Un certain nombre de lecteurs ont répondu à l’article que j’ai publié la semaine dernière sur le cheval de Troie Flashback, une contagion qui a infecté plus de 600 000 Mac OS X systèmes. La plupart des gens voulaient savoir comment ils pouvaient détecter si leurs systèmes étaient infectés par Flashback et, le cas échéant, comment supprimer le logiciel malveillant. Cet article couvre ces deux questions.
Capture d’écran de l’outil de détection de Flashback de Dr.Web
Depuis la découverte la semaine dernière du botnet Flashback Mac, plusieurs sociétés de sécurité ont publié des outils pour aider à détecter et à nettoyer les infections Flashback. Dr Weble fournisseur russe d’antivirus qui a tiré la première fois la sonnette d’alarme à propos de l’épidémie, a publié un service en ligne gratuit qui permet aux utilisateurs de dire si leurs systèmes ont été vus en train de téléphoner aux serveurs de contrôle de Flashback (ces serveurs ont depuis été piratés par des chercheurs). Le service demande aux utilisateurs de saisir l’ID utilisateur unique (HW-UUID) de leur Mac, car c’est ainsi que les malfaiteurs qui exécutaient le botnet gardaient une trace de leurs infections.
F-Secure Corp.la société de sécurité finlandaise qui a travaillé avec Dr.Web pour évaluer plus précisément le nombre réel de Mac infectés par Flashback, a un Outil de suppression de flashback téléchargeable sur son site Web.
Où est la réponse d’Apple dans tout cela, demandez-vous ? Apple dit qu’il développe un logiciel qui détectera et supprimera Flashback. Inexplicablement, il n’a pas encore publié cet outil, et il n’a pas non plus ajouté de détection à l’outil antivirus XProtect intégré à OS X. L’avis de la société sur cette menace est, comme on pouvait s’y attendre, clairsemé et se concentre plutôt sur l’incitation des utilisateurs à appliquer une mise à jour récente pour Java. . Flashback attaque une faille Java bien connue, mais il convient de noter qu’Apple n’a publié le correctif Java qu’après que Flashback ait commencé à infecter des centaines de milliers de Mac.
Mise à jour, 20 h 22 HE : Apple vient de sortir une nouvelle version de Java qui inclut un dissolvant de Flashback. Java pour OS X Lion 2012-003 fournit Java SE 6 version 1.6.0_31 et remplace toutes les versions précédentes de Java pour OS X Lion. Il n’inclut pas de nouveaux correctifs de sécurité, mais il adopte une nouvelle approche du débat sur la question de savoir s’il faut désactiver ou supprimer temporairement Java : « Il configure le plug-in Web Java pour désactiver l’exécution automatique des applets Java. Les utilisateurs peuvent réactiver l’exécution automatique des applets Java à l’aide de l’application Java Preferences. Si le plug-in Web Java détecte qu’aucune applet n’a été exécutée pendant au moins 35 jours, il désactivera à nouveau les applets Java.
Message d’origine :
Dans son avis, Apple a déclaré qu’il « travaillait avec les FAI du monde entier pour désactiver le réseau de commande et de contrôle » que les criminels utilisaient pour diriger les activités du botnet Flashback. Mais les actions d’Apple parlent beaucoup plus fort que les mots. Forbes’ Andy Greenberg publié une pièce fascinante mercredi montrant que lorsqu’il s’agit de travailler avec la communauté de la sécurité, Apple est toujours un peu comme un bambin gâté qui n’a pas encore appris à jouer gentiment avec les autres enfants dans le bac à sable.
Sur la question de la sécurité en général, Apple semble toujours avoir la tête bien ancrée dans le sable : F-Secure note qu’Apple n’a toujours pas livré de mise à jour corrigeant cette faille Java sur OS X 10.5 (ou antérieur), même si 16 pour cent de tous les Mac exécutent encore ce système d’exploitation.
Alors qu’Apple a cessé de regrouper Java par défaut dans OS X 10.7 (Lion), il propose des instructions pour télécharger et installer le Oracle-framework logiciel développé lorsque les utilisateurs accèdent aux pages Web qui l’utilisent. Si vous avez Java mais que vous n’en avez plus besoin, débarrassez-vous-en. Si vous avez besoin de Java sur votre Mac uniquement pour une application spécifique (comme OpenOffice), vous pouvez le débrancher du navigateur en désactivant son plug-in. Dans Safari, cela peut être fait en cliquant sur Préférences, puis sur l’onglet Sécurité (décochez « Activer Java »). Dans Google Chrome, ouvrez Préférences, puis tapez « Java » dans la zone de recherche. Faites défiler jusqu’à la section Plug-ins et cliquez sur le lien « Désactiver les plug-ins individuels ». Si Java est installé, vous devriez voir un lien « désactiver » sous sa liste. Dans MozillaFirefox pour Mac, cliquez sur Outils, Modules complémentaires et désactivez le(s) plugin(s) Java.
Alerte disque rayé : Si vous n’avez pas besoin de Java, supprimez-le de votre système, que vous soyez un utilisateur Mac ou Windows. Si vous avez besoin d’être davantage convaincu des raisons de cette recommandation, je vous encourage à parcourir certains de mes anciens articles liés à Java.