L’évolution des malwares sous OS X

Il y a-t-il un malware spécial pour les systèmes d’exploitation OS X par ici ?

Oui il y en a. Et bizarrement, cela fait un moment que je n’ai pas abordé le sujet…

La dernière fois, c’était il y a deux ans et demi de cela. Et oui, cela fait aussi longtemps que  le virus Flashback a explosé et infecté 700 000 ordinateurs Macs dans le monde entier. L’industrie de la sécurité informatique n’a cessé d’en parler (et à rapidement désactivé le botnet de Flashback), mais depuis, plus rien… Certains pourraient même en arriver à croire que depuis, c’est le calme plat en ce qui concerne les malwares sous Mac, et que pas un seul iMalware n’est venu troubler la tranquillité de l’empire Apple…

Mais ils ont tort …Mac malware is not amyth, they do exist

C’est sûr que si vous comparez le taux d’infections de certains malwares sur différentes plateformes, celle qui sans aucun doute se retrouve en tête du classement, et de loin, c’est bien sûr la plus populaire d’entre elles : Microsoft Windows. Loin derrière on retrouve Android, le petit nouveau de la bande.  Et oui, ces trois dernières années, la cyber vermine a multiplié les attaques contre le pauvre petit robot vert, en augmentant chaque fois l’intensité de celles-ci.

Pendant ce temps, dans le monde des iPhones et des iPads, hormis pour de très rares attaques de cyber espionnage, aucune des autres attaques n’a vraiment été concluante (malgré l’application de méthodes très exotiques). C’est à peu près la même chose pour Mac : c’est une plateforme relativement calme mais il y a eu quelques perturbations ces derniers temps … Et c’est pour cela que j’ai décidé de rédiger ce post.

Voici quelques chiffres pour récapituler tout cela :

  • Ces dernières années, le nombre de nouveaux virus détectés et visant les appareils Mac était déjà de plusieurs milliers ;
  • Les huit premiers mois de 2014, on a détecté 25 différentes  » familles  » de malwares visant Mac;
  • La probabilité qu’un ordinateur Mac non protégé soit infecté par un virus visant exclusivement Mac a augmenté d’environ 3%.
<em>En 2013, @Kaspersky  a détécté 1700 malwares pour OS X</em>Tweet

Maintenant, si vous creusez un peu plus et observer la situation en interne,  du point de vu d’un expert en malware par exemple, le bilan qu’il en dresse est beaucoup moins idyllique…

Les menaces visant Mac ont évolué, et la perception de la sécurité parmi les utilisateurs de Mac a elle aussi changé (mais pas tant que cela). La principale question est de savoir ce à quoi l’on doit s’attendre dans le futur. Et voilà la réponse, sans prendre de gants, basée uniquement sur des chiffres et des faits, qui permettront de dresser un bilan objectif.  Et si vous vous sentez l’envie de participer à un débat passionnant et impartial, je vous invite à le faire dans la section des commentaires.

Commençons par les premiers rapports.

Donc, que s’est-il passé ces dernières années dans le monde des menaces visant Mac ? Je vais commencer par vous présenter le graphique suivant. Il retrace le nombre de fichiers malicieux sous OS X qui ont été découverts au cours des dernières années.

Mac malware is not amyth, they do existComme on peut le voir sur le graphique, il y a seulement quatre ans, le nombre de programmes malicieux était de seulement 50, mais en 2011 il y eu une soudaine augmentation, et depuis ce moment, on en compte des centaines, voire presque des milliers.

Mais qu’est-ce qui a réellement été détecté ?

Et bien, les huit premiers mois de l’année, nous avons détecté pratiquement une centaine d’attaques uniques visant Mac, qu’on a regroupé en 25 familles. Voici quelques informations sur les plus intéressantes d’entre elles.

  • Porte dérobée.OSX.Callme – qui se propage  via le corps d’un document MS Word crée spécialement à cet effet, et qui lors de son exécution installe une porte dérobée dans le système au travers d’une vulnérabilité. Cela permet aux attaquants de prendre le contrôle de votre système à distance. Et pendant ce temps il peut subtiliser votre liste de contacts, dans lequel il trouvera ses prochaines victimes.
  • Porte dérobée.OSX.Laoshu –  prend des captures d’écran toutes les minutes. Il a été approuvé  par la signature d’un certificat fiable. On pourrait penser que celui qui a développé ce virus avait prévu de le mettre en ligne sur l’App Store.
  • Porte dérobée.OSX.Ventir – un Trojan espion multi-modulaire avec une commande à distance dissimulée. Il contient un driver à code source ouvert.
  • Trojan.OSX.IOSinfector – programme d’installation de la version mobile du Trojan espion : Trojan-Spy.IPhoneOS.Mekir (OSX/Crises) – oups, il infecte les iPhones.
  • Trojan-Ransom.OSX.FileCoder– le premier dossier de chiffrement pour OS X.  En cours de développement car le prototype est encore plein de bugs.
  • Trojan-Spy.OSX.CoinStealer– le premier malware voleur de bitcoin sur OS X. Il se fait passer pour quelques fichiers à code source ouvert indispensables aux bitcoins. Dans la pratique il installe une extension pour un navigateur malicieux et/ou une version patchée de bitcoin-qt (un outil à code source ouvert nécessaire à l’exploitation des bitcoins).
<em># malwares pour OS X dont vous n’avez jamais entendu parler (mais qui se trouvent surement sur votre Mac)</em> Tweet

