Mac OS X victime d’un virus

Et oui moi aussi cela m’a mis l’eau à la bouche.

Mac OS X, le système super sécurisé depuis qu’il est monté sur un noyau BSD, “fréquemment” mis à jour ( j’ai vu passer une mise à jour le 30/09 je crois ) serait victime d’un virus, et personne ne m’en a parlé 🙁 . Je n’ai vu passer aucune news sur les quelques listes de sécurité auxquelles je suis abonné et là surprise Internet est en émoi.

J’admets qu’en bon administrateur consciencieux ma curiosité est éveillée. Alors qu’en est il de ce virus et quels risques représente-t-il ?

Après quelques recherches, voila ce que j’ai trouvé :

En gros tout ça pour rien, il n’y a rien à voir.
Désolé.

Je précise pour les obstinés :
Il s’agit apparemment juste d’un vulgaire root kit, écrit en bash ( langage script notamment utilisé sous linux ), appelé Opener ou Renepo-A. Il installe un cracker de mot de passe bien connu, appellé “john the ripper” et un sniffer appelé “dsniff”. Ne vous inquiétez pas pour les problèmes de licences, ils sont sous licences GPL [42] 😉 . Opener désactive également les logs et deux ou trois autres choses pour rester discret.

Voici en gros une version remixée pour debian
# !/bin/bash
apt-get update
apt-get install john
apt-get install dsniff

 :-p

Pour les logs, il semblerait qu’Opener ait opté pour un “rm -rf” pas fin du tout sur les répertoires de logs. Une copie est ajoutée dans la crontab ( qui sert à exécuter des scripts régulièrement ) pour faire bonne mesure.

Maintenant parlons du mode de propagation, c’est important pour un virus le mode de propagation. Celui-ci se propage apparemment par clés USB et cédérom. En effet après un bref coup d’oeil sur le code du virus on lit ( je ne mets que les 3 premières lignes ) :

# ! /bin/bash
# Opener script to turn on services and gather info
# You need an admin level user name and password or physical access (boot from a CD or firewire, ignore permissions on the internal drive) to install this

Traduction :
Il faut être administrateur pour l’installer et pour cela vous pouvez booter sur un autre système ( donc USB, cédérom, ou fireware ).

En résumé un administrateur doit volontairement installer le virus et l’exécuter (je rapelle que c’est un script bash ) pour qu’il puisse y avoir un risque pour votre machine.

J’ai utilisé le ton de l’humour volontairement, pour l’instant ce virus ne représente à mon avis pas beaucoup de risques. Effectivement, à partir du moment où les utilisateurs n’utilisent pas le compte administrateur par défaut, qu’ils sont éduqués aux risques d’exécuter un programme inconnu et qu’il n’y a pas d’accès physiques aux machines alors les risques sont faibles.

Ce virus exploite à mon avis la seule faille que l’on peut difficilement patcher : l’utilisateur.
Et pourtant, un utilisateur prévenu est un utilisateur à moitié patché.