L'Aventure Apple



Chronologies : Apple et les virus



Jusque quand faut-il remonter l'Histoire pour rencontrer le premier virus ? Si les ancêtres de nos micro-ordinateurs n'étaient déjà pas à l'abri durant les années 70, beaucoup considèrent que c'est en 1986 qu'il faut revenir : l'année où apparaît BRAIN, qui se propageait par disquettes et s'attaquait au secteur de Boot des disques durs afin de les effacer. Pas sympa. Disons que s'il n'a pas été le premier virus proprement dit, il a en tout cas été le premier à marquer les esprits. Et pas le dernier, comme le prouve le succès des éditeurs d'anti-virus depuis vingt ans...




1981 : les virus attaquent Apple

Avant les Macs, il y avait les Apple II. Et sur les Apple II, il y avait déjà des vers. Le premier, programmé pour le processeur 6502, était tout simplement surnommé « Apple Worm » et s'appuyait sur un petit programme en BASIC qui se chargeait de l'insérer en mémoire afin qu'il puisse se répandre. Une fois en place, il se propageait en se dupliquant lui-même, effaçant la mémoire vive (y compris le programme qui l'avait lancé), et n'arrêtant sa course qu'une fois arrivé face aux ROMS.

Ceux-ci étaient incapables de se propager d'ordinateurs en ordinateurs. Mais il y avait aussi de vrais virus. Le tout premier ne s'est jamais répandu : ses deux concepteurs, alors qu'ils avaient réussi à créer un programme capable de se recopier lui-même de disques en disques, renoncèrent à le diffuser, prenant conscience de l'effet destructeur d'un tel logiciel couplé à des fonctions malveillantes.

D'autres programmeurs ont été moins dérangés par leur conscience, et ont diffusé leurs œuvres. Enfin, certains n'étaient pas bien méchants. Par exemple l'un des plus connus, « Elk Cloner », conçu par un jeune lycéen de 15 ans, se contentait de se répandre de disquettes en disquettes et, au bout de cinquante démarrages sur une même disquette infectée, affichait à l'écran : « Elk Cloner : le programme avec une personnalité. Il se répandra sur vos disques, s'infiltrera dans vos puces, Oui c'est un Cloneur ! Il ne vous lâchera plus, il modifiera même la RAM, Envoyez le Cloneur ! » (je vous passe les rimes, en anglais à l'origine). Cependant, tout en étant a priori sans danger pour les données sur les disquettes Apple II, il pouvait parfois endommager les disques d'autres formats. Pour protéger ses disquettes, il suffisait de changer un seul bit, inutilisé par le système d'Apple mais qui servait de repère au virus pour savoir s'il s'était déjà installé sur la disquette en question. Encore plus simplement, il n'y avait qu'à redémarrer l'ordinateur à chaque changement de disquette afin de supprimer le virus de la mémoire vive. En tout cas, en 1981, c'était le premier virus de l'histoire d'Apple. Enfin, pour ceux qui s'en souviennent.




Et le Mac ?

Le Mac n'a pas été à l'abri des virus, loin de là. En tout, on estime à environ 40 le nombre de virus créés spécifiquement pour la plate-forme d'Apple. Bon, à côté des 100.000 qui encombrent, selon certaines estimations, les disques durs des PC, on peut considérer que 40, c'est raisonnable.


En vrac : AIDS, Anti (sur Système 6 et 7), CDEF (qui s'attaque aux fichiers Desktop), CLAP (qui s'attaquait directement à l'anti-virus Disinfectant pour lui échapper), Code 1, Code 252 (qui se contentait d'inscrire « "You have a virus. Ha Ha Ha Ha Ha Ha Ha Now erasing all disks... » sans rien effacer…), Code 9811, Code 32767, Flag, Frankie, Fuck, Init 17, Init 29, Init 1984 (supprimant ou renommant les fichiers), Init-9403, MacMag (qui s'est autodétruit le 2 mai 1988), MBDF, BDEF, nVir (qui faisait biper le Mac aléatoirement ou prononçait « Don't panic » grâce à MacInTalk), Scores, SevenDust et T4 (deux des rares virus à altérer volontairement les données), WDEF, zero, Zuc (qui déplaçait le curseur de la souris tout seul). Etrangement, à quelques exceptions près, la plupart de ces virus ne causaient de dommages réels que rarement, quand ils se trompaient de cible ou altéraient des fichiers qui n'existaient pas à l'époque de leur programmation.

