Flashback : le malware qui tire la sonnette d’alarme

Flashback : le malware qui tire la sonnette d’alarme

Comme nous l’avons vu dans notre article “Avez-vous besoin d’un antivirus sur Mac”, alors que les virus sont quasi-inexistants sous Mac OS X, les chevaux de Troie et autres formes de malware sont devenus un problème préoccupant pour les utilisateurs Mac, jusqu’ici peu habitués à ce genre de soucis… Ils ne sont certainement pas à prendre à la légère, car les risques auxquels ils peuvent vous exposer vont bien au delà de la réinstallation de votre système…

Nous avons dédié cet article à Flashback, car ce malware a évolué sans cesse, changé de mode opératoire, et avait, selon plusieurs sources, infecté plus de 500 000 Macs début avril 2012.

Ses premières versions étaient un cheval de Troie, comme nous le verrons dans la suite de cet article, mais les plus récentes ne se cachent pas derrière un faux installeur quelconque, mais utilisent une faille de Java et peuvent se contracter sans intervention de l’utilisateur (ce qui ne correspond plus à la définition d’un cheval de Troie).

Flashback est un malware sophistiqué…

Flashback a pris différentes formes et utilisé différents modes opératoires au fil des mois, montrant la persévérance et le “savoir-faire” du ou des pirates. Nous avons retracé l’essentiel de son historique, sans entrer dans trop de détails techniques :

Septembre 2011 : Intego annonce la découverte de ce cheval de Troie, qui prend la forme d’un faux installeur de Flash Player (=> toujours le télécharger depuis le site d’Adobe) et qu’ils ont nommé OSX/Flashback.A

On s’aperçoit que ce malware est plutôt évolué : il détecte et désactive des logiciels de sécurité (comme Little Snitch) avant d’installer du code auto-exécutable et un chargeur dynamique, qui injectent ensuite du code dans les applications que vous lancez. Si cela n’est pas totalement clair pour vous, retenez seulement que c’est très dangereux : Flashback peut alors se connecter à un serveur distant pour lui transmettre les informations qu’il capture, puis il élimine les traces les plus visibles de son passage en effaçant l’installeur.

Octobre 2011 : F-Secure signale une variante de Flashback, qu’ils nomment OSX/Flashback.C et qui désactive le processus de mise à jour de XProtect (XProtectUpdater), composant anti-malware intégré à Mac OS X depuis la version 10.6. Manifestement les pirates derrière ce malware sont déterminés et savent s’adapter.

Février 2012 : Intego signale une nouvelle variante de Flashback, qui cette fois-ci utilise une faille de Java (que nous vous recommandons de désactiver dans vos navigateurs, même si ces failles sont comblées). A cette date, seules les versions “périmées” de Java étaient concernées (antérieures à 1.6.0_29). [MàJ : des failles ont depuis été trouvées –et exploitées dans cette version, et Apple a publié des mises à jour début avril 2012.]

Pour connaître la version de Java installée sur votre Mac, rendez-vous dans /Applications/Utilitaires/Préférences Java et bien sûr, Menu Pomme > Mise à jour de logiciels pour effectuer toute mise à jour éventuelle…

Mars 2012 : Intego annonce une nouvelle variante de Flashback. Basée sur la précédente, Flashback.G, Flahsback.N peut utiliser deux méthodes pour infecter un Mac :

Il essaie d’abord d’exploiter une des failles de sécurité présentes dans certaines versions de Java. S’il y parvient, vous êtes contaminé, sans autre action de votre part.

S’il n’y parvient pas, parce que Flashback Mac - Faux certificatvotre version de Java est à jour, il affiche un faux certificat Apple, vous demandant l’accès à votre Mac. Notez bien que ce certificat est “auto-signé”, c’est à dire non vérifié par une autorité de certification type (Thawte, VeriSign, Entrust…), ce qui devrait éveiller les soupçons, mais beaucoup d’utilisateurs ne comprennent pas la signification du message et cliquent sur continuer. Flashback est alors immédiatement installé, sans demande de mot de passe, contrairement à ce qui se produisait avec les versions précédentes.

