La protection contre Mac Defender déjà contournée, Réactions à la publication du 02/06/2011

[Lionel]

Il aura fallu encore moins de temps que nous le pensions, seulement quelques heures, pour que les protections mises en place par Apple afin de protéger les machines (sous Snow Leopard uniquement) contre Mac Defender soient caduques.
Une variante de ce malware ayant une signature différente de celle installée par Apple est déjà présente sur la toile et passe les nouveaux contrôles mis en place par Apple sans coup férir.


À notre avis, la situation est maintenant plus grave qu'elle ne l'était sans les protections, car de nombreuses personnes mal informées vont se croire à tort protégées et risquent donc de ne pas prendre les précautions élémentaires qu'elles auraient maintenues autrement.
On est de plus partis dans une course contre ces variantes qu'Apple ne peut en l'état actuel des choses gagner puisque le système de signature mis en place ne peut être mis à jour qu'une fois les nouvelles variantes détectées ce qui fait que les pirates auront forcément un coup d'avance.
Nous n'irons pas jusqu'à dire que la bataille est perdue d'avance, mais 20 ans d'antivirus sur PC ont prouvé qu'on ne pouvait pas se débarrasser de ces menaces tout comme nous n'arriverons certainement jamais à éradiquer toutes les maladies infectieuses.
Apple se retrouve donc, maintenant qu'ils ont mis le doigt dans l'engrenage, dans la situation d'avancer à marche forcée et avec des équipes dédiées pour réagir au plus vite en espérant perdre le moins de temps possible entre l'apparition des menaces et la mise à jour de leurs bases de signatures.


Cette affaire risque également de laisser des traces au niveau médiatique. Maintenant, on va bien plus fréquemment parler de ces menaces touchant Mac OS X.
Par Lionel

[mimac]

Je trouve toutefois interessant le fait qu'Apple continue la mise en place de mesure anti-malware au niveau du systeme d'exploitation et ne laisse pas cette tache à des logiciels qui seraient installés à posteriori. Cette demarche est certainement la meilleure pour contrer ce type d'attaque et permettre à ce que "la bataille ne soit pas perdue d'avance".

Ce message a été modifié par mimac - 2 Jun 2011, 07:07.

[ParanoX]

Je trouve toutefois interessant le fait qu'Apple continue la mise en place de mesure anti-malware au niveau du systeme d'exploitation et ne laisse pas cette tache à des logiciels qui seraient installés à posteriori. Cette demarche est certainement la meilleure pour contrer ce type d'attaque et permettre à ce que "le combat ne soit pas perdu d'avance".

Apple fait (essaye tout du moins) ce que Microsoft à refuser de faire jusqu'à très tard : prendre ses résponsabilités => c'est son OS qui est en faute, c'est donc à eux d'empecher (au moins essayer) que la situation empire.

[Cappuccino]

Apple fait (essaye tout du moins) ce que Microsoft à refuser de faire jusqu'à très tard : prendre ses résponsabilités => c'est son OS qui est en faute, c'est donc à eux d'empecher (au moins essayer) que la situation empire.

Dans ce cas là, ce n'est pas l'OS le problème. Ce machin pourrait marcher sur tous les OS du monde même les plus sécurisés. L'installation se fait par l'utilisateur, c'est l'utilisateur aussi qui donne son numéro de CB...
A part interdire toute installation hors App Store, Apple ne peut pas faire grand chose. L'anti malware agit après coup, c'est déjà trop tard, le numéro de CB a été récupéré chez plusieurs personnes.

[fr78]

...
A part interdire toute installation hors App Store, Apple ne peut pas faire grand chose. L'anti malware agit après coup, c'est déjà trop tard, le numéro de CB a été récupéré chez plusieurs personnes.

En même temps, donner son numéro de CB à un site inconnu (pas genre Amazon, Apple, Priceminister ou équivalents), pour un produit qu'on n'est pas allé cherché volontairement, qui n'est pas commenté sur le forum du site par d'autres acheteurs, etc... Dans la vie réelle de tous les jours, qui donne son n° de CB à un inconnu ?

Ce message a été modifié par fr78 - 2 Jun 2011, 09:28.

[divoli]

Dans la vie réelle de tous les jours, qui donne son n° de CB à un inconnu ?

Sauf que là, cette cochonnerie fait croire à l'utilisateur que cette alerte provient d'Apple, raison pour laquelle il y a autant de gens qui se sont faits berner et qui finalement ont contacté le service technique d'Apple.

Et puis je crois franchement qu'il faut arrêter d'être aussi psychorigide en s'appuyant sur le fait qu'il ne s'agit pas d'un virus au sens strict. Ce n'est pas parce qu'il y a sur ce forum des cadors en informatique qui sont trop malins pour se faire piéger qu'Apple devrait ignorer toute une partie de sa clientèle, et vis-à-vis de laquelle elle s'est engagée à assurer une certaine protection.

Ce message a été modifié par divoli - 2 Jun 2011, 10:55.

[Cappuccino]

Et puis je crois franchement qu'il faut arrêter d'être aussi psychorigide en s'appuyant sur le fait qu'il ne s'agit pas d'un virus au sens strict. Ce n'est pas parce qu'il y a sur ce forum des cadors en informatique qui sont trop malins pour se faire piéger qu'Apple devrait ignorer toute une partie de sa clientèle, et vis-à-vis de laquelle elle s'est engagée à assurer une certaine protection.

