags
entre collègues étudiants en mettant camouflant des sons sous la forme
d'un fichier texte...
Vous semblez croire que tout le monde a votre faculté d'analyse. Or, il
suffir de jeter un coup d'oeil au catastrophe sécuritaire que c'est le
monde Windows, et au reflexes typiques chez les utilisateurs lambda pour
se rendre compte que ce n'est pas le cas. "Il fallait pas cliquer sur le
fichier attaché!" "Ah bon, pourquoi?"...
Je ne nie pas cela. Je dis juste qu'ouvrir un fichier en se basant sur
son icône est dangereux.
"Une fenêtre du Finder en vue par liste et le tour est joué"
Oui, c'est un moyen sûr de savoir si un fichier qui prétend être un MP3
n'est pas en fait une application déguisée.
Chacun agit comme il veut, en fonction du risque qu'il estime courir.
AMHA il n'est pas nécessaire d'être parano et de tout vérifier, mais le
type que utilise Kazaa ou autre pour télécharger un MP3 et double-click
dessus les yeux fermés doit savoir qu'il court potentiellement un risque.
Maintenant on sait que ça peut marcher. Si l'on voulait vraiment faire
du mal, on pourrait sans doute pousser la technique plus loin.
On le savait déjà. Que ce ne soit pas le cas de tout le monde, c'est
bien possible, mais ça ne change rien à la question technique.
Aujourd'hui, vu le nombre de fichiers mp3 en circulation sur les réseaux
parallels genre Gnutella/Hotline, et la culture iTunes/iPod bien en
place, on ne peut pas sous estimer le danger je crois.
Je relativise l'aspect "nouveauté" de cette technique, je n'ai pas dit
qu'un tel virus ne serait pas efficace.
Il éxiste au
moins cinq applis P2P sur Mac OSX, dont 4 gratuits. Sans compter
Hotline, Carracho etc. Plus que jamais. Même à l'époque Napster on
n'avait pas un tel choix. Et ce malgré les efforts de la RIAA et la
SACEM.
Je ne vois pas le rapport.
Une fois de plus, l'utilisateur lambda est celui qu'on vise quand on
écrit ce genre de virus, pas l'expert.
Oui, mais l'utilisateur lamba qui utilise le P2P devrait se renseigner
un peu avant sur les risques potentiels.
Le mp3 me paraît un vecteur très
interessant si on veut faire du mal. Bon, les experts peuvent s'amuser à
trier par type. En ce qui me concerne, je reste vigilant - et entretemps
j'ai signalé l'URL de la page à Intego, McAfee, Symantec et surtout
Apple.
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Désolé pour le ton, ce n'était pas mon intention.
Mais il n'y a vraiment
rien de nouveau. Sur Hotline il y a plusieurs années on trouvait des PDF
qui étaient en fait des AppleScripts. En 1992, on se faisait des gags
entre collègues étudiants en mettant camouflant des sons sous la forme
d'un fichier texte...
Vous semblez croire que tout le monde a votre faculté d'analyse. Or, il
suffir de jeter un coup d'oeil au catastrophe sécuritaire que c'est le
monde Windows, et au reflexes typiques chez les utilisateurs lambda pour
se rendre compte que ce n'est pas le cas. "Il fallait pas cliquer sur le
fichier attaché!" "Ah bon, pourquoi?"...
Je ne nie pas cela. Je dis juste qu'ouvrir un fichier en se basant sur
son icône est dangereux.
"Une fenêtre du Finder en vue par liste et le tour est joué"
Oui, c'est un moyen sûr de savoir si un fichier qui prétend être un MP3
n'est pas en fait une application déguisée.
Chacun agit comme il veut, en fonction du risque qu'il estime courir.
AMHA il n'est pas nécessaire d'être parano et de tout vérifier, mais le
type que utilise Kazaa ou autre pour télécharger un MP3 et double-click
dessus les yeux fermés doit savoir qu'il court potentiellement un risque.
Maintenant on sait que ça peut marcher. Si l'on voulait vraiment faire
du mal, on pourrait sans doute pousser la technique plus loin.
On le savait déjà. Que ce ne soit pas le cas de tout le monde, c'est
bien possible, mais ça ne change rien à la question technique.
Aujourd'hui, vu le nombre de fichiers mp3 en circulation sur les réseaux
parallels genre Gnutella/Hotline, et la culture iTunes/iPod bien en
place, on ne peut pas sous estimer le danger je crois.
