Après Flashback, d'autres chevaux de Troie visent MacOS X
Deux autres chevaux de Troie, bénins cette fois, ciblent les ordinateurs sous Mac OS X d'Apple, exploitant la faille Java patchée la semaine dernière.
Après avoir découvert le Cheval de Troie Flashback sur Mac, les chercheurs en sécurité ont repéré vendredi 13 avril deux autres malwares ciblant le système d'exploitation Mac OS X.
La bonne nouvelle, c'est que la plupart des utilisateurs n'ont pas de raison de s'inquiéter des effets de ces logiciels malveillants. Tous deux sont des variantes du Cheval de Troie connu sous le nom de SabPub. Celui-ci figure déjà sur la liste de sécurité Securelist tenue à jour par l'expert de Kaspersky Lab Costin Raiu.
La première variante est connue sous le nom Backdoor.OSX.SabPub.a. Comme Flashback, cette menace a vraisemblablement été répandue par des failles Java exploitées à l'intérieur des sites Web et permet un contrôle à distance des systèmes affectés. Cette variante a été créée il y a un mois environ. Selon Graham Cluley, consultant technologique chez Sophos, « le malware est un classique Trojan de backdoor. Il se connecte à un serveur de contrôle via le protocole HTTP, il est commandé et contrôlé à distance par les pirates. Ils peuvent par exemple effectuer des captures d'écran sur les Mac infectés, télécharger ou prendre des fichiers, et exécuter des commandes à distance ».
Des attaques ciblées sans doute
Heureusement, selon Costin Raiu, ce malware n'est plus une menace pour la plupart des utilisateurs, pour différentes raisons. D'une part, il a probablement été utilisé uniquement dans des attaques ciblées. Dans ce cas, elles ont été précédées de l'envoi, par e-mail, de liens vers des sites malveillants. Mais entre-temps, le domaine utilisé pour aller chercher des instructions et infecter le Mac connecté a été bloqué.
Ensuite, la mise à jour de sécurité livrée par Apple pour contrer Flashback fait que toutes attaques basées sur Java sont désormais inoffensives. Non seulement la mise à jour éradique le code malveillant éventuellement introduit par Flashback, mais elle désactive automatiquement les plug-ins Java et Java Web Start des navigateurs, s'ils sont inutilisés pendant une période de 35 jours. Les utilisateurs doivent alors réactiver manuellement Java quand ils rencontrent des applets sur une page Web ou une application Web Start.
Des modes d'action plus anciens
Par rapport à son frère jumeau, la seconde variante SabPub semble utiliser des modes d'actions plus anciens. Au lieu de mener son attaque à partir de sites web malveillants, il utilise comme vecteur des documents Microsoft Word infectés, préalablement distribués par e-mail. Comme la première variante de SabPub, celle-ci n'a été utilisée que dans des attaques ciblées, peut-être contre des militants tibétains.
Alors, sauf si vous travaillez pour une organisation pro-Tibet - et si vous avez tendance à ouvrir des documents Word suspects - il y a peu de raisons de s'alarmer. Tout au plus, SabPub prouve que les Mac ne sont pas immunisés contre les attaques - un fait que Flashback a déjà parfaitement clarifié. Les utilisateurs Mac doivent néanmoins s'assurer qu'ils ont bien appliqué la dernière mise à jour de Java livrée par Apple. Il est aussi recommandé d'installer un logiciel antivirus (la plupart protègent contre SabPub) et de le maintenir à jour.
Flashback aurait infecté 500 000 Mac dans le monde
Selon certains rapports, Flashback aurait infecté plus d'un demi million de Macs dans le monde et aurait même réussi à toucher certains systèmes de Cupertino, siège d'Apple. Le constructeur californien a été critiqué pour avoir un peu « traîné des pieds » avant de réagir pour réparer cette vulnérabilité. Ce bug dans Java aurait été connu plus de six semaines avant la découverte de Flashback. Apple a livré un utilitaire pour supprimer le code de Flashback, qui fonctionne uniquement sur les variantes les plus courantes du cheval de Troie.
Plusieurs entreprises de sécurité ont également publié un outil pour supprimer Flashback des systèmes Mac OS X. Mais Kaspersky Lab a dû retirer le sien après avoir constaté qu'il effaçait aussi certains paramètres utilisateur.