|
 |
|
|
|
|
| Chronologies : Apple et les virus |
|
|
|
|
|
|
|
Jusque quand faut-il remonter l'Histoire pour rencontrer le premier virus ? Si les ancêtres de nos micro-ordinateurs n'étaient déjà pas à l'abri durant les années 70, beaucoup considèrent que c'est en 1986 qu'il faut revenir : l'année où apparaît BRAIN, qui se propageait par disquettes et s'attaquait au secteur de Boot des disques durs afin de les effacer. Pas sympa. Disons que s'il n'a pas été le premier virus proprement dit, il a en tout cas été le premier à marquer les esprits. Et pas le dernier, comme le prouve le succès des éditeurs d'anti-virus depuis vingt ans...
1981 : les virus attaquent Apple
Avant les Macs, il y avait les Apple II. Et sur les Apple II, il y avait déjà des vers. Le premier, programmé pour le processeur 6502, était tout simplement surnommé « Apple Worm » et s'appuyait sur un petit programme en BASIC qui se chargeait de l'insérer en mémoire afin qu'il puisse se répandre. Une fois en place, il se propageait en se dupliquant lui-même, effaçant la mémoire vive (y compris le programme qui l'avait lancé), et n'arrêtant sa course qu'une fois arrivé face aux ROMS.
Ceux-ci étaient incapables de se propager d'ordinateurs en ordinateurs. Mais il y avait aussi de vrais virus. Le tout premier ne s'est jamais répandu : ses deux concepteurs, alors qu'ils avaient réussi à créer un programme capable de se recopier lui-même de disques en disques, renoncèrent à le diffuser, prenant conscience de l'effet destructeur d'un tel logiciel couplé à des fonctions malveillantes.
D'autres programmeurs ont été moins dérangés par leur conscience, et ont diffusé leurs œuvres. Enfin, certains n'étaient pas bien méchants. Par exemple l'un des plus connus, « Elk Cloner », conçu par un jeune lycéen de 15 ans, se contentait de se répandre de disquettes en disquettes et, au bout de cinquante démarrages sur une même disquette infectée, affichait à l'écran : « Elk Cloner : le programme avec une personnalité. Il se répandra sur vos disques, s'infiltrera dans vos puces, Oui c'est un Cloneur ! Il ne vous lâchera plus, il modifiera même la RAM, Envoyez le Cloneur ! » (je vous passe les rimes, en anglais à l'origine). Cependant, tout en étant a priori sans danger pour les données sur les disquettes Apple II, il pouvait parfois endommager les disques d'autres formats. Pour protéger ses disquettes, il suffisait de changer un seul bit, inutilisé par le système d'Apple mais qui servait de repère au virus pour savoir s'il s'était déjà installé sur la disquette en question. Encore plus simplement, il n'y avait qu'à redémarrer l'ordinateur à chaque changement de disquette afin de supprimer le virus de la mémoire vive. En tout cas, en 1981, c'était le premier virus de l'histoire d'Apple. Enfin, pour ceux qui s'en souviennent.
Et le Mac ?
Le Mac n'a pas été à l'abri des virus, loin de là. En tout, on estime à environ 40 le nombre de virus créés spécifiquement pour la plate-forme d'Apple. Bon, à côté des 100.000 qui encombrent, selon certaines estimations, les disques durs des PC, on peut considérer que 40, c'est raisonnable.
En vrac : AIDS, Anti (sur Système 6 et 7), CDEF (qui s'attaque aux fichiers Desktop), CLAP (qui s'attaquait directement à l'anti-virus Disinfectant pour lui échapper), Code 1, Code 252 (qui se contentait d'inscrire « "You have a virus. Ha Ha Ha Ha Ha Ha Ha Now erasing all disks... » sans rien effacer…), Code 9811, Code 32767, Flag, Frankie, Fuck, Init 17, Init 29, Init 1984 (supprimant ou renommant les fichiers), Init-9403, MacMag (qui s'est autodétruit le 2 mai 1988), MBDF, BDEF, nVir (qui faisait biper le Mac aléatoirement ou prononçait « Don't panic » grâce à MacInTalk), Scores, SevenDust et T4 (deux des rares virus à altérer volontairement les données), WDEF, zero, Zuc (qui déplaçait le curseur de la souris tout seul). Etrangement, à quelques exceptions près, la plupart de ces virus ne causaient de dommages réels que rarement, quand ils se trompaient de cible ou altéraient des fichiers qui n'existaient pas à l'époque de leur programmation.
