dimanche 13 octobre 2013

Un expert en sécurité crée des malwares indétectables sur Mac OS X

Les Mac ne sont plus l’ilot de sécurité qu’on a voulu croire qu’ils étaient. Les malwares existent sur Mac OS X et commencent à être plus nombreux. Un chercheur a même trouvé un moyen « simple » de les rendre indétectables.

En avril 2012, le botnet Flashback mettait à mal le sentiment d’invulnérabilité de la communauté Mac qui, pendant des années, s’était cru à l’abri des virus et autres malwares. Signe d’un changement des temps, lié autant à une augmentation des parts de marché d’Apple qu’à la professionnalisation des cybercriminels. Des cyberattaques qui recherchent le meilleur retour sur investissement, or, justement, les ordinateurs à la pomme ont tendance à souvent être choisis par des cibles de valeur.
Depuis les nouveaux malwares visant Mac OS X se sont succédés, sans causer autant de dégâts que Flashback, mais démontrant à chaque fois que la forteresse « imprenable » ne l’était plus ou ne l’avait jamais été.

Preuve de concept

Il y a quelques jours, Daniel Pistelli, un chercheur en sécurité pour la société allemande Cerbero, annonçait avoir obtenu une preuve de concept aux conséquences importantes. Il serait capable de créer des malwares indétectables sur Mac OS X, aussi bien par le système que par d’éventuelles solutions de sécurité.

Utiliser un outil d’Apple

Pour cela, il utilise un des outils qu’Apple a intégré à Mac OS X et qui sert à chiffrer les exécutables maisons, comme Dock.app ou Finder.app afin de les protéger. Or, ce chiffrement peut tout aussi bien être utilisé pour « protéger » l’exécutable d’un malware, explique-t-il dans un post sur le blog de sa société. Les logiciels de sécurité sont alors incapables de le détecter car il est chiffré – même s’ils étaient capables de le reconnaître avant. En revanche, Mac OS X n’a, lui, aucun problème pour l’exécuter.

Des pistes pour une solution

Afin d’apporter une solution à la preuve de concept qu’il vient de dévoiler, Daniel Pistelli avançait dans son post plusieurs pistes. La première impliquerait que les antivirus intègrent un mécanisme de déchiffrement afin de pouvoir reconnaître à nouveau le malware. La deuxième que ces systèmes de sécurité cherchent à trouver des segments chiffrés du code et, s’ils en trouvent, ne fassent confiance qu’aux exécutables signés par Apple lui-même. Enfin, troisième solution qu’en cas de découverte d’une partie de code chiffré, les antivirus ne laissent passer que les exécutables dont la signature de cryptographique corresponde à une clé de confiance.
Source: http://www.01net.com

 

Aucun commentaire:

Membres