Je relativise l'aspect "nouveauté" de cette technique, je n'ai pas dit
qu'un tel virus ne serait pas efficace.
Il éxiste au
moins cinq applis P2P sur Mac OSX, dont 4 gratuits. Sans compter
Hotline, Carracho etc. Plus que jamais. Même à l'époque Napster on
n'avait pas un tel choix. Et ce malgré les efforts de la RIAA et la
SACEM.
Je ne vois pas le rapport.
Une fois de plus, l'utilisateur lambda est celui qu'on vise quand on
écrit ce genre de virus, pas l'expert.
Oui, mais l'utilisateur lamba qui utilise le P2P devrait se renseigner
un peu avant sur les risques potentiels.
Le mp3 me paraît un vecteur très
interessant si on veut faire du mal. Bon, les experts peuvent s'amuser à
trier par type. En ce qui me concerne, je reste vigilant - et entretemps
j'ai signalé l'URL de la page à Intego, McAfee, Symantec et surtout
Apple.
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Désolé pour le ton, ce n'était pas mon intention.
Mais il n'y a vraiment
rien de nouveau. Sur Hotline il y a plusieurs années on trouvait des PDF
qui étaient en fait des AppleScripts. En 1992, on se faisait des gags
entre collègues étudiants en mettant camouflant des sons sous la forme
d'un fichier texte...
Vous semblez croire que tout le monde a votre faculté d'analyse. Or, il
suffir de jeter un coup d'oeil au catastrophe sécuritaire que c'est le
monde Windows, et au reflexes typiques chez les utilisateurs lambda pour
se rendre compte que ce n'est pas le cas. "Il fallait pas cliquer sur le
fichier attaché!" "Ah bon, pourquoi?"...
Je ne nie pas cela. Je dis juste qu'ouvrir un fichier en se basant sur
son icône est dangereux.
"Une fenêtre du Finder en vue par liste et le tour est joué"
Oui, c'est un moyen sûr de savoir si un fichier qui prétend être un MP3
n'est pas en fait une application déguisée.
Chacun agit comme il veut, en fonction du risque qu'il estime courir.
AMHA il n'est pas nécessaire d'être parano et de tout vérifier, mais le
type que utilise Kazaa ou autre pour télécharger un MP3 et double-click
dessus les yeux fermés doit savoir qu'il court potentiellement un risque.
Maintenant on sait que ça peut marcher. Si l'on voulait vraiment faire
du mal, on pourrait sans doute pousser la technique plus loin.
On le savait déjà. Que ce ne soit pas le cas de tout le monde, c'est
bien possible, mais ça ne change rien à la question technique.
Aujourd'hui, vu le nombre de fichiers mp3 en circulation sur les réseaux
parallels genre Gnutella/Hotline, et la culture iTunes/iPod bien en
place, on ne peut pas sous estimer le danger je crois.
Je relativise l'aspect "nouveauté" de cette technique, je n'ai pas dit
qu'un tel virus ne serait pas efficace.
Il éxiste au
moins cinq applis P2P sur Mac OSX, dont 4 gratuits. Sans compter
Hotline, Carracho etc. Plus que jamais. Même à l'époque Napster on
n'avait pas un tel choix. Et ce malgré les efforts de la RIAA et la
SACEM.
Je ne vois pas le rapport.
Une fois de plus, l'utilisateur lambda est celui qu'on vise quand on
écrit ce genre de virus, pas l'expert.
Oui, mais l'utilisateur lamba qui utilise le P2P devrait se renseigner
un peu avant sur les risques potentiels.
Le mp3 me paraît un vecteur très
interessant si on veut faire du mal. Bon, les experts peuvent s'amuser à
trier par type. En ce qui me concerne, je reste vigilant - et entretemps
j'ai signalé l'URL de la page à Intego, McAfee, Symantec et surtout
Apple.
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Patrick Stadelmann wrote:Je ne nie pas cela. Je dis juste qu'ouvrir un fichier en se basant sur
son icône est dangereux.
Oui. Mais c'est culturellement Mac. J'ai l'habitude de faire un "ouvrir
avec", mais ce n'est pas le cas chez beaucoup de gens. Justement, avant
l'arrivée des extensions de fichier, c'était le coté "automagical" par
le biais des metadata qui faisait la force et la simplicité du Mac
auprès des utilisateurs lambda. Dbl-clic et hop! le Mac s'occupe du
reste.