 Quelques chevaux de Troie spécialement destinés aux Macs existaient également à l'époque des Systèmes 6 et 7, puis de Mac OS 8 et 9. Parmis eux, ChinaTalk, une extension qui faisait croire qu'elle gérait le son alors qu'elle effaçait les dossiers. Ou ExtensionConflict, qui gérait beaucoup moins bien les conflits qu'elle n'installait le virus SevenDust. Mosaic et Steroid, qui s'attaquaient à la structure des dossiers sur le disque. Virus Info qui préférait effacer les disques plutôt que d'informer sur les virus.
L'un des plus récents de la période « Mac OS Classique » fut « AutoStart », un vers qui se lançait en profitant de la fonction « Autoriser le démarrage automatique des CD-Roms », incluse avec QuickTime 2 en 1998. Malin, ce vers s'installait sur les disques durs en se renommant lui-même d'après des noms réellement utilisés par le système : « Desktop Print Spooler », ou « DB ». Technique imparable pour s'en protéger : désactiver la fonction de démarrage automatique des CD-Roms, fonction qui ne sera d'ailleurs jamais vraiment utilisée par les concepteurs de galettes optiques.
Tout ceci sans oublier les macro-virus, qui apparurent avec la nouvelle version de la suite Office (Word, Excel, PowerPoint) pour Windows 95. Portés sur Mac sous le numéro de version 6, ces logiciels emportaient avec eux Visual Basic for Applications, un système de programmation qui s'intègrait dans les documents. À leur lancement, ceux-ci pouvaient exécuter de véritables programmes masqués, ce qui fit dire qu'il était alors possible d'attraper un virus « simplement en ouvrant un document », une première !
Environ 200 macro-virus seront ainsi répertoriés, pour la plupart capables de s'exécuter sur un Mac. Cependant, le plus souvent, ils se trouvaient bloqués dans leurs tentatives malignes par l'absence de la plupart des technologies de Microsoft sur notre plate-forme : ActiveX, .NET… Longtemps, l'absence d'Outlook pour Mac a également privé les virus d'une application compatible avec Visual Basic, le langage de Microsoft dont se servent les macro-virus pour se répandre par e-mail. Parmi eux, le terrible virus Melissa qui avait fait 80 millions de dollars de dégât, a ainsi fait une réapparition discrète en janvier 2001, en raison de la disponibilité nouvelle d'Outlook pour Mac, laissant à nouveau se répandre le virus qui dormait sur nos disques durs sans avoir jamais subi le moindre passage d'anti-virus…
HyperCard en particulier
Parmi les applications les plus sensibles aux virus, on ne peut éviter de parler d'HyperCard. Ce logiciel extraordinaire avait un point faible : donner à l'utilisateur la haute main sur tous les aspects de son fonctionnement et quasiment aucune limite aux possibilités de programmation. C'est ainsi qu'apparut le premier d'entre eux, qui appelait à élire « Dukakis comme président en 88 » et ajoutait « Paix sur la Terre et passez une bonne journée » avant de s'autodétruire. Le message précisait également que ce premier virus pour HyperCard avait été créé par un « malfaisant de 14 ans » et qu'il était totalement sans danger. Plutôt sympa.
Le premier virus documenté pour HyperCard fut MerryXmas (Joyeux Noël), capable de se recopier dans la pile « Home » afin de se répandre ensuite dans toutes les piles. Prévu pour ne causer aucun dégât, il souffrait cependant d'un bug de programmation qui le conduisait parfois à copier des bouts de codes d'une pile à l'autre, entraînant des erreurs d'exécution, voire une sortie inopinée d'HyperCard. Il connaîtra de nombreux clones, de Merry2Xmas à CrudShot, ce dernier se permettant de détruire les piles, contrairement à ses aînés. Un de ses successeurs, Antibody, cherchera à l'éliminer et à installer un vaccin dans toutes les piles. Une sorte de virus anti-virus !
