Virus Botnet sur Mac : Détecter, Trouver, éliminer

Voici un copier coller en Anglais du site CNET :

Je résume :

- Ouvrez le programme Terminal (en le cherchant avec Spotlight, la loupe en haut à gauche),

- Copier une à une chacune des trois lignes ci-dessous et appuyez sur "entrée" après chaque copier-coller :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si le système ne trouve pas ces chemins, c'est que le virus qui permet le contrôle à distance de certaines fonctions de votre Mac n'est pas là.

Si vous n'avez pas le message d'erreur disant en anglais qu'il ne les trouve pas, cliquez sur le lien en bas (site F-Secure).

Ne téléchargez les logiciels que si vous êtes sûr du lien (ici, c'est un faux installateur de ADOBE Flash qui a été utilisé).

Regardez bien le nom du site avec l'extension du domaine, avant le premier "/", par exemple :

http://xxxxxx.xxxxx.Xxxxx.xxxxxxxxxxxxxxxxxxxxx.cabinetgfc.fr/xxxxxxx/Xxxxxxxxxxxxxx.Xxxxxxxxxx.xxxxx

C'est bien un lien vers le site du Cabinet GFC, mais pas le lien suivant qui comporte pourtant cabinertgfc.fr mais pas avant le premier "/" ("slash") :

http://www.cabinetgfc.fr.xxx.Xxxxx.xxxxxxxxxxxxxxxxxxxxx.cabgfc.fr/xxxxxxx/Xxxxxxxxxxxxxx.Xxxxxxxxxx.xxxxx

Attention, l'imagination est sans limite et vous pouvez avoir des sites ayant des noms très proches ou rassurant (avec des mots comme "secure" ou autres).

Un danger encore plus grand vient des liens réduits pour être utilisés dans twitter genre "bit.ly/45454fqs". Ce n'est pas encore très fréquent, mais n'attendons pas...

GFC Expertise

How do I tell if I have it?
Right now the easiest way to tell if your computer has been infected is to run some commands in Terminal, a piece of software you'll find in the Utilities folder in your Mac's Applications folder. If you want to find it without digging, just do a Spotlight search for "Terminal."

Once there, copy and paste each one of the code strings below into the terminal window. The command will run automatically:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

If your system is clean, the commands will tell you that those domain/default pairs "does not exist." If you're infected, it will spit up the patch for where that malware has installed itself on your system.

Uh oh, I have it. How do I remove it?
Security firm F-Secure has posted a step-by-step walkthrough for removing Flashback. This process also requires hopping into Terminal and running those commands, then tracking down where the infected files are stored, then manually deleting them. There are also likely be removal tools built into Mac antivirus/malware programs in the near future.

Peer To Peer ou Pire to Pire ?

La diffusion de contenu illégal ou HADOPI, la pire des solutions ?

Nous l'avions anticipé dans ce Blog : la lutte contre le piratage par transfert de fichiers Peer to Peer (d'utilisateur à utilisateur) n'a pas commencée (retard, impossibilité technique, coût,...) qu'elle a déjà eu ses effets pervers attendus.

Le pire pas le Peer

Le premier effet de l'intimidation : efficace ! mais...

Il est très probable que la 'peur du gendarme', même s'il n'existe pas encore en l'occurrence, ait eu un effet. Les utilisateurs ont réduit leur utilisation du Peer to Peer.

La nature ayant horreur du vide, les services de Streaming se sont développés. Le Streaming, c'est la diffusion de contenu multimédia en flux : le fichier n'est pas téléchargé, il est vu en ligne.

Les utilisateurs ne stockent plus les fichiers chez eux mais sur des serveurs de ces sociétés... qui se font payer pour l'hébergement en facturant l'accès aux fichiers (pour un accès illimité le plus souvent).

Non seulement l'accès au contenu est plus rapide et plus simple mais en plus il profite à des sociétés qui n'ont aucun lien avec les ayant-droits !

