Un antivirus sur Mac ?

Contrairement à une idée largement répandue et savamment entretenue par les publicités Apple, macOS n'est pas totalement à l'abri des virus et certainement pas à l'abri de toute agression, comme nous allons le voir.

Sans être alarmiste, dire qu'un antivirus est inutile sur Mac, comme on le lit et l'entend souvent, serait aller un peu vite. Il est important de comprendre que :

  • les virus ne sont qu'une sous-catégorie de malware (programme malveillant) susceptible d'infecter nos Macs.
  • un bon “antivirus” ne se limite pas à la détection des virus au sens strict, mais à toute forme de malware (voir nos suggestions d'antivirus en fin d'article).

Virus, vers, chevaux de Troie & spyware sur Mac

Le mot “virus” est souvent employé abusivement comme terme générique. Le terme générique approprié pour désigner un programme ou fichier malveillant est “malware” (pour malicious software).

Un malware peut être un virus, un ver, un cheval de Troie, un spyware, un ransomware, tout programme destiné à infecter vos applications, vos fichiers système ou personnels. Les “virus” ne sont pas nécessairement les plus dangereux : un programme destiné à détourner vos informations personnelles, identifiants, mots-de-passe, peut vous faire beaucoup plus de tort, d'autant plus s'il passe inaperçu parce que votre Mac continue à fonctionner normalement, sans le moindre symptôme. Le rançonneur Keranger, par exemple, découvert début mars 2016, attend (activement) 3 jours avant de se manifester. Deux autres rançonneurs affectant les réseaux ont beaucoup fait parler d'eux un an plus tard : WannaCry en mai 2017 et Petya le mois suivant.

Des virus sur Mac ?

La réponse varie selon qu'on parle de virus au sens strict ou que l'on inclue les vers ou tout autre malware. La différence entre virus et ver est un peu subtile pour les non-spécialistes et pas vraiment utile en pratique. Sans compter que tous les spécialistes ne s'accordent pas sur les définitions…

Pour information donc, on admet généralement qu'un  virus est un malware qui a la faculté de se répliquer et de se propager en utilisant une application : c'est le lancement de l'application qui lui permet d'être copié et de se propager. En revanche, un ver se propage de manière “autonome”, même si une application peut servir de “canal”.

On peut citer au moins deux exemples de vers ayant affecté Mac OS X : OSX/Leap-A, qui se propageait via iChat (devenu Messages depuis Mountain Lion) et OSX/Inqtana-A, qui se propageait en exploitant une vulnérabilité bluetooth. Ces deux failles ont été corrigées depuis longtemps par Apple, mais ces exemples montrent clairement que macOS n'est pas à l'abri de telles menaces, même si le risque est pour l'instant faible comparativement à d'autres systèmes d'exploitation. Le fait qu'il n'y ait pas, à ce jour, de virus (au sens strict) en circulation affectant le Mac, ne signifie pas qu'il n'y en aura jamais et ce d'autant plus que la part de marché de macOS a sensiblement augmenté, ces dernières années.

D'autre part, comme nous l'avons évoqué plus haut, il existe d'autres types de malware comme les chevaux de Troie, qui eux, ne sont pas si rares et peuvent représenter un risque majeur.

Qu'est-ce qu'un cheval de Troie ?

Les chevaux de Troie tirent leur nom de la mythologie grecque, selon laquelle la ville de Troie aurait été envahie par des soldats cachés dans un gigantesque cheval de bois. Un cheval de Troie informatique est un programme d'apparence légitime, parfois même censé assurer votre sécurité, mais contenant du code destiné à effectuer des actions à votre insu. Cela peut aller du détournement d'informations personnelles, dont identifiants, mots-de-passe, etc., à la prise de contrôle de votre Mac, via l'installation d'une porte dérobée (back-door).

Parmi les chevaux de Troie les plus connus ciblant macOS, on peut citer :

Mac Defender (autrement appelé Mac Guard, Mac Protector, Mac Security, Mac Shield…), découvert en mai 2011. La technique utilisée est classique : un message vous fait croire que des virus ont été détectés sur votre Mac, vous envoie sur un site commercialisant un faux antivirus, sur lequel vous êtes invité à télécharger leur programme. Si vous installez ce prétendu antivirus, votre Mac se comporte comme s'il était vraiment infecté, générant des messages d'alerte, etc. Vous êtes alors incité à acheter le programme, qui ne fait que régler les problèmes qu'il a lui-même créés. Mais le risque ne se limite pas à l'achat d'un logiciel inutile : une utilisation frauduleuse des informations bancaires était également en cours quand les malfaiteurs ont été arrêtés (tous ?).

RSPlug : initialement, ce cheval de Troie était colporté par un soi-disant codec nécessaire pour visionner des vidéos pornographiques, mais il a été identifié dans d'autres types de programmes, notamment des jeux gratuits. RSPlug modifie vos réglages DNS afin de vous envoyer sur des sites malveillants, notamment des sites de phishing (faux sites bancaires, faux eBay ou autre).

