Vieux malware : évitez une mauvaise surprise après le 9 juillet 2012 !

Vieux malware : évitez une mauvaise surprise après le 9 juillet 2012 !

De “vieux” malware ayant touché le Mac il y a plusieurs années risquent de refaire parler d’eux le 9 juillet prochain, en empêchant des “porteurs sains” de se connecter à internet à partir de cette date. Pour éviter une mauvaise surprise, nous vous recommandons de prendre certaines précautions, d’autant que cela ne vous prendra que 5 minutes !

Quels sont ces “vieux” malware ?

Il s’agit de modificateurs de DNS qui, dans leur version Mac pouvaient prendre les noms de… DNSChanger, RSPlug, Puper, etc. Quel que soit leur nom, ces changeurs de DNS modifient vos réglages réseau de manière à vous diriger vers d’autres sites que ceux auxquels vous pensez vous connecter.

Rappelons qu’un serveur DNS “traduit” une adresse telle que http://www.amazon.fr en son équivalent adresse IP numérique, par exemple : 87.238.83.167 . Si vous copiez & collez cette IP dans la barre d’adresse de votre navigateur, vous verrez que vous aboutissez sur le site d’Amazon France. Un serveur DNS fait cette opération à chaque fois que vous tapez un nom de site, beaucoup plus facile à retenir, comme vous l’aurez remarqué : il traduit ce nom de domaine en adresse IP correspondant à l’adresse du serveur sur lequel est hébergé le site que vous avez demandé. Comme votre répertoire téléphonique, en somme, en un peu plus gros…

Un modificateur de DNS remplace l’adresse de votre serveur DNS par celle d’un serveur DNS qu’il contrôle et vous dirige vers des sites frauduleux –sites de phishing ou autres… Dans le cas d’un site de phishing, copie plus ou moins conforme du site authentique, vous pourriez entrer vos identifiants de connexion, qui seraient immédiatement capturés afin d’être utilisés sur le site authentique, à vos dépens…

Dans le cas présent, ça n’est pas une redirection frauduleuse qui serait à craindre mais l’impossibilité d’accéder à tout site web, comme nous allons le voir.

Pourquoi le 9 juillet 2012 ?

Les malfaiteurs à l’origine de ces malware ont été arrêtes fin 2011, et le FBI a pu mettre la main sur les serveurs de DNS frauduleux. On pourrait penser que ces serveurs ont été mis hors service, mais ce n’est pas ce qui a été fait.

Ces malware ayant infecté des centaines de milliers d’ordinateurs, aussi bien Mac que PC, les mettre hors-service aurait empêché tous les utilisateurs contaminés de se connecter au web –les serveurs DNS ne répondant plus.

Sur décision de justice, ils ont donc été nettoyés et sont depuis utilisés comme des serveurs DNS légitimes –qu’ils sont devenus, contrôlés par le FBI.

Mais, sauf revirement, il n’est pas question de maintenir ces serveurs au frais du contribuable américain ad vitam æternam… Il est donc prévu qu’il soient mis hors-service le 9 juillet prochain, comme vous pourrez le lire sur le site du FBI (texte sous le schéma).

Comment éviter une coupure toujours possible ?

Il existe différents moyens de vérifier si vous avez été touchés ou non. Comme toujours, allons au plus simple quand le plus simple suffit…

  • Connectez vous au site dns-ok.us.dns-test-ok Une vérification de votre configuration DNS sera effectuée automatiquement à la connexion, sans autre intervention de votre part.
    Si tout va bien vous verrez du vert, sinon du rouge… Cependant, comme cela est précisé sur la page, vous pouvez dans certains cas être infecté et obtenir un test “ok”, notamment en cas de redirection DNS par votre fournisseur d’accès à internet. Pour plus de sécurité, donc (ou a fortiori si le test a renvoyé une alerte…), passez à l’étape suivante.
  • Téléchargez le “DNSChanger Removal Tool” (gratuit) sur dnschanger.com. Installez-le et lancez le scan. Si tout va bien, vous obtiendrez le résultat suivant. Dans le cas contraire, un message vous avertissant que tel malware a été détecté et supprimé.

dnschanger-suppressionSi vous envisagez d’installer un antivirus sur votre Mac, plutôt que ceux figurant sur le site dnschanger.com, nous vous conseillons de choisir un de ceux que nous mentionnons ici.