Installations iOS et Mac OS X menacées: WireLurker et rootpipe

WireLurker

Le spécialiste de la sécurité Palo Alto Networks vient de publier un livre blanc sur une nouvelle famille de logiciels malveillant qu’elle appelle WireLurker.

WireLurker se présente sous la forme d’un cheval de Troie dans des applications Mac OS X infectées. Ce serait le plus important en termes d’échelle : il serait présent dans 467 applications OS X vendues par le magasin en ligne chinois Maiyadi, téléchargées collectivement plus de 350 000 fois.

Une fois installé sur le Mac, le logiciel surveille le port USB. Dès qu’un iPhone est connecté, il installe des virus sur le smartphone, générés automatiquement.

L’originalité de WireLurker, c’est qu’il peut installer ces virus sur des iPhone qui n’ont pas été débridés. S’il est possible d’installer n’importe quelle application sur un smartphone débridé, seules des applications agréées par Apple peuvent être, en principe, installées sur un iPhone normal.

Une fois infecté, de nombreuses informations personnelles seront volées du iPhone, comme le carnet d’adresses et les messages. Qui plus est, le smartphone envoie et reçoit régulièrement des mises à jour à des serveurs contrôlés par les pirates. Les appareils infectés pourraient potentiellement être contrôlés pour des actions illégales, à la manière des PC zombis.

Le code serait sophistiqué : structure complexe, versions multiples, fichiers cachés, obscurcissement du code, chiffrement spécifique.

Sans surprise, Palo Alto Networks recommande aux entreprises d’utiliser ses solutions de sécurité. Pour le grand public, elle recommande aux utilisateurs de Mac OS X et d’iOS de ne pas télécharger d’applications d’un magasin tiers, et de ne pas connecter un smartphone à un Mac inconnu.

Palo Alto Networks affirme avoir contacté Apple, qui comme d’habitude, n’a pas souhaité s’exprimer.

 

Rootpipe

Il y a quelques jours, une vulnérabilité critique de la dernière version du système d’exploitation Mac OS X, nom de code Yosemite, a été découverte par Emil Kvarnhammar, un ingénieur du spécialiste suédois de la sécurité TrueSec. Nommée rootpipe, elle donne un accès ‘root’ (le niveau d’accès le plus privilégié) aux systèmes exploités. Il aurait informé Apple, qui aurait indirectement confirmé ses recherches en s’accordant sur une date à laquelle le chercheur pourra décrire la vulnérabilité.

Comme d’habitude, il est recommandé de ne pas utiliser de compte administrateur pour l’utilisation normale d’un ordinateur. Malheureusement, par défaut, Mac OS X créée un compte unique avec les privilèges d’administrateur. Kvarnhammar recommande donc la création d’un ‘vrai’ compte d’administrateur, à partir duquel on supprimera les permissions administrateur du compte utilisé habituellement.