Revir/Imuler : découvert en septembre Finder - Afficher les extensions de fichier2011, Revir.A est un cheval de Troie déguisé en fichier .pdf. S'il est ouvert, il installe Imuler.A, une porte dérobée (backdoor), qui se connecte à un serveur distant, auquel il peut envoyer des fichiers et/ou captures d'écran du système infecté. Revir/Imuler n'a pas été localisé “in the wild” (= dans la nature, en circulation), mais une nouvelle version de Revir/Imuler a été signalée le 15 mars 2012 par l'éditeur Intego. Cette fois-ci, le déguisement n'est plus un fichier .PDF, mais une image .JPG . Le risque est  pour l'instant jugé faible, mais il est recommandé d'afficher toutes les extensions de fichiers dans le Finder, en cochant cette option dans Finder > Préférences > Options avancées, si ce n'est déjà fait. Cela permettra d'identifier une application (.app) dissimulée.

Flashback : c'est sans doute la première fois qu'un malware se montre aussi menaçant pour les utilisateurs Mac. Apparu en septembre 2011, Flashback était un cheval de Troie, qui prenait l'apparence d'un programme d'installation de Flash Player, désactivait certaines sécurités, injectait du code dans des applications actives et installait une porte dérobée pour se connecter à un serveur malveillant. La menace a d'abord été jugée “modérée”, mais plusieurs variantes de Flashback ont été détectées depuis, utilisant des failles de Java et des techniques d'installation de plus en plus sophistiquées (fausse alerte de mise-à-jour, faux certificat Apple, …) et finalement, pouvait être contracté par la simple visite de centaines de sites, sans action de l'utilisateur. Au total, la menace “modérée” aurait tout de même concerné des centaines de milliers de Macs… Reportez-vous à notre article dédié à Flashback pour plus de détails.

Pour limiter les risques dus à sa vulnérabilité chronique, les versions récentes de macOS n'incluent plus Java par défaut. S'il est installé sur votre Mac, nous vous recommandons vivement de le désactiver dans vos navigateurs (ne confondez pas avec JavaScript !)et de ne l'activer qu'à la demande (ce qui sera plutôt rare, voire ne se produira jamais, en fonction des sites que vous visitez).

Safari : Menu Safari > Préférences > Sécurité. Dans les versions antérieures à 6.1, la case “Autoriser Java” doit être décochée. A partir de la version 6.1, vous pouvez n'autoriser Java que pour certains sites de confiance.
Firefox : Menu Outils > Modules complémentaires > Plugins

Chrome : tapez chrome://plugins/ dans la barre d'adresses et validez. Désactivez tout ce qui contient Java.

Vous pouvez également désactiver Java dans votre navigateur principal et avoir un navigateur dans lequel Java est activé mais que vous n'utilisez que sur des sites de confiance sur lequel il est requis…

Si vous devez installer Java, ne le téléchargez que depuis le site officiel !

“Mac a un antivirus intégré !”

C'est ce qu'on lit parfois, sur des forums notamment, mais c'est faux. Mac OS X inclut, depuis sa version 10.5 (Leopard) une fonctionnalité de “mise en quarantaine” de fichiers potentiellement dangereux, téléchargés depuis des applications qui supportent cette fonctionnalité, telles que Safari, Mail ou iChat (Messages), par exemple.

avertissement_securiteQuand vous essayez d'ouvrir une application téléchargée via ces applications compatibles, vous recevez un avertissement du type “Exemple.app est une application provenant d'un téléchargement depuis Internet. Voulez-vous vraiment l'ouvrir ?”.

C'est ce qu'Apple entend par “Les fichiers que vous téléchargez via Safari, iChat ou Mail sont vérifiés à l’ouverture à des fins de sécurité.”, mais cette phrase peut largement prêter à confusion si l'on ne lit pas attentivement la suite du document. Même si elle a le mérite d'exister, il s'agit tout de même d'une fonctionnalité de protection très basique. Personne ne s'émerveille de ce que Windows prévienne qu'un .exe est un fichier exécutable qui “risque d'endommager votre ordinateur”.

De plus, il est important de noter que la fonctionnalité de mise en quarantaine ne fonctionne que pour les téléchargements (et, encore une fois, à l'aide d'une application compatible). Pour toute autre application, ou si vous copiez des fichiers depuis un support externe (disque, clé USB ou autre), ils échapperont au contrôle (sauf s'ils ont déjà été “flaggés” par un autre Mac ET que le support depuis lequel vous les transférez respecte les métadonnées de macOS). A moins que vous ne soyez à 100% certain de la “propreté” du support externe, il est toujours prudent d'effectuer un scan à l'aide d'un bon antivirus (voir plus bas).

