Un nouveau cheval de Troie découvert, Réactions à la publication du 20/10/2016

[Lionel]

Intego a lancé une alerte sur un nouveau cheval de Troie découvert.

Baptisé SilverInstaller il reprend une recette devenue courante pour infiltrer des ordinateurs sous OS X, leur faire croire qu'une mise à jour est disponible.

Le système utilise un Pop-Up sur un site peu scrupuleux ou corrompu.

Comme toujours, la première chose est de rester vigilant. Aujourd'hui, le meilleur et plus sûr moyen de mettre à jour Flash Player est de passer par les préférences système.

Lien vers le billet original

[ABACA]

Les râleurs de Flash ne vont pas tarder

[mimac]

Personnellement je pense que les navigateurs deviennent, tous, trop facilement une porte d'entrée sur le système (flash ou pas flash).

Une possible "solution" consiste à utiliser une machine virtuelle avec un navigateur web pour faire de la navigation.
Pour une essai rapide (durée 90j) et pour internet explorer (ou edge) on peut utiliser ces machines virtuelles. Apres 90j, si on a fait un snapshot de la machine il suffit de le recharger.
Pour d'autres navigateurs il ne reste qu'a faire sa machine virtuelle. Ubuntu semble un bon choix mais maxos X est possible (sous mac).

OK cela occupe de la place (4go pour window edge + Virtual box) et les machines sont lentes mais bon je n'ai pas trouvé mieux actuellement pour limiter l'ouverture de cette porte.

Ce message a été modifié par mimac - 20 Oct 2016, 17:01.

[Gassonline]

Bonjour,
Est-il détectable par un anti malware quelconque ?
Cdt

[Dadoo]

ABACA, t'as perdu !
le délai est dépassé...

[tenets]

Après un clean instal je n'ai ni Flash, ni Java (javascript activé pour googlemaps, mais ce n'est pas Java).
Après trois mois d'usage sans Pb, je me demande bien pourquoi j'avais flash et Java avant, avec leurs
incessantes màj.
J'ai déjà vu le cas où un autre player d'Adobe se lançait avant QuickTime, l'empêchant de fonctionner. J'ai eu du
mal à le virer, mais après tout marchait bien.
On trouve sur le net, des commandes sudo pour virer Flash.

[g4hd]

J'observe (depuis plus d'un an que je l'ai banni de mes Mac) que le recours obligatoire à Flash Player tend à disparaître tranquillement !
Pour les rares cas où j'en ai la nécessité, j'utilise Chrome.
Cependant, en lançant Chrome, c'est une autre invasion : celle des applis Google (une bonne douzaine !) qui essayent à leur tour de s'infiltrer : c'est LittleSnitch bien paramétré qui surveille les indésirables !

[calotype]

heuuu j'ai fais une mise à jour hier ! c'est flipan que cette annonce tombe maintenant.
J'espère que ce n'est que le hazard, tout semblait exactement comme d'ab. le "pop up" est apparu alors que je venais de me déconnecté de ma messagerie hotmail.fr, j'etais sur la page d'acceuil de msn.
je viens de retrouvé dans mon historique:
https://get3.adobe.com/fr/flashplayer/downl...&stype=2725

tout est bon chef ?

[marc_os]

Intego a lancé une alerte sur un nouveau cheval de Troie découvert.

Baptisé SilverInstaller il reprend une recette devenue courante pour infiltrer des ordinateurs sous OS X, leur faire croire qu'une mise à jour est disponible.
[...]

Bonjour,
Est-il détectable par un anti malware quelconque ?
Cdt

Oui.
Vu que Intego l'a découvert... -> VirusBarrier

Et je suppose que les autres auront mis ou vont mettre à jour rapidement leur base de vaccins.

[davidsc]

Bonjour,

Quick question,
VirusBarrier est-il le meilleur antivirus sur macos
Existe-t-il des virus sur iPhone ? si oui quel antivirus pour les enlever ?

Many many thanks,
David

[paradisestation]

Ca fait aussi quelques mois que j'ai viré flash de mes macs, sans regrets.

[Backswitch]

Je pensais naïvement que les virus sur Mac n'existait pas.
L'explication pour moi tenait au fait que OSX était basé sur Unix et que sans accès root on ne sait pas faire beaucoup de dégâts.
Me trompes-je?

[sansnom]

"On trouve sur le net, des commandes sudo pour virer Flash."

Sont-ce ces deux commandes-ci ?
sudo rm -Rf ~/Library/Preferences/Macromedia/Flash Player
sudo rm -Rf ~/Library/Caches/Adobe/Flash Player
Merci.

Si c'est bien le cas (soit 2 items érasés), pourquoi le désinstalleur officiel Adobe met-il, lui, autant de temps à procéder (avec en plus apparition de boîte de dialogue/confirmation) ? Mystère !...