Avant le crime était gratuit, maintenant il rapporte !

La licence globale

La fameuse licence globale était le principe d'un abonnement donnant droit à un accès libre et illimité au contenu. Les ayant-droits auraient donc perçu des sommes rondelettes...

Mais cette solution, avec les problèmes qui existent, n'a pas plu...

Donc les sociétés d'hébergement de fichiers (entre autres) l'ont inventé à leur place : c'est tout perdu pour les uns et tous gagnants pour les autres... mais comme on l'attendait...

La preuve de l'intérêt de la licence globale

S'il fallait démontrer aux détracteurs de la licence globale que la solution était la bonne, il suffit de mesurer le succès de ces solutions 'pirates' : c'est une licence globale illégale, mais c'est exactement le principe. Et il marche !

On voit donc que les députés et bientôt le gouvernement vont comprendre et ouvrir leurs oreilles vers d'autres voix que celle de la SACEM et autres représentants de gestionnaires de droits qui vivent de la collecte et du contrôle (pensaient-ils même faire une bonne affaire en exploitant la répression avec HADOPI ?)...

Le futur des Virus et logiciels espions (Spyware)

Les appareils indiscrets

Les appareils multifonctions comme les téléphones mobiles de dernières générations peuvent nous laisser imaginer ce que pourront être les logiciels expions de la prochaine génération...

La version 3 du système d'exploitation de l'iPhone et quelques uns des logiciels de l'AppStore nous montrent ce qu'est capable de faire un téléphone : donner sa position s'il est volé, enregistrer la voix, prendre des photos et des films, évidemment intercepter tout ce que son clavier saisi et les sites visités, accéder aux mails et aux services de chat et de messagerie en ligne, les numéros composés et le contenu des conversations,...

Imaginons maintenant un logiciel attractif, proposé gratuitement et qui passerait le barrage du filtrage de l'AppStore... Imaginons que ce logiciel apparemment banal, pourquoi pas un jeu ou un petit utilitaire, se mettent à utiliser toutes les fonctions disponibles de l'appareil pour les récupérer : enregistrer votre voix, récupérer vos images, votre position, vos mails, vos codes,... et envoyer tout cela par le réseau chez les pirates...

Une limitation de l'appareil est l'absence de multitâche. Ceci pourrait limiter l'accès à certaines donnée mais le problème peut être contourné : il suffit que l'application remplisse la fonction à espionner ou récupère les données enregistrées...

Les autres Smartphones ne sont pas à l'abri, au contraire : le nombre d'applications du iPhone déjà disponible limite les chances d'atteindre une vaste clientèle, alors que se présenter en premier sur un nouveau système augmente les chances...

Imaginez-vous en caméra ambulante écouté tant que votre appareil est allumé et à portée de voix...

Simple imagination ?

Pas vraiment : il existe sur le marché des téléphones vendus très chers pour espionner. Le principe est simple et certains appareils standards sont capable de faire la même chose sans avoir besoin de débourser une somme aussi importante grâce à un paramétrage habile.

Inutile d'aller plus loin ici pour ne pas donner trop d'idées mais c'est pourtant si simple...

Le Danger des Proxy gratuits ou Free Proxys

Qu'est-ce qu'un Proxy ?

Rapidement, car il existe de nombreuses sources détaillées, un proxy est un Serveur qui s'intercale entre Internet et des utilisateurs (une entreprise par exemple). Ce Serveur reçoit les requêtes des utilisateurs et renvoie la page demandée s'il l'a gardé en mémoire après une précédente demande ou transmet la demande de chargement de la page au Serveur qui la propose s'il ne l'a pas.

Le Proxy fait gagner du temps car il répond rapidement sans utiliser le réseau aux pages les plus demandés.

Il a un autre avantage...

Du point de vue du Serveur consulté, la requête émise par le demandeur semble provenir du Serveur Proxy, pas de l'internaute... L'internaute devient donc anonyme. Il n'est plus possible de vous localiser alors que votre adresse IP permet de connaître souvent votre position à quelques kilomètres près.