Il y a une grosse différence entre un virus qui utilise une faille de l'OS (comme celui qui attaquait Windows et qui se propageait et éteignait le PC sans que l'utilisateur n'ait fait quoique ce soit) et le cas de Mac Defender qui n'est ni un virus, ni un vrai malware. L'app est installée par l'utilisateur, c'est lui qui fournit aussi le numéro de CB, on ne lui vole rien, on n'utilise aucune faille du système pour avoir le numéro CB. C'est une app toute bête et qui sans l'intervention de l'utilisateur ne ferait rien.
Pour les utilisateurs, on ne le redira jamais assez, si on n'est pas capable de gérer son ordinateur, de faire attention à ne rien installer sans connaître le dit programme, on ne se met pas en administrateur et on demande l'aide d'un ami ou de la famille.

On ne va pas reprocher à Apple ce MacDefender. Apple ne peut rien contre la naïveté de ses utilisateurs. Elle pourra toujours ajouter des verrous et panneaux d'informations, les gens cliqueront toujours sur OK sans les lire ! A moins de passer au Mac App Store uniquement, ils ne pourront rien faire. Ou bien ils pourraient bloquer l'installation hors Mac App Store par défaut ?

[SartMatt]

Il y a une grosse différence entre un virus qui utilise une faille de l'OS (comme celui qui attaquait Windows et qui se propageait et éteignait le PC sans que l'utilisateur n'ait fait quoique ce soit) et le cas de Mac Defender qui n'est ni un virus, ni un vrai malware. L'app est installée par l'utilisateur, c'est lui qui fournit aussi le numéro de CB, on ne lui vole rien, on n'utilise aucune faille du système pour avoir le numéro CB. C'est une app toute bête et qui sans l'intervention de l'utilisateur ne ferait rien.

Nan mais vraiment, faut arrêter de prétendre que Mac Defender n'est pas un malware...

"Malware, short for malicious software, consists of programming (code, scripts, active content, and other software) designed to disrupt or deny operation, gather information that leads to loss of privacy or exploitation, gain unauthorized access to system resources, and other abusive behavior."

On est exactement dans le cas en rouge : c'est un logiciel conçu pour récupérer des numéros de cartes de crédit.

TOUT logiciel, quelque soit sa forme, est un malware dès lors que son comportement ne correspond pas à ce qu'il prétend faire.

Mac Defender se prétend être un anti-virus, ce n'en est pas un. C'est donc un malware.

On ne va pas reprocher à Apple ce MacDefender. Apple ne peut rien contre la naïveté de ses utilisateurs.

Les choix fonctionnels d'Apple au niveau de Safari sont en grande partie responsables de la propagation de Mac Defender, même si la naïveté de l'utilisateur est le dernier maillon.

En effet, si Safari ne téléchargeait pas puis n'ouvrait pas automatiquement les .pkg après leur téléchargement, il y aurait beaucoup moins de gens infectés !

Avec le comportement actuel de Safari, l'utilisateur n'intervient qu'une seule fois : il valide le processus d'installation, qui s'est lancé automatiquement.

Si Safari était un peu plus sécurisé, il faudrait au moins quatre interventions de l'utilisateur avant que Mac Defender soit installé, et donc d'autant plus de chances qu'un utilisateur, même naïf, n'aille pas jusqu'au bout du processus :
1) il faudrait que l'utilisateur accepte le téléchargement du fichier,
2) il faudrait que l'utilisateur décompresse le zip après le téléchargement,
3) il faudrait que l'utilisateur ouvre le répertoire où ça a été décompressé, puis double clique sur le PKG (et là, l'utilisateur naïf, il a peu de chances d'arriver à cette étape, qui nécessite une vraie volonté d'installer le truc, et plus simplement une installation accidentelle à force de cliquer toujours sur OK...)
4) il faut qu'il valide le processus d'installation.

Ce message a été modifié par SartMatt - 2 Jun 2011, 13:46.

[Cappuccino]

Avec le comportement actuel de Safari, l'utilisateur n'intervient qu'une seule fois : il valide le processus d'installation, qui s'est lancé automatiquement.

Si Safari était un peu plus sécurisé, il faudrait au moins quatre interventions de l'utilisateur avant que Mac Defender soit installé, et donc d'autant plus de chances qu'un utilisateur, même naïf, n'aille pas jusqu'au bout du processus :
1) il faudrait que l'utilisateur accepte le téléchargement du fichier,
2) il faudrait que l'utilisateur décompresse le zip après le téléchargement,
3) il faudrait que l'utilisateur ouvre le répertoire où ça a été décompressé, puis double clique sur le PKG (et là, l'utilisateur naïf, il a peu de chances d'arriver à cette étape, qui nécessite une vraie volonté d'installer le truc, et plus simplement une installation accidentelle à force de cliquer toujours sur OK...)
4) il faut qu'il valide le processus d'installation.

Tu veux un truc à la Windows d'avant type Vista avec 4 fenêtres qui confirme la confirmation ???

Les gens cliqueraient sur oui dans chacun d'elles, ça ne changerait rien ! .ZIP t'est pas sur PC, on ne va pas compliquer tous les téléchargements pour quelques naïfs

Le problème là c'est l'utilisateur, pas la technologie.

Et dans ce cas là, on peut prendre en compte le passage en bleu : se faire passer pour un anti-virus, prétendre avoir trouvé des virus sur la machine, ouvrir des sites pornos en pop-up, tout ça pour que l'utilisateur donne son numéro de carte, c'est bien un comportement abusif.

Oui mais il n'y a pas de faille dans l'OS ou de choses masquées, c'est une faille de l'utilisateur et contre ça, tu ne peux rien. Les gens pensent qu'un truc est gratuit ou donne du porno, ils cliqueront sur tout, même si tu mets 5 fenêtres avec des gros Attention en rouge

Ce message a été modifié par Cappuccino - 2 Jun 2011, 13:51.