[reversi]

Je pensais naïvement que les virus sur Mac n'existait pas.
L'explication pour moi tenait au fait que OSX était basé sur Unix et que sans accès root on ne sait pas faire beaucoup de dégâts.
Me trompes-je?

Tu te trompes-je à moitié.

• Des virus sur macOS, il n'y en a aucun de connu. Le terme virus sous-entend des capacités qu'on ne retrouve pas dans les malwares dont les sites ont parlés jusqu'à présent : https://en.wikipedia.org/wiki/Computer_virus

• Par contre des malwares, adwares, ransomwares, il y en a eu quelques uns.

• L'accès root, ça s'obtient "facilement" quelque soit la version de l'OS vu qu'il y a toujours des failles de root escalation qui sont découvertes pour le moment. Au début, c'était la fête des suid qui facilitait la chose. Puis on a eu la fête d'ARD. Puis de l'IOKit. Etc. Ne parlons pas d'iOS où chaque jailbreak se doit de contourner les protections mises en place pour empêcher tout un chacun de faire ce qu'il veut avec cet OS.

Bref, le discours comme quoi Unix est plus sûr parce qu'il y a différents comptes utilisateurs est du pipeau. Tant qu'il y aura des privilege escalations internes ou externes au système, la présence de compte utilisateur rend le système plus sécurisé, pas plus sûr.

• Qu'un logiciel malveillant puisse tourner en root n'a finalement que peu d'intérêt. Ré-installer un OS ou une application, ce n'est rien en comparaison de voir ses données privées partir à l'extérieur ou se retrouver avec ses documents chiffrés sur son disque sans connaître la clé. L'accès à la majorité des données privées est possible depuis le compte de l'utilisateur (photos, documents, historiques de conversations, etc.). Les protections ou avertissements qu'Apple a intégrés à l'OS ou aux frameworks ne sont pas très utiles une fois que le process malveillant tourne :

- Filevault n'empêchera pas un process tournant sous le compte de l'utilisateur courant d'accéder aux fichiers de l'utilisateur courant.
- les avertissements du framework carnet d'adresses pour signaler qu'une application essaye d'accéder au carnet sont inefficaces vu qu'on peut taper directement dans la base sqlite3 ou CoreData.
- Gatekeeper ne détectera pas une application installée depuis un paquet d'installation valide.

• Dans le cas présent, si c'est un vrai paquet d'installation Apple qui prétend installer Flash, des process pourront tourner en root à partir du moment où l'utilisateur a saisi son mot de passe administrateur.

Beaucoup diront que dans ce cas la faille est située entre le clavier et la chaise.

[Backswitch]

Me voilà donc un peu moins ignorant.Merci.
des failles de root escalation?
Et en français çà veut dire quoi?

[yponomeute]

Me voilà donc un peu moins ignorant.Merci.
des failles de root escalation?
Et en français çà veut dire quoi?

En français c'est "escalade de privilèges". En gros tu rentres dans un immeuble sécurisé avec un badge d'accès niveau visiteur et tu arrives à transformer ton badge d'accès en niveau service de sécurité grâce à des failles dans le système.

Le pire problème de sécurité qui existe c'est celui qui fait croire à l'utilisateur qu'il est en sécurité alors que c'est faux. C'est comme si on te disait que traverser une route c'est sans danger alors qu'à tout moment une voiture peut arriver. Cela a pourtant été le discours marketing de Apple pendant de nombreuses années.

Ce message a été modifié par yponomeute - 20 Oct 2016, 12:22.

[Backswitch]

Je viens d'aller voir sur Wiki.
Bref, OSX, Linux et Win10 ne sont pas plus sûr les uns que les autres si j'ai bien suivi?

Du coup, quel anti-malware est conseillé sous OSX?

[Ibiscus]

oups ! Il y quelques temps j'ai cliqué et effectivement je ne comprenais pas pourquoi je n'arrivais pas à faire la mise à jour sur le faux site. De plus je ne comprenais pas pourquoi le MàJ ne se faisait pas automatiquement comme je l'avais autorisé à Adobe.

Bon je fais quoi maintenant, comment m'assurer que je suis bien infecté, comment éradiquer ? En plus, depuis l'infection présumé, je suis passé sous Sierra ! Merci d'avance

[titan2]

C'est pour ce genre de news (entre autre) malheureusement que j'aime MacBidouille. Merci mille fois de nous prévenir.

[reversi]

oups ! Il y quelques temps j'ai cliqué et effectivement je ne comprenais pas pourquoi je n'arrivais pas à faire la mise à jour sur le faux site. De plus je ne comprenais pas pourquoi le MàJ ne se faisait pas automatiquement comme je l'avais autorisé à Adobe.