D'où son intérêt pour les utilisateurs à la recherche de confidentialité... par exemple ceux craignant le vilain HADOPI...

Les dangers

Des Serveurs Proxy gratuits voient le jour. Ils répondent à la demande, comme décrit précédemment.

Mais il faut savoir que ce Serveur sert d'intermédiaire entre l'utilisateur et le Net pour son trafic de données. Ainsi, il peut voir le contenu de tous les échanges... et même le modifier. C'est le contraire d'un FireWall, c'est un passage par une zone à risque...

Il est donc possible à un Serveur Proxy de vous renvoyer des pages modifiées (insertions publicitaires au mieux, modules utilisant les failles de sécurité de votre système au pire), de récupérer les données des formulaires ou, pourquoi pas, vous envoyer un fichier (virus) alors que vous pensez en télécharger un autre...

Voilà un effet technique nuisible de l'HADOPIre (que le problème)...

Mesures pour contrer la loi HADOPI : Plus vite que la musique !

Contournement de la loi HADOPI : déjà des parades spécifiques

On le savait, les solutions de contournement existaient déjà, elles étaient utilisées pour déjouer les pare-feux (FireWalls), pour contourner les restrictions d'accès au Web en entreprise, pour naviguer anonymement pour diverses raisons,...

D'autres solutions étaient marginalement utilisées pour contourner quelques limitations, comme l'enregistrement d'émissions diffusés par Internet (radios, émissions de télévision,...).

Mais leurs utilisations spécifiques pour contrer la loi HADOPI sont déjà en route... avant même la mise-en-place des mesures liées à l'application de la loi...

En examinant bien, on pourrait même y voir un certains vice dans la recherche de solutions techniques à des problèmes qui n'existent pas, comme l'enregistrement de musique sur des sites qui la diffuse à la demande...

Ne serait-ce pas simplement pour embêter le législateur ...?

Il tout de même vrai que la loi a un avantage : l'embarras du choix dans les solutions de contournement...

Et, pour le répéter, ces multiples possibilité pourront être utilisées à mauvais escient. Effet, pervers, la loi HADOPI va rendre accessible à tout le monde les méthodes autrefois complexes ou peu commentées des vrais pirates du Web.

Les effets pervers de la loi HADOPI 2

Les effets pervers de la loi HADOPI

Et maintenant, que va-t'il se passer ?

Comme on le sait, toute lutte amène à trouver une parade à l'initiative mise en place par l''adversaire'... C'est le jeu du "chat et de la souris", c'est une sorte de loi de la nature et certainement de la 'nature du monde informatique et d'Internet'...

Perte de revenu pour l'industrie de la création

Contourner la loi va donc amener des sociétés à contourner les mesures prévues par des moyens techniques simples, connus et efficaces. Ces services seront payants ou attireront de l'argent de la publicité, qui sera perdu pour l'industrie de la création... Un coup dans l'eau et une nouvelle perte...

Porte ouverte aux criminels

Pire, l'anonymisation des échanges, pour éviter d'être repéré, bénéficiera aux vrais délinquants qui auront à leur disposition des solutions nombreuses et variées de commettre des délits plus graves : échanges d'images ou de vidéos à caractère nuisible voire dangereux...

Les sites gratuits seront très prisés et pourront servir à la diffusion de virus et autres logiciels malveillants et d'espionnage.

Preuve d'incompétence et d'incapacité des gouvernements

Plus symbolique, cet exemple nous donne une idée de ce qu'un gouvernement peut adopter comme solution technique (inefficace) à un problème réel.

Pour aller plus loin, la guerre 'numérique' dont la menace plane, ou plus simplement la délinquance sur Internet, ne semblent pas pouvoir être anticipée d'une façon sérieuse avec de telle mesures.

La faiblesse du nombre de nos 'Cert' est aussi un signe de notre impréparation.