A ce stade, la logique nous pousserait à croire : ok, ok de nos jours on trouve quelques malwares visant les Macs, mais représentent ils réellement une menace pour les utilisateurs ? Quelle est la probabilité qu’un Mac non protégé soit infecté ? Et quel est le programme malicieux le plus répandu ?

Grâce au KSN, on a la réponse à vos questions. Mais avant d’analyser les données chiffrées, j’aimerais clarifier quelque chose : ces données se basent exclusivement sur les utilisateurs de nos produits. Essayer de déterminer comment les malwares se propagent dans le monde, y compris parmi ceux qui utilisent d’autres produits et/ou ceux qui n’ont pas d’antivirus, est une tâche ingrate et très approximative, basée sur l’extrapolation de données provenant de sources différentes. Cependant, cela vaut quand même le coup de chercher un peu dans les données de KSN, ne serait-ce que pour nous avoir un sujet de conversation :).

Donc voice le top 20 des malwares les plus détéctés sous OS X entre 2013 et 2014 (à échelle mondiale)  :

Nom Nombre de détections %
AdWare.OSX.Geonei.b 56.271 39.15
Trojan.OSX.Vsrch.a 28.222 19.63
AdWare.OSX.Geonei.d 23.904 16.63
Trojan.OSX.Yontoo.i 7.595 5.28
AdWare.OSX.FkCodec.b 6.395 4.45
Trojan.OSX.Yontoo.h 3.636 2.53
Trojan.OSX.Yontoo.j 3.366 2.34
AdWare.OSX.Geonei.c 2.889 2.01
Trojan.OSX.Yontoo.a 2.079 1.45
AdWare.OSX.Geonei.e 1.758 1.22
Trojan.OSX.FakeCo.a 1.413 0.98
Trojan.OSX.Okaz.a 1.126 0.78
Trojan-Downloader.OSX.Vidsler.a 868 0.60
RemoteAdmin.OSX.AppleRDAdmin.c 677 0.47
AdWare.OSX.Bnodlero.a 656 0.46
Trojan.OSX.Yontoo.b 633 0.44
AdWare.OSX.FkCodec.a 609 0.42
Trojan-Downloader.OSX.FavDonw.c 571 0.40
AdWare.OSX.Geonei.a 544 0.38
Trojan.OSX.Yontoo.d 533 0.37

Et voici une carte illustrant la présence des iMalware sur cette même période :Mac malware is not amyth, they do existMaintenant si vous analysez ces données attentivement, vous remarquerez qu’environ la moitié des détections dérivent de publiciels, alors que deux tiers de tous ces malwares sont uniquement constitués des trois premiers programmes malicieux de la liste.  En ce qui concerne la répartition géographique des iMalwares, en général elle touche particulièrement les pays qui comptent le plus d’utilisateurs Mac. On remarque par exemple qu’on en retrouve plus dans les pays développés, ou les victimes ont en général plus d’argent. Finalement, et bizarrement, le célèbre Flashback ne fait pas partie du classement.

Que peut-on donc en déduire après l’analyse de ces données ?

Premièrement:  les cybercriminels  trouvent que c’est plus facile de s’enrichir par des moyens légaux (enfin, presque légaux). La publicité incessante rapporte aussi pas mal, et de pair avec des infections à grande échelle, ça rapporte beaucoup.

Deuxièmement: les développeurs de virus pour OS X sont une espèce rare mais sophistiquée. Contrairement à ceux qui se consacrent aux virus pour Windows, ils ont dépassé le stade du  » virus pour s’amuser  » et entrent directement dans la cour des grands avec tous un tas de malwares des plus nocifs.  Ils ne sont pas là pour rigoler. Ils ont probablement d’abord perfectionné leurs compétences sur la plateforme Windows, pour ensuite partir s’essayer au Macs et exploiter des sources de richesse pas encore exploitées. Après tout ils ont une mine d’or à portée de main, et les propriétaires ne se soucient guère de la sécurité, ce qui signifie une multitude d’opportunités pour les pirates qui souhaitent se mettre au travail.