Une fausse notification de mise à jour de logiciels a également été signalée par Intego.

Avril 2012 : une nouvelle variante de Flashback a été signalée par l’éditeur F-Secure. Cette nouvelle mouture est encore plus problématique que les précédentes car elle utilise une faille de sécurité de Java qui n’a pas encore été “patchée” (corrigée), ce qui signifie que même si vous avez la dernière version en date de Java pour Mac installée, vous êtes vulnérable. Nous vous recommandons donc vivement de désactiver Java dans vos navigateurs. Vous pourrez éventuellement le réactiver occasionnellement si un site de confiance le requiert, ce qui devrait être très rare (en dehors des sites de jeux).

[Mise à jour – 3 avril 2012] : Apple met à disposition une mise à jour  de Java (1.6.0_31), corrigeant la faille de sécurité mentionnée précédemment, longtemps après qu’Oracle l’ait repérée et patchée. Nous espérons qu’Apple ait pris la mesure des risques réels qui pèsent sur Mac OS X et devienne plus réactif. Cependant, compte tenu de la vulnérabilité de Java, nous vous conseillons toujours de le désactiver dans vos navigateurs.

Quels sont les symptômes d’une infection par Flashback ?

Le plus souvent, il n’y en a aucun… La stratégie de de ce type de malware est d’être le plus discret possible : il n’est pas destiné à vous effrayer mais à prendre le contrôle de votre Mac à votre insu… Très peu de chances que les symptômes provoqués soient voulus…

On a pu signaler (rarement) :

  • L’apparition de codes alpha-numériques (type ME6, N35 ou autre) dans les fenêtres ou menus du Finder. Probablement une variante défectueuse…
  • Le plantage de navigateurs ou applications réseaux, notamment sur des Macs à processeurs PowerPC. Rien qui évoque à coup sûr un malware…

On peut toutefois rechercher les fichiers suivants (le signe “~” représentant votre dossier utilisateur) :

[Mise-à-jour] : des outils de détection / suppression ont été mis en ligne depuis l’écriture de cet article, dont celui d’Apple et celui de F-Secure, ce qui ne vous empêche pas d’utiliser ces commandes par acquit de conscience… L’outil de “suppression” d’Apple fait bien sûr office d’outil de détection : un message apparaît au moment de son installation,  si Flashback a été détecté.

~/Bibliothèque/LaunchAgents/com.apple.SystemUI.plist
~/Bibliothèque/Preferences/perflib
~/Bibliothèque/Preferences/Preferences.dylib
~/Bibliothèque/Logs/swlog

Sous Mac OS 10.7, le dossier Bibliothèque de votre compte utilisateur est caché. Pour l’afficher, cliquez sur le menu “Aller” du Finder et appuyez sur la touche Alt.

Si vous voulez afficher la Bibliothèque de votre dossier utilisateur en permanence, lancez Terminal (/Applications/Terminal) et tapez chflags nohidden ~/Library puis validez.

Pour la variante OSX/Flashback.I, F-Secure suggère deux commandes que vous pouvez exéctuer depuis le Terminal :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment (validez par la touche Entrée)

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES (validez)

auxquelles on peut ajouter :

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment (validez) et

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment (validez)

Toutes ces commandes doivent retourner un message se terminant par “does not exist”. Si c’est le cas, vous n’êtes a priori pas infecté par cette variante, mais notez bien que Flashback évolue…

Si vous aviez été infecté…

[Mise-à-jour] Comme nous l’avons vu précédemment, des outils de détection / suppression ont été mis en ligne depuis la rédaction initiale de cet article dont celui d’Apple (pour les utilisateurs n’ayant pas installé Java sous Lion) ou celui de F-Secure.

Plusieurs éditeurs de logiciels, dont F-Secure et d’autres sources ont mis en ligne une procédure de désinstallation manuelle de Flashback. Celle-ci nécessite que vous soyez relativement à l’aise avec le Terminal.