En 1995, HC9507 ou « Pickle » pointe le bout de son nez, tapant le mot « Pickle » dès que l'utilisateur cliquait avec la souris dans un champ de texte… Plus sournois, il surveillait l'horloge de l'ordinateur pour planter le Mac à certaines heures prédéfinies. Capable d'infecter des piles non ouvertes, il se révèlera bien plus contagieux que ses prédécesseurs. En 1997, c'est Independance Day qui tente de détruire les piles, mais il est si mal programmé qu'HyperCard interrompt son exécution et affiche le code ayant généré l'erreur, permettant à l'utilisateur de repérer l'intrus ! Le premier janvier 1999, c'est Blink, l'un des derniers virus pour HyperCard, qui s'active après plusieurs mois de propagation, et fait clignoter l'écran de manière particulièrement agaçante.
Plus folklorique, le virus « 3 tunes », qui ne s'activait que sur les Macs allemands, jouait l'hymne national, et à l'occasion redémarrait le Mac sans prévenir.
Pour se défaire de tous ces virus, on pouvait se procurer la pile Vaccine, qui recherchait les virus dans les piles HyperCard, les effaçait et laissait en place un vaccin, spécialement conçu pour faire croire aux virus qu'ils étaient déjà installés, afin qu'ils passent leur chemin. On pouvait aussi copier quelques lignes de codes au début de chacun des scripts, lignes qui reprenaient les éléments recherchés par les virus pour vérifier s'ils s'étaient déjà installés.
Mac OS X, système le plus sûr au monde ?
Le premier Cheval de Troie ciblant MacOS X fait son apparition le 20 mars 2004. MP3concept, c'est son nom, se cache sous les traits d'un fichier MP3 qui est capable de faire apparaître un message à l'écran avant même de s'ouvrir dans iTunes, ce qui est bien indélicat pour un simple fichier. Cependant, Intego, la société d'anti-virus qui l'a repéré, précise qu'aucune intention malveillante n'animait les auteurs de ce premier intrus sur MacOS X qui n'est capable ni de propagation, ni de destruction de données. Pour s'en protéger, il suffit de vérifier grâce au menu « Lire les informations » que les fichiers MP3 de provenance inconnue sont bien des fichiers musicaux et non d'autres fichiers avec l'étiquette MP3 collée dessus… Le Finder saura reconnaître une application derrière ce camouflage et vous le signalera.
Moins d'un mois plus tard, c'est un nouveau Cheval de Troie qui fait parler de lui. Cette fois-ci, c'est sous une fausse apparence de version « démo » de Word 2004 que se cache ce logiciel malintentionné, qu'Intego (à nouveau) baptise d'un doux petit nom : AS.MW2004. Un simple script AppleScript en réalité, qui active une commande Shell qui supprime le contenu du dossier « Utilisateur ». Pas très agréable à subir, mais là aussi, son incapacité à se répliquer l'empêche de revendiquer le titre de premier virus pour MacOS X. Comme le rappelle Apple, tout fichier ou logiciel téléchargé depuis une source non sûre est potentiellement dangereux, et aucun système ne peut être protégé contre ce qu'en fait l'utilisateur ! D'ailleurs, à l'époque, Microsoft lui-même n'avait pas encore proposé de version démo de Word 2004…
Le premier vrai virus à faire parler de lui sur MacOS X apparaît le 25 octobre 2004, sous le nom de Renepo-A, ou Opener. Utilisant le Terminal (interface UNIX du système), il vise à ouvrir une brèche dans le système afin que tout utilisateur y ait un accès en écriture. Il ne s'arrête pas là puisqu'il installe des outils capables d'enregistrer les mots de passe, désactive le pare-feu du système, et va jusqu'à créer un nouveau compte administrateur clandestin dans le système, tout ceci en désactivant les journaux qui pourraient garder trace de ces interventions.
Étrangement, ce « ver » est incapable de se propager de lui-même. Il faut l'installer directement sur la machine visée ! Une fois installé, il se propage à tous les disques connectés, y compris en réseau local. Cependant, il faut le mot de passe de l'administrateur pour installer le logiciel malveillant ! Autrement dit, pour être infecté, il faut le vouloir…
Dès le début du mois de novembre, Apple réplique en affirmant que ce logiciel n'est ni un virus, ni un vers, ni un cheval de Troie ! Seul l'utilisateur peut autoriser le code à s'exécuter… Le système MacOS X est d'ailleurs consacré quelques jours plus tard « Système le plus sûr au monde » avec son homologue BSD, classement basé sur les attaques portées contre les serveurs Internet. La semaine suivante, c'est le magazine Consumer Reports qui estime que 59.940 des 60.000 virus existant visent Windows, ce qui fait 59.940 bonnes raisons de choisir Apple. On rappellera que les 40 restants visent uniquement les Systèmes 6 à 9...