Le niveau de sophistication moyen des malwares pour OS X est nettement plus élevé que ceux sur Windows

Troisièmement : les professionnels de l’espionnage ont très à cœur d’attaquer les appareils sous OS X. Ces dernières années, la plupart des attaques APT visaient des modules Mac, par exemple CaretoIcefog, et les attaques ciblant les activistes pro Ouïghours. Et oui on ne parle pas d’attaques massives mais ciblées, visant des personnes en particulier et c’est pourquoi ils ne figurent pas dans le top 20. Non pas qu’ils soient moins dangereux, et tout particulièrement si ces données sont susceptibles d’intéresser  les services de renseignement.

Et maintenant, voyons quelles pratiques se cachent derrière ces chiffres.

Cependant, en comparaison avec les catastrophes à échelle mondiale qui concernent Windows, une centaine de millier de détections en 18 mois, ce n’est pas si mal, et cela peut même laisser croire qu’il n’y a finalement pas grand-chose à craindre. Et bien il n’y a presque rien à craindre. Mais est-ce que  » presque rien  » veut dire que les iUtilisateurs peuvent se détendre et laisser la sécurité de ses appareils entre les mains d’Apple ? En d’autres mots : ont-ils vraiment besoin d’un antivirus ? Continuez à lire…

Pour comprendre qui est  paranoïaque et qui ne l’est pas, on doit de nouveau se référer aux données issues de KSN. Cette fois, pour évaluer le nombre d’infestations, on mettra en relation le taux d’appareils Macs avec les détections de malwares visant uniquement les Mac.

Durant le mois d’Août, les chances d’attraper une iInfections étaient d’environ 3%.  Pas mal si on compare ce chiffre aux 21% de chances qu’ont les utilisateurs de Windows d’être infectés (selon les données de KSN).  Même avec le taux le plus élevé, cela signifierait qu’un iMalware espionnerait un usager au maximum 10 fois par an.

Et c’est maintenant que les choses deviennent intéressantes…

Premièrement : les iMalwares  ne ciblent pas seulement les iUtilisateurs. Certains types d’attaque ne se soucient pas de savoir avec quel système d’exploitation marche l’appareil. Par exemple le hameçonnage et  les attaques de l’homme du milieu(HDM). Et il se trouve que ce sont des attaques très répandues. Ils sont plus intéressés par leurs comptes en banque, les principaux services web qu’ils utilisent ou leurs activités sur les réseaux sociaux.

Deuxièmement: les appareils Mac sont aussi les cibles d’un autre type d’attaques : celles qui s’infiltre au travers de vulnérabilités existantes sur des programmes tiers, comme Java, Flash ou Silverlight. Ce ne sont pas des programmes installés par défaut sur les appareils Mac, néanmoins de nombreux utilisateurs les téléchargent et les installent, pour pouvoir profiter pleinement des charmes de la toile.

La proportion d’attaques potentielles devient difficile à évaluer si on tient compte des malwares qui s’infiltrent au travers de programmes tiers. Mais je pense pouvoir dire sans me tromper que ce taux augmenterait dangereusement.

<em>Les malwares pour Mac ne sont pas les seules menaces existantes. Il y a aussi l’hameçonnage, les HDM et les programmes tiers.</em>Tweet

Troisièmement : Et bien,cela ne concerne pas vraiment les menaces par malwares. Il y a longtemps que les logiciels antivirus ont cessé d’être un programme d’arrière-plan qui d’une manière ou d’une autre vous protège contre toutes les menaces sans même que vous ne vous en rendiez compte.  Les logiciels antivirus modernes ont aussi une quantité d’autres fonctions qui vont bien au-delà du concept de simple logiciel. Par exemple le contrôle parental, les gestionnaires de mots de passe, les outils vérifiant la sécurité des réseaux Wi-Fi, les protections de webcam, et des centaines d’autres fonctionnalités. Il est vrai qu’en matière de sécurité, les produits Mac sont loin derrière les cousins PC, mais ils rattrapent doucement leur retard…

Et maintenant un peu de futurologie…

Depuis longtemps, deux questions sont posées de manière récurrente : Pourquoi il y a-t-il si peu de malwares visant Mac, et la situation va-t-elle empirer ?

J’ai répété plusieurs fois que pour que des malwares apparaissent sur une plateforme en particulier, trois conditions doivent être réunies. (i) la plateforme doit avoir une architecture peu sécurisée et donc quelques vulnérabilités ; (ii) elles doivent être équitablement réparties ; et (iii) elles doivent fournir des outils pour le développement d’applications tierces. OS X ne remplit pas la deuxième condition (ii).