Bon je fais quoi maintenant, comment m'assurer que je suis bien infecté, comment éradiquer ? En plus, depuis l'infection présumé, je suis passé sous Sierra ! Merci d'avance

Prendre un truc gratuit sur le Mac App Store ou une démo sur le site officiel d'une boîte. Tant que c'est un nom connu (*) pour la boîte : Sophos, ESET, BitDefender, Intego, TrendMicro, Norton, Kaspersky, Avast, Avira pour ne citer que les plus connus. En général, cela permet d'analyser son disque gratuitement. Et parfois d'éliminer les fichiers malveillants aussi gratuitement.


* Pour éviter les faux antivirus du Mac App Store et les trucs problématiques du genre MacKeeper.

[linus]

Après un clean instal je n'ai ni Flash, ni Java (javascript activé pour googlemaps, mais ce n'est pas Java).
Après trois mois d'usage sans Pb, je me demande bien pourquoi j'avais flash et Java avant, avec leurs
incessantes màj.

Flash est indispensables pour certains et inutile pour d'autres. Tout dépend de ce qu'on fait.

Aujourd'hui, le meilleur et plus sûr moyen de mettre à jour Flash Player est de passer par les préférences système.

Tiens, je découvre qu'il y a des plug-ins NPAPI et PPAPI. Il semble qu'il vaut mieux installer PPAPI que NPAPI mais Préférences Système ne propose rien pour éliminer l'un au profit de l'autre, s'il sont effectivement interchangeables, ce que j'ignore.
Quelqu'un pourrait il donner des explications ?

[Chicken Mayo]

Flash est indispensables pour certains et inutile pour d'autres. Tout dépend de ce qu'on fait.

Idem pour Java

Tiens, je découvre qu'il y a des plug-ins NPAPI et PPAPI. Il semble qu'il vaut mieux installer PPAPI que NPAPI mais Préférences Système ne propose rien pour éliminer l'un au profit de l'autre, s'il sont effectivement interchangeables, ce que j'ignore.
Quelqu'un pourrait il donner des explications ?

les NPAPI c'est la vieille facon de faire des plugins (depuis Netscape, d'ou le N au debut)
Petit à petit plus aucun navigateurs ne les supportes (Chrome depuis un an déjà, Sous windows Edge et Firefox dans sa version 64 bits ne les ont jamais supporté, Firefox en 32 bits les abandonnera en mars 2017, sauf pour Flash, Silverlight et Java qui seront suportés (au moins pour Silverlight et Java) jusque début 2018.
Pour Safari, comme Apple ne communique pas, on ne sait rien.

C'est un sacré problème pour le plugin Java, car sans son support beaucoup d'applications professionnelles en Java ne marcheront plus. (je parle d'applications interne aux grosses boites, souvent développées il y a longtemps et plus maintenues)
Du coup les gens auront le choix entre utiliser un vieux navigateur (avec ses failles de sécurités) ou utiliser Java.

Pour le PPAPI, c'est le format de plugin specifique à Chrome.

[SartMatt]

Me voilà donc un peu moins ignorant.Merci.
des failles de root escalation?
Et en français çà veut dire quoi?

En français c'est "escalade de privilèges". En gros tu rentres dans un immeuble sécurisé avec un badge d'accès niveau visiteur et tu arrives à transformer ton badge d'accès en niveau service de sécurité grâce à des failles dans le système.

Et bien souvent, même pas besoin d'une faille dans le système, suffit de dire au gardien qu'on est untel du niveau supérieur et qu'on a oublié son badge ^^

Aujourd'hui énormément de malwares fonctionnent comme ça, en demandant bêtement les droits à l'utilisateur, qui les accorde sans trop vérifier...

[linus]

Flash est indispensables pour certains et inutile pour d'autres. Tout dépend de ce qu'on fait.

Idem pour Java

Tiens, je découvre qu'il y a des plug-ins NPAPI et PPAPI. Il semble qu'il vaut mieux installer PPAPI que NPAPI mais Préférences Système ne propose rien pour éliminer l'un au profit de l'autre, s'il sont effectivement interchangeables, ce que j'ignore.
Quelqu'un pourrait il donner des explications ?

les NPAPI c'est la vieille facon de faire des plugins (depuis Netscape, d'ou le N au debut)
Petit à petit plus aucun navigateurs ne les supportes (Chrome depuis un an déjà, Sous windows Edge et Firefox dans sa version 64 bits ne les ont jamais supporté, Firefox en 32 bits les abandonnera en mars 2017, sauf pour Flash, Silverlight et Java qui seront suportés (au moins pour Silverlight et Java) jusque début 2018.
Pour Safari, comme Apple ne communique pas, on ne sait rien.