Quelques chevaux de Troie spécialement destinés aux Macs existaient également à l'époque des Systèmes 6 et 7, puis de Mac OS 8 et 9. Parmis eux, ChinaTalk, une extension qui faisait croire qu'elle gérait le son alors qu'elle effaçait les dossiers. Ou ExtensionConflict, qui gérait beaucoup moins bien les conflits qu'elle n'installait le virus SevenDust. Mosaic et Steroid, qui s'attaquaient à la structure des dossiers sur le disque. Virus Info qui préférait effacer les disques plutôt que d'informer sur les virus.

L'un des plus récents de la période « Mac OS Classique » fut « AutoStart », un vers qui se lançait en profitant de la fonction « Autoriser le démarrage automatique des CD-Roms », incluse avec QuickTime 2 en 1998. Malin, ce vers s'installait sur les disques durs en se renommant lui-même d'après des noms réellement utilisés par le système : « Desktop Print Spooler », ou « DB ». Technique imparable pour s'en protéger : désactiver la fonction de démarrage automatique des CD-Roms, fonction qui ne sera d'ailleurs jamais vraiment utilisée par les concepteurs de galettes optiques.

Tout ceci sans oublier les macro-virus, qui apparurent avec la nouvelle version de la suite Office (Word, Excel, PowerPoint) pour Windows 95. Portés sur Mac sous le numéro de version 6, ces logiciels emportaient avec eux Visual Basic for Applications, un système de programmation qui s'intègrait dans les documents. À leur lancement, ceux-ci pouvaient exécuter de véritables programmes masqués, ce qui fit dire qu'il était alors possible d'attraper un virus « simplement en ouvrant un document », une première !


Environ 200 macro-virus seront ainsi répertoriés, pour la plupart capables de s'exécuter sur un Mac. Cependant, le plus souvent, ils se trouvaient bloqués dans leurs tentatives malignes par l'absence de la plupart des technologies de Microsoft sur notre plate-forme : ActiveX, .NET… Longtemps, l'absence d'Outlook pour Mac a également privé les virus d'une application compatible avec Visual Basic, le langage de Microsoft dont se servent les macro-virus pour se répandre par e-mail. Parmi eux, le terrible virus Melissa qui avait fait 80 millions de dollars de dégât, a ainsi fait une réapparition discrète en janvier 2001, en raison de la disponibilité nouvelle d'Outlook pour Mac, laissant à nouveau se répandre le virus qui dormait sur nos disques durs sans avoir jamais subi le moindre passage d'anti-virus…


HyperCard en particulier

Parmi les applications les plus sensibles aux virus, on ne peut éviter de parler d'HyperCard. Ce logiciel extraordinaire avait un point faible : donner à l'utilisateur la haute main sur tous les aspects de son fonctionnement et quasiment aucune limite aux possibilités de programmation. C'est ainsi qu'apparut le premier d'entre eux, qui appelait à élire « Dukakis comme président en 88 » et ajoutait « Paix sur la Terre et passez une bonne journée » avant de s'autodétruire. Le message précisait également que ce premier virus pour HyperCard avait été créé par un « malfaisant de 14 ans » et qu'il était totalement sans danger. Plutôt sympa.

Le premier virus documenté pour HyperCard fut MerryXmas (Joyeux Noël), capable de se recopier dans la pile « Home » afin de se répandre ensuite dans toutes les piles. Prévu pour ne causer aucun dégât, il souffrait cependant d'un bug de programmation qui le conduisait parfois à copier des bouts de codes d'une pile à l'autre, entraînant des erreurs d'exécution, voire une sortie inopinée d'HyperCard. Il connaîtra de nombreux clones, de Merry2Xmas à CrudShot, ce dernier se permettant de détruire les piles, contrairement à ses aînés. Un de ses successeurs, Antibody, cherchera à l'éliminer et à installer un vaccin dans toutes les piles. Une sorte de virus anti-virus !