Compte tenu du nombre de variantes de Flashback, on pourrait être “tenté” par un effacement total du disque (après sauvegarde des données…) et une réinstallation totale du système, sans utilisation de l’Assistant migration, afin de ne récupérer que les fichiers dont nous sommes absolument sûrs. D’où l’intérêt d’avoir plusieurs jeux de clones de votre système : si le dernier est infecté, un des précédents peut ne pas l’être, auquel cas la résolution du problème est nettement plus rapide.

Ne récupérez de votre Bibliothèque utilisateur que les éléments dont vous êtes sûrs…

Pour info, tout ce qui concerne Mail, Carnet d’adresses et iCal,  se trouve dans :

~/Bibliothèque/Mail/

~/Bibliothèque/Preferences/com.apple.mail.plist

~/Bibliothèque/Application Support/AddressBook/

~/Bibliothèque/Calendars/

(le signe “~” représente votre dossier utilisateur)

Comment vous protéger ?

Nous sommes malheureusement obligés de nous répéter sur plusieurs points…

  • Désactivez Java dans vos navigateurs et ne l’activez éventuellement que sur de rares sites de confiance qui le le requièrent. Java n’est pas installé par défaut dans Mac OS 10.7, mais il est possible que vous l’ayez installé vous-même et l’ayez oublié… Notez que Java et JavaScript sont deux choses bien distinctes. Vous n’avez pas à désactiver JavaScript, qui est nécessaire à l’affichage normal d’un très grand nombre de pages web et utilisé pour de nombreuses fonctionnalités.
  • Méfiez-vous des avis de mises-à-jour qui apparaissent lors de votre navigation et ne les téléchargez que depuis des sources sûres, telles que le site d’Adobe ou via le menu Pomme > Mise à jour de logiciels.
  • Réglez la fréquence de recherche de mises à jour sur “Tous les jours” dans Préférences Système > Mise à jour de logiciels.
  • Ne faites pas confiance à un certificat auto-signé (voir capture ci-dessus). Apple n’émettra jamais ce type de certificat ! Notez que tous les certificats auto-signés ou périmés n’émanent pas forcément de sources malveillantes, mais ne les acceptez que si vous savez vraiment ce que vous faites.
  • Si vous ne comprenez pas un message, ne validez pas “à l’aveugle”. Faites une recherche sur Google ou sur votre moteur préféré, demandez conseil sur un forum ou auprès de l’assistance Apple, ou ignorez-le !
  • Utilisez un compte Standard pour votre usage quotidien et un compte Administrateur uniquement lorsque cela est nécessaire. Comme nous l’expliquons dans cet article, vous pourrez vous authentifier comme administrateur depuis votre compte Standard et ne serez que rarement obligé de passer dans le compte Administrateur.
  • Un antivirus, même si nous considérons de moins en moins qu’il est inutile sous Mac OS X, a ses limites : il ne pourra vous protéger que d’un malware identifié et de nouvelles variantes peuvent apparaître à tout moment.  Si vous décidez d’installer un antivirus, nous vous conseillons de le choisir parmi les trois que nous vous suggérons à la fin de notre article “Un antivirus sur Mac ?“.

Si vous suivez ces recommandations, vous réduirez réellement les risques d’être infecté, que ce soit par Flashback ou un autre malware. Mais ce qui est sûr, c’est que l’on ne peut plus dire “Je ne risque rien, je suis sur Mac !”, ni même “Je suis sur Mac et j’ai un antivirus !”. N’en déduisez surtout pas que vous devez changer de système d’exploitation ! L’objectif de ce site est que vous puissiez continuer à utiliser ce beau système qu’est Mac OS X avec le maximum de sécurité.

Nous ne pouvons pas terminer cet article sans vous conseiller encore une fois de faire des sauvegardes régulières de votre système, idéalement des sauvegardes sur disque externe de votre système entier, associées à une sauvegarde en ligne de votre dossier utilisateur (ou au moins une partie).