 

Depuis Snow Leopard (10.6), Apple a ajouté une fonctionnalité supplémentaire nommée “XProtect“: macOS détecte maintenant un certain nombre de malware connus et répertoriés dans sa base de données, mise à jour périodiquement mais souvent avec plusieurs semaines de retard, plus qu'il n'en faut pour être infecté si l'on a pas d'autre protection ! Pour ceux que cela intéresse, cette liste de définitions est située dans le fichier :

/Système/Bibliothèque/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist

Depuis le Finder, menu Aller > Aller au Dossier > Copier-Coller ce chemin.

Si vous essayez d'ouvrir un des fichiers répertoriés dans cette liste, vous obtenez un message du type :

Alerte Virus Mac - XProtect

Gardez à l'esprit que certaines applications –notamment des applications peer-to-peer mais pas seulement, peuvent ne pas supporter la fonctionnalité de mise en quarantaine. Testez éventuellement l'application en téléchargeant un fichier de source sure. Si vous n'obtenez pas d'avertissement que ce fichier provient d'un téléchargement internet, c'est que l'application que vous avez utilisée pour le télécharger ne supporte pas la fonctionnalité de quarantaine.

Alors… ai-je besoin d'un antivirus pour mon Mac ?

Il y a quelques années, nous aurions répondu que, si vous preniez soin de maintenir votre système à jour, ne téléchargiez que depuis des sources sûres et vous sentiez assez “averti” pour déjouer des pièges qui étaient jusqu'ici assez grossiers, vous n'aviez probablement pas besoin d'un antivirus sur votre Mac. Nous avons malheureusement été amenés à changer d'avis.

Pourquoi utiliser un antivirus sur Mac

  • Comme nous l'avons vu, bien que macOS soit bien moins exposé que Windows, il n'est en aucun cas immunisé contre les malware de toute sorte. Il est plus que probable que des malware ne nécessitant aucune action de l'utilisateur (cf. Flashback) réapparaissent, et ce d'autant plus que la part de marché du Mac dans le monde a beaucoup augmenté ces dernières années. Il commence clairement à intéresser les cyber-criminels.
  • La sécurité de Windows a été nettement renforcée et la plupart de ses utilisateurs sont conscients des risques et se protègent. Cela rend la tâche des agresseurs plus difficile et ils peut devenir “rentable” de s'attaquer à une cible bien plus petite mais qui n'est pas sensibilisée aux problèmes de sécurité et ne se protège pas…
  • On a vu que des variantes de Flahsback étaient codées pour ne pas s'installer sur des Macs protégés, afin de ne pas être découverts et donc de pouvoir plus facilement se répandre sans faire trop de bruit. Cette stratégie sera à coup sûr ré-utilisée.
  • La fonctionnalité de mise en quarantaine intégrée à macOS est bienvenue mais n'est en aucun cas assimilable à un antivirus. D'autre part, on a vu qu'Apple peut être lent à diffuser des mises à jour (plus de 3 semaines après son identification par Intego dans le cas de Mac Defender). De même, Flashback et ses variantes n'ont été intégrées à “XProtect” que plusieurs semaines après leur identification…
  • Un antivirus nous permet de vérifier qu'un fichier est “propre” avant de le transmettre à un utilisateur Windows.
  • Contrairement à ce qu'on peut lire trop souvent sur des forums Mac, il n'est pas nécessaire d'être un parfait “crétin” pour être dupé par un programme malveillant : tout le monde n'est pas né avec un ordinateur dans les mains et on peut être un utilisateur régulier d'internet sans pour cela être en mesure d'en déjouer tous les pièges. On voit même des utilisateurs avertis faire de “stupides” erreurs de sécurité, par fatigue et/ou empressement.

Nos suggestions d'antivirus pour Mac

Il existe maintenant de nombreux antivirus pour Mac. Très peu sont à la fois efficaces, simples d'utilisation et peu gourmands en ressources. Nous en avons retenu deux :

  1. Mac Internet Security : c'est l'antivirus de référence pour Mac et celui que nous utilisons. Edité par Intego, seul éditeur spécialisé dans la sécurité sous macOS, il regroupe l'antivirus VirusBarrier et NetBarrier, un firewall bi-directionnel, c'est à dire contrôlant les connexions entrantes et sortantes, alors que le firewall de Mac OS X ne contrôle que les connexions entrantes. Cette fonctionnalité est un des gros atouts du logiciel d'Intego : elle permet de détecter un malware installé sur votre système, qui tenterait de transmettre des informations à un serveur distant (“call home”).
  2. Sophos Antivirus pour Mac : Sophos est un éditeur sérieux mais non spécialisé Mac, contrairement à Intego. Ce logiciel a des fonctionnalités basiques et une interface claire. Il est gratuit mais n'offre pas le même niveau de protection que Mac Internet Security.