En 1995, HC9507 ou « Pickle » pointe le bout de son nez, tapant le mot « Pickle » dès que l'utilisateur cliquait avec la souris dans un champ de texte… Plus sournois, il surveillait l'horloge de l'ordinateur pour planter le Mac à certaines heures prédéfinies. Capable d'infecter des piles non ouvertes, il se révèlera bien plus contagieux que ses prédécesseurs. En 1997, c'est Independance Day qui tente de détruire les piles, mais il est si mal programmé qu'HyperCard interrompt son exécution et affiche le code ayant généré l'erreur, permettant à l'utilisateur de repérer l'intrus ! Le premier janvier 1999, c'est Blink, l'un des derniers virus pour HyperCard, qui s'active après plusieurs mois de propagation, et fait clignoter l'écran de manière particulièrement agaçante.

Plus folklorique, le virus « 3 tunes », qui ne s'activait que sur les Macs allemands, jouait l'hymne national, et à l'occasion redémarrait le Mac sans prévenir.

Pour se défaire de tous ces virus, on pouvait se procurer la pile Vaccine, qui recherchait les virus dans les piles HyperCard, les effaçait et laissait en place un vaccin, spécialement conçu pour faire croire aux virus qu'ils étaient déjà installés, afin qu'ils passent leur chemin. On pouvait aussi copier quelques lignes de codes au début de chacun des scripts, lignes qui reprenaient les éléments recherchés par les virus pour vérifier s'ils s'étaient déjà installés.



Mac OS X, système le plus sûr au monde ?

Le premier Cheval de Troie ciblant MacOS X fait son apparition le 20 mars 2004. MP3concept, c'est son nom, se cache sous les traits d'un fichier MP3 qui est capable de faire apparaître un message à l'écran avant même de s'ouvrir dans iTunes, ce qui est bien indélicat pour un simple fichier. Cependant, Intego, la société d'anti-virus qui l'a repéré, précise qu'aucune intention malveillante n'animait les auteurs de ce premier intrus sur MacOS X qui n'est capable ni de propagation, ni de destruction de données. Pour s'en protéger, il suffit de vérifier grâce au menu « Lire les informations » que les fichiers MP3 de provenance inconnue sont bien des fichiers musicaux et non d'autres fichiers avec l'étiquette MP3 collée dessus… Le Finder saura reconnaître une application derrière ce camouflage et vous le signalera.


Moins d'un mois plus tard, c'est un nouveau Cheval de Troie qui fait parler de lui. Cette fois-ci, c'est sous une fausse apparence de version « démo » de Word 2004 que se cache ce logiciel malintentionné, qu'Intego (à nouveau) baptise d'un doux petit nom : AS.MW2004. Un simple script AppleScript en réalité, qui active une commande Shell qui supprime le contenu du dossier « Utilisateur ». Pas très agréable à subir, mais là aussi, son incapacité à se répliquer l'empêche de revendiquer le titre de premier virus pour MacOS X. Comme le rappelle Apple, tout fichier ou logiciel téléchargé depuis une source non sûre est potentiellement dangereux, et aucun système ne peut être protégé contre ce qu'en fait l'utilisateur ! D'ailleurs, à l'époque, Microsoft lui-même n'avait pas encore proposé de version démo de Word 2004…


Le premier vrai virus à faire parler de lui sur MacOS X apparaît le 25 octobre 2004, sous le nom de Renepo-A, ou Opener. Utilisant le Terminal (interface UNIX du système), il vise à ouvrir une brèche dans le système afin que tout utilisateur y ait un accès en écriture. Il ne s'arrête pas là puisqu'il installe des outils capables d'enregistrer les mots de passe, désactive le pare-feu du système, et va jusqu'à créer un nouveau compte administrateur clandestin dans le système, tout ceci en désactivant les journaux qui pourraient garder trace de ces interventions.