Biensûr; encore faut-il connaître l'éxistence de la technique de
déguisement de fichiers, et avoir le reflexe de chercher.
Il serait bien qu'Apple en parle.
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Non - mais dans ce cas précis, à partir du moment où la technique
appli+mp3 est connue, il pourrait scanner le fichier et signaler une
anomalie avant d'executer l'appli lorsqu'il reconnaît qu'elle contient
du code mp3 ou ID3, non? Par exemple en proposant un dialogue genre :
"Attention : cette appli pourrait contenir un virus - que voulez vous
faire (analyser/refuser/executer).?
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Je ne nie pas cela. Je dis juste qu'ouvrir un fichier en se basant sur
son icône est dangereux.
Oui. Mais c'est culturellement Mac. J'ai l'habitude de faire un "ouvrir
avec", mais ce n'est pas le cas chez beaucoup de gens. Justement, avant
l'arrivée des extensions de fichier, c'était le coté "automagical" par
le biais des metadata qui faisait la force et la simplicité du Mac
auprès des utilisateurs lambda. Dbl-clic et hop! le Mac s'occupe du
reste.
Biensûr; encore faut-il connaître l'éxistence de la technique de
déguisement de fichiers, et avoir le reflexe de chercher.
Il serait bien qu'Apple en parle.
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Non - mais dans ce cas précis, à partir du moment où la technique
appli+mp3 est connue, il pourrait scanner le fichier et signaler une
anomalie avant d'executer l'appli lorsqu'il reconnaît qu'elle contient
du code mp3 ou ID3, non? Par exemple en proposant un dialogue genre :
"Attention : cette appli pourrait contenir un virus - que voulez vous
faire (analyser/refuser/executer).?
Patrick Stadelmann wrote:Je ne nie pas cela. Je dis juste qu'ouvrir un fichier en se basant sur
son icône est dangereux.
Oui. Mais c'est culturellement Mac. J'ai l'habitude de faire un "ouvrir
avec", mais ce n'est pas le cas chez beaucoup de gens. Justement, avant
l'arrivée des extensions de fichier, c'était le coté "automagical" par
le biais des metadata qui faisait la force et la simplicité du Mac
auprès des utilisateurs lambda. Dbl-clic et hop! le Mac s'occupe du
reste.
Biensûr; encore faut-il connaître l'éxistence de la technique de
déguisement de fichiers, et avoir le reflexe de chercher.
Il serait bien qu'Apple en parle.
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Non - mais dans ce cas précis, à partir du moment où la technique
appli+mp3 est connue, il pourrait scanner le fichier et signaler une
anomalie avant d'executer l'appli lorsqu'il reconnaît qu'elle contient
du code mp3 ou ID3, non? Par exemple en proposant un dialogue genre :
"Attention : cette appli pourrait contenir un virus - que voulez vous
faire (analyser/refuser/executer).?
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Non - mais dans ce cas précis, à partir du moment où la technique
appli+mp3 est connue, il pourrait scanner le fichier et signaler une
anomalie avant d'executer l'appli lorsqu'il reconnaît qu'elle contient
du code mp3 ou ID3, non? Par exemple en proposant un dialogue genre :
"Attention : cette appli pourrait contenir un virus - que voulez vous
faire (analyser/refuser/executer).?
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Non - mais dans ce cas précis, à partir du moment où la technique
appli+mp3 est connue, il pourrait scanner le fichier et signaler une
anomalie avant d'executer l'appli lorsqu'il reconnaît qu'elle contient
du code mp3 ou ID3, non? Par exemple en proposant un dialogue genre :
"Attention : cette appli pourrait contenir un virus - que voulez vous
faire (analyser/refuser/executer).?
Tu voudrais que Mac OS X analyse l'icône des applications (car je le
répète pour qu'il puisse faire des dégâts, le MP3 doit être en fait une
application) et détermine tout seul si c'est bien l'icône d'une
application ou si c'est celui d'un document ? Pas évident.
Non - mais dans ce cas précis, à partir du moment où la technique
appli+mp3 est connue, il pourrait scanner le fichier et signaler une
anomalie avant d'executer l'appli lorsqu'il reconnaît qu'elle contient
du code mp3 ou ID3, non? Par exemple en proposant un dialogue genre :
"Attention : cette appli pourrait contenir un virus - que voulez vous
faire (analyser/refuser/executer).?