« Ahh! » dit le lecteur avisé. Mais il y a maintenant plus de 80 millions d’ordinateurs sous Mac OS ! C’est peut être assez répandu finalement non ? C’est ce qu’on dirait. Mais il y a quand même 1.5 milliards d’ordinateurs sous Windows sur cette planète !

Sur ce blog, j’ai déjà  rédigé des posts sur l’économie souterraine des ordinateurs. Il y a une règle de base qui s’applique à tous les systèmes d’exploitation, y compris les systèmes OS X : les cyber-ordures n’ont aucun intérêt à utiliser leurs ressources dans le piratage de systèmes d’exploitation moins populaires quand ils ont en face d’eux des dizaines de millions de d’ordinateurs fertiles sous Windows, certains sans antivirus, d’autres pas mis à jour et d’autres avec des antivirus gratuits et plein de trous.  En d’autres termes, c’est plus facile sous Windows. Alors pourquoi se compliquer la vie (avec OS X) ?

Ce qu’on devrait chercher c’est plutôt ou pourrait se trouver le marché de masse, où les systèmes d’exploitation mineurs (à en juger par leur part de marché) comme l’OS X seraient économiquement rentables.  J’ai mentionné précédemment  que 5 à 7% du parc mondial de machines représentaient le niveau de masse critique. Mais finalement ce taux était trop faible. Cette année, OS X s’est approché des 10%. Cependant, il n’y a pas eu de changements majeurs dans le comportement des créateurs de virus, en voici quelques exemples : maladroit, réticent, et versions d’essai.

Operating systems worldwide market share installed baseSource

En extrapolant cette tendance, Apple pourrait en trois ans prendre 15% des parts de marché. Est-ce cela qui va déclencher une augmentation brutale de iMalwares ?

Je n’en sais rien. Une augmentation subite, je ne pense pas. Mais une augmentation, c’est certain. Chaque fait ses propres pronostics sur le sujet.

Mais que se passera-t-il quand les parts de marché du système OS X atteindront finalement le niveau de masse critique ?

Je pense que d’abord il y aura quelques épidémies majeures faisant de nombreuses victimes et provoquant des pertes d’argent conséquentes. Puis il y aura une réaction en chaine : en voyant à quel point les attaques de systèmes OS X sont rentables, les développeurs de virus vont en copier d’autres et vont massivement se concentrer sur cette plateforme.

Un autre scenario possible est que les choses dérapent soudainement après une attaque APT visant OS X. Par exemple, une épidémie mondiale provoquée par un nouveau malware ou le manque de technologie lors d’une attaque, cela se propagerait sur les ordinateurs clandestins et provoquerait l’apparition de centaines de clones.

L’importance du problème avec la sécurité sous Mac est difficile à évaluer car la plupart des utilisateurs Mac font pleinement confiance en leur fournisseur préféré. Mais personne ne sait vraiment ce qui se passe sur les centaines de millions d’ordinateurs Mac non protégés. C’est la partie immergée de l’iceberg. Et parfois, elle provoque des surprises inattendues et désagréables (Titanic !) comme le virus Flashback apparu en Mars 2012. Mais quel malware persiste ? Que fait-il ? Et qui tire les ficelles ? Des cybercriminels expérimentés ou des jeunes blancs-becs ayant embauché des programmateurs ? Ce sont toutes des questions intéressantes, et nous allons petit à petit en avoir les réponses. Mais pour cela on a besoin de votre aide. On ne peut pas vous sauver sans votre accord. Donc prenez soin vous-même de votre sécurité: faites au moins le premier pas et changez votre vision de la sécurité sous Mac !

Pendant ce temps, vous pouvez consulter ces quelques conseils de base qui vous aideront à protéger vos appareils Mac.

<em>Quelques conseils simples pour protéger vos appareils Mac</em>.Tweet

On va en rester là sur le sujet de la protection sous Mac, mais restez connectés. Il y aura certainement des nouveautés sur le sujet, et ça promet d’être intéressant…

P.S. Wow, c’est arrivé plus vite que prévu ! Il y a déjà des nouveautés sur le sujet !

Des chercheurs ont découvert Bash shell code, une vulnérabilité très dangereuse et qui se propage dans le monde entier à une vitesse éclair. Elle touche les appareils sous Linus, UNIX, et (devinez) OS X. Des informaticiens travaillent activement sur le développement de patchs, mais pour l’instant aucun résultat n’a été concluant. Et n’oublions pas qu’Unix est utilisé sur de nombreux parties commandes industrielles ainsi que sur des réseaux d’énergie dans le monde entier. Quelqu’un se souvient-il de Blaster ? A l’époque, Microsoft avait sorti un patch un mois avant que la catastrophe ne se produise… et quand j’utilise le mot catastrophe, je n’exagère pas : elle a littéralement ravagé l’est des Etats Unis.

LIRE LES COMMENTAIRES 0
Laisser un commentaire