Un cheval de Troie découvert sous OS X, Réactions à la news du 31-10-2007

[Lionel]

Source : Intego

Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.
Basé sur la crédulité de certains, il va proposer une mise à jour permettant d'avoir accès à l'intégralité du site. Un fichier sous forme de .dmg sera alors téléchargé, et le mot de passe administrateur demandé.
En fait, le logiciel plutôt que d'installer quoique ce soit, va changer le DNS de la machine.
Une fois le DNS changé, il sera possible aux pirates d'orienter les victimes vers de faux sites permettant de réaliser des phishings aussi parfaits que possible. Ceci peut toucher des comptes Paypal, Ebay ou encore associés à des banques.
Il installe également une routine vérifiant régulièrement que le DNS n'a pas été entre temps modifié et veille à remettre le malicieux.

Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.
Il y a hélas des chances que ce type d'attaque n'aille en augmentant et se fasse de plus en plus pernicieuse avec le temps, les parts de marché d'Apple augmentant.




Je sais que c'est un sujet toujours ultra sensible dans la communauté Mac. Pour une fois, traitez le froidement et sans excitation. Merci d'avance.

[float2]

bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

Non c'est faux, le dns indiquer dans les conf systeme est prioritaire, et le fichier host est lui prioritaire sur le serveur dns ...

Visiblement, FREE doit être un vilain petit canard, ou alors FREE n'accepte que des requests de pool IP lui appartenant.

Le serveur DNS des FAI : c'est un "service" qu'il fournisse a leur client.
le FAI ne bloque JAMAIS l'utilisation d'un serveur DNS tiers, mais peuvent reserver leur serveur DNS a leur client. ce qui me semble logique ? apres certain le laisse ouvert a tous : c'est leur probleme.


Sinon, pour le certificat SSL : je pense pas que les "faux site" utilise un certificat de cryptage, ni meme de cryptage du tout , car effectivement, si il ne sont pas authentifier par une autorité de certification, alors ca affichera le message d'erreur.

Mais pourquoi il s'embeterai ? quoi de plus simple que de passer en "http" normal : pas de message d'alerte.... si le client ne fais pas attention ! (moi je tape jamais "https" quand je tape l'url d'un site)

Ensuite, pour le message que j'ai lu qui disais "il suffit de passer par le moteur de recherche", c'est faux aussi : ca ne change rien, le moteur de recherche renverra tjs sur la vrai url quand meme, la on parle pas d'url modifier, mais d'annuaire (dns) , ce qui est tres different est peut etre bcp plus trompeur.

la VRAI seul parade donc, est de bien verifier quand on donne un code important , de verifier dans le navigateur le petit cadena, et a la limite meme, on peu cliquer dessus pour voir si il s'agit de la bonne personne.... car pour peu qu'un pirate ce fasse authentifier (ceci dis ca m'etonnerai car pour avoir un certificat il faut devoilé sa VRAI identité, qui ce retrouve ensuite dans les informations disponible au niveau du navigateur!)

voila....


A bientot
Jerome.