Une nouvelle variante de Mac Defender, Réactions à la publication du 26/05/2011

[Lionel]

Comme il fallait s'y attendre, une nouvelle variante du cheval de Troie Mac Defender a été découverte. Son fonctionnement est toujours le même, vous faire croire à une infection sur votre Mac et en profiter pour récupérer vos informations de carte bancaire pour vous régler le problème, ce qui n'arrive pas puisqu'il n'y en a pas. Il s'agit donc purement d'une arnaque à la CB et pas d'un virus, le seul exploit étant de lancer automatiquement le téléchargement du logiciel rien qu'en visitant certaines pages web.


Pour en revenir à cette variante, elle se distingue essentiellement par le fait qu'elle ne demande plus de mot de passe utilisateur pour s'installer, même s'il faut encore faire cette installation de manière "volontaire". Les process lancés voient aussi leur nom modifié afin de ne pas être vus au premier abord.


Apple va avoir fort à faire pour bloquer toutes les éventuelles variantes de ce logiciel.
Par Lionel

[Lionel]

Il faudrait commencer par interdire les téléchargements automatiques sans consentement de l'utilisateur de Safari. Pour moi c'est clairement une faille.

[iAPX]

Il faudrait commencer par interdire les téléchargements automatiques sans consentement de l'utilisateur de Safari. Pour moi c'est clairement une faille.

Clairement oui, ça simplifie les choses et l'ergonomie, mais ce n'est pas sécuritaire du tout.

La seule solution d'avenir est malheureusement de faire signer les applications, et d'avoir un logiciel qui bloque l'installation ou le lancement, en utilisant une liste blanche (une tendance forte chez les créateurs d'antivirus), soit carrément d'avoir un "App" Store qui vérifie les applications qu'il propose: un modèle d'usage très différent de celui qu'on connaissait mais vers lequel Apple avance très vite.

Je pense que par défaut, un usager ne devrait pas installer de logiciel non-venu de l'App Store, et que ça soit débloquable par l'administrateur du système. (désolé je suis pourtant partisan de liberté, mais lorsque celle-ci risque de nuire au plus grand nombre, par leur manque de capacité de jugement...)

Il faut garder la liberté qu'on a d'installer ce qu'on veut, mais pas par défaut, et pouvoir limiter certains utilisateurs, pour leur propre bien.

Ce message a été modifié par iAPX - 26 May 2011, 14:08.

[Guest_ps1024_*]

Je pense que par défaut, un usager ne devrait pas installer de logiciel non-venu de l'App Store, et que ça soit débloquable par l'administrateur du système.

Sauf que les utilisateurs sont bien souvent leur propre administrateur et que donc ça ne changera rien, ceux qui ont été suffisamment naïfs ou négligents pour installer Mac Defender seront assez naïfs ou négligents pour débloquer cette fonction.

Je pense que la solution à ce genre de c@nneries se trouve au niveau de Safari (ou autre navigateur pour le coup) en premier lieu.
1/ Le Browser a des préférences pour l'ouverture automatique de popup, l'ouverture des fichiers sûrs (c'est n'importe quoi cette pref) bloqué par défaut
Si l'utilisateur autorise il a le droit à une alerte bien sentie. d'ailleurs les deux devraient être dans le panneau sécurité et pas un dans général (celui incriminé comme par hasard).
2/ aussi devrait avoir une détection du JS qui permet de télécharger sans click volontaire, avec une white list autorisant tel ou tel site.
3/ Le panneau de téléchargement doit être plus visible, facilement accessible avec un statut permanent (avec un chiffre en rouge quand un download est en cours). Mais apparemment ils se penchent sur ce point dans le prochain Safari.

4/ Au niveau de l'OS, pourquoi l'utilisateur non admin ne devrait pas taper son mot de passe même pour sa propre session pour installer quelque chose?
5/ Quand l'utilisateur non admin drag une application depuis un dmg et l'ouvre pour la première fois il a le droit a une alerte alors pourquoi pas pour un pkg?
6/ Alerte avec cette application veut installer un startup-item blablha, accepter oui/non

C'est plus contraignant mais ça éviterait aux débutants de se faire avoir.

Bref, du "Cancel or Allow ?" tous les cinq minutes… S'il faut valider dix trucs quand on installe un logiciel, ça va devenir un réflexe et ça sera totalement inefficace le jour où il y aura un vrai logiciel qui essaie de s'installer en douce.

La situation actuelle est simple : quand on lance une application téléchargée, il y a une alerte. Quand il s'agit d'une installation, l'Installeur (donc le nom apparaît alors à la place de Safari dans la barre de menu) demande lui aussi validation par l'utilisateur. Tout au plus on pourrait imaginer une alerte au lancement de l'Installeur via un paquet téléchargé… Ca ferait deux OK à cliquer au lieu d'un, pas sûr que ça soit beaucoup plus efficace mais pourquoi pas...

Ce message a été modifié par ps1024 - 26 May 2011, 16:09.