Pendant ce temps, les ventes de Mac s'envolent, dopées par « l'effet halo » de l'iPod et les épidémies de virus à répétition qui frappent le monde Windows. Sophos, la société qui avait débusqué Opener, affirme de la même manière qu'un PC non protégé n'a besoin en moyenne que de 12 minutes avant d'être infecté par un virus, au moyen d'une simple connexion à Internet. Symantec, l'autre expert en virus, estime de son côté que le nombre de virus devrait cependant augmenter avec la hausse des parts de marché d'Apple, notamment à cause du sentiment de sécurité qui conduit les utilisateurs de Mac à se passer d'anti-virus.
Certains sont cependant tellement persuadés que MacOS X est impénétrable qu'ils en profitent pour faire leur propre pub. DV Forge, spécialiste en accessoires pour Mac, lance ainsi en mars 2005 un concours visant à créer un virus pour Mac. 25.000 dollars sont à la clé pour celui qui réussira à infecter deux PowerMacs G5 sous MacOS 10.3, connectés à Internet six jours sur sept. Moqueur, l'organisateur du concours promet de doubler le prix si c'est un employé de Symantec qui crée ce virus, obligeant la société à prouver qu'elle avait raison d'alerter l'opinion, ou que ses employés sont incompétents. Cependant, quelques heures seulement après le lancement du concours, le patron de la société DVForge, Jack Campbell, décide de faire marche arrière, afin de ne pas risquer de possibles poursuites judiciaires...
Le 16 février 2006, c'est la société Sophos qui révèle qu'elle a (à nouveau) mis à jour le « premier virus sous MacOS X », baptisé OSX/Leap.A. Celui-ci se propage en s'envoyant de lui-même à tous les contacts enregistrés dans l'application de messagerie instantanée iChat. Le correspondant victime reçoit un message lui promettant les captures d'écran du futur MacOS X 10.5 « Léopard », accompagné d'un fichier intitulé « latestpics.tgz » qui, une fois décompressé, se transforme en un fichier arborant l'icône JPEG. En réalité, ce fichier est un exécutable UNIX qui supprime certains fichiers du disque dur, et contamine iChat afin de se propager à nouveau à tous les correspondants de la victime, et ainsi de suite.
Pour Apple, il ne peut s'agir d'un virus puisque pour se propager, il exige certaines actions de l'utilisateur (accepter le téléchargement, décompresser le fichier puis ouvrir le faux JPEG). De plus, les utilisateurs n'utilisant pas un compte « Administrateur » sur leur Mac doivent entrer leur mot de passe pour autoriser le code malicieux à s'exécuter… On préfère donc parler chez Apple de programme malicieux ou de ver, en précisant que tous les fichiers obtenus auprès d'une source non sûre sont, dans ce cas, potentiellement dangereux.
Début mars 2006, il est question de Gwerdna, un hacker qui aurait réussi à prendre le contrôle d'un Mac mini, en moins de trente minutes, en profitant de failles non documentées. ZDNet, à l'origine de cette révélation, devra pourtant avouer dès le lendemain que le hacker disposait de son propre compte utilisateur sur la machine... Cependant, on commence à s'apercevoir que le Mac attire de plus en plus les bidouilleurs de toutes sortes, rançon du succès pour Apple...
Ainsi, en novembre 2006, c'est le virus Macarena qui fait parler de lui. En fait, c'est plutôt un "proof of concept", une preuve de la possibilité de créer un virus sur Mac (une fois de plus). Fonctionnant sur les Macs "Intel", il aurait infesté moins d'une cinquantaine de machines en raison d'un système de duplication plutôt approximatif. Quelques semaines plus tôt, c'est dans l'iPod qu'un virus avait été repéré : bien évidemment, il ne s'attaquait qu'aux PC sur lesquels il était connecté. Le problème : c'est en usine que le virus s'était installé sur les iPods ! Plutôt que de reconnaître son erreur, Apple accusera Microsoft et la fragilité de son système d'exploitation...
|
|