C'est un sacré problème pour le plugin Java, car sans son support beaucoup d'applications professionnelles en Java ne marcheront plus. (je parle d'applications interne aux grosses boites, souvent développées il y a longtemps et plus maintenues)
Du coup les gens auront le choix entre utiliser un vieux navigateur (avec ses failles de sécurités) ou utiliser Java.

Pour le PPAPI, c'est le format de plugin specifique à Chrome.

Donc ...
PPAPI : inutiles si on n'utilise pas Chrome
NPAPI : je n'ai pas compris si Flash sous Safari est un NPAPI

NPAPI c'est la vieille facon de faire des plugins

<-- y en a-t-il une autre ? Comment s'appelle-t-elle ? Où la trouve-t-on ?
Préférences Système permet juste d'installer NPAPI et PPAPI pas de désinstaller. Okay ?

[raoulito]

Et bien souvent, même pas besoin d'une faille dans le système, suffit de dire au gardien qu'on est untel du niveau supérieur et qu'on a oublié son badge ^^
Aujourd'hui énormément de malwares fonctionnent comme ça, en demandant bêtement les droits à l'utilisateur, qui les accorde sans trop vérifier...

hahahah magnifique

"voulez-vous que ce logiciel inconnu qui vient d'on ne sait où puisse avoir des droits administrateurs"
et là, les gens hésitent puis répondent "oui on verra bien"

[bigmagic]

Et avez-vous plus d'info sur ce malware ? comment l'identifier ?

[SartMatt]

et là, les gens hésitent puis répondent "oui on verra bien"

Non, même pas

[brenda]

Me voilà donc un peu moins ignorant.Merci.
des failles de root escalation?
Et en français çà veut dire quoi?

En français c'est "escalade de privilèges". En gros tu rentres dans un immeuble sécurisé avec un badge d'accès niveau visiteur et tu arrives à transformer ton badge d'accès en niveau service de sécurité grâce à des failles dans le système.

Et bien souvent, même pas besoin d'une faille dans le système, suffit de dire au gardien qu'on est untel du niveau supérieur et qu'on a oublié son badge ^^

Aujourd'hui énormément de malwares fonctionnent comme ça, en demandant bêtement les droits à l'utilisateur, qui les accorde sans trop vérifier...

De temps en temps certains logiciels, tels Flash, me demande de réaliser une mise à jour, si je valide je dois taper un mot de passe administrateur. et il n'est pas le seul ... donc, soit pas de mise à jour, soit droits administrateurs ???
Il n'y a pas longtemps, sur une news, quelqu'un avait mis l'adresse d'un site permettant de tester si des adresses mails avaient été piratées. La seule que j'ai retrouvé volée l'avait été chez Adobe ...

Pas simple tout ça

@+

[baron]

De temps en temps certains logiciels, tels Flash, me demandent de réaliser une mise à jour, si je valide je dois taper un mot de passe administrateur. et il n'est pas le seul ... donc, soit pas de mise à jour, soit droits administrateurs ???
Il n'y a pas longtemps, sur une news, quelqu'un avait mis l'adresse d'un site permettant de tester si des adresses mails avaient été piratées. La seule que j'ai retrouvé volée l'avait été chez Adobe ...

Pas simple tout ça

Il ne faut pas non plus tout confondre :
Le problème est surtout quand tu cliques sur un lien donné par une page quelconque t'invitant à mettre à jour un plug-in alors que tu n'as rien demandé.
Si tu demandes volontairement à faire une mise à jour (éventuellement après une alerte d'un site que tu fréquentes et qui dit que tu as besoin de le faire) mais que tu passes par un canal « autorisé » (via les préférences système ou en te connectant directement sur le site de l'éditeur du logiciel) plutôt qu'à cliquer directement sur un lien dont tu ne connais rien, tu n'as pas trop à craindre.

Néanmoins pour modifier le système et installer un logiciel, on te demandera — et c'est normal — de t'identifier comme administrateur et tu donneras ton mot de passe admin.
Il te reste à regarder alors ce qu'on te propose d'installer, et éventuellement à passer par une installation « personnalisée » pour être sûr que tu n'installes rien de plus que ce que tu veux.

Quant aux adresses mail piratées révélées par le site https://haveibeenpwned.com/ ce n'est pas en faisant une mise à jour ou en donnant ton mot de passe admin que tu t'es « mis en danger » ; c'est en donnant tes coordonnées personnelles (adresse email, etc.) lors d'un enregistrement sur leur site (pour accéder à une offre spéciale, pour consulter certaines infos ou en enregistrant un logiciel). A cette occasion, ils ont constitué une base de données de leurs utilisateurs, laquelle a été piratée.

[jojozuf]

Les râleurs de Flash ne vont pas tarder

Mais non !
Plus de flash depuis longtemps sur mon Mac, donc je ne râle pas .