Étrangement, ce « ver » est incapable de se propager de lui-même. Il faut l'installer directement sur la machine visée ! Une fois installé, il se propage à tous les disques connectés, y compris en réseau local. Cependant, il faut le mot de passe de l'administrateur pour installer le logiciel malveillant ! Autrement dit, pour être infecté, il faut le vouloir…

Dès le début du mois de novembre, Apple réplique en affirmant que ce logiciel n'est ni un virus, ni un vers, ni un cheval de Troie ! Seul l'utilisateur peut autoriser le code à s'exécuter… Le système MacOS X est d'ailleurs consacré quelques jours plus tard « Système le plus sûr au monde » avec son homologue BSD, classement basé sur les attaques portées contre les serveurs Internet. La semaine suivante, c'est le magazine Consumer Reports qui estime que 59.940 des 60.000 virus existant visent Windows, ce qui fait 59.940 bonnes raisons de choisir Apple. On rappellera que les 40 restants visent uniquement les Systèmes 6 à 9...

Pendant ce temps, les ventes de Mac s'envolent, dopées par « l'effet halo » de l'iPod et les épidémies de virus à répétition qui frappent le monde Windows. Sophos, la société qui avait débusqué Opener, affirme de la même manière qu'un PC non protégé n'a besoin en moyenne que de 12 minutes avant d'être infecté par un virus, au moyen d'une simple connexion à Internet. Symantec, l'autre expert en virus, estime de son côté que le nombre de virus devrait cependant augmenter avec la hausse des parts de marché d'Apple, notamment à cause du sentiment de sécurité qui conduit les utilisateurs de Mac à se passer d'anti-virus.

Certains sont cependant tellement persuadés que MacOS X est impénétrable qu'ils en profitent pour faire leur propre pub. DV Forge, spécialiste en accessoires pour Mac, lance ainsi en mars 2005 un concours visant à créer un virus pour Mac. 25.000 dollars sont à la clé pour celui qui réussira à infecter deux PowerMacs G5 sous MacOS 10.3, connectés à Internet six jours sur sept. Moqueur, l'organisateur du concours promet de doubler le prix si c'est un employé de Symantec qui crée ce virus, obligeant la société à prouver qu'elle avait raison d'alerter l'opinion, ou que ses employés sont incompétents. Cependant, quelques heures seulement après le lancement du concours, le patron de la société DVForge, Jack Campbell, décide de faire marche arrière, afin de ne pas risquer de possibles poursuites judiciaires...

Le 16 février 2006, c'est la société Sophos qui révèle qu'elle a (à nouveau) mis à jour le « premier virus sous MacOS X », baptisé OSX/Leap.A. Celui-ci se propage en s'envoyant de lui-même à tous les contacts enregistrés dans l'application de messagerie instantanée iChat. Le correspondant victime reçoit un message lui promettant les captures d'écran du futur MacOS X 10.5 « Léopard », accompagné d'un fichier intitulé « latestpics.tgz » qui, une fois décompressé, se transforme en un fichier arborant l'icône JPEG. En réalité, ce fichier est un exécutable UNIX qui supprime certains fichiers du disque dur, et contamine iChat afin de se propager à nouveau à tous les correspondants de la victime, et ainsi de suite.


Pour Apple, il ne peut s'agir d'un virus puisque pour se propager, il exige certaines actions de l'utilisateur (accepter le téléchargement, décompresser le fichier puis ouvrir le faux JPEG). De plus, les utilisateurs n'utilisant pas un compte « Administrateur » sur leur Mac doivent entrer leur mot de passe pour autoriser le code malicieux à s'exécuter… On préfère donc parler chez Apple de programme malicieux ou de ver, en précisant que tous les fichiers obtenus auprès d'une source non sûre sont, dans ce cas, potentiellement dangereux.

Début mars 2006, il est question de Gwerdna, un hacker qui aurait réussi à prendre le contrôle d'un Mac mini, en moins de trente minutes, en profitant de failles non documentées. ZDNet, à l'origine de cette révélation, devra pourtant avouer dès le lendemain que le hacker disposait de son propre compte utilisateur sur la machine... Cependant, on commence à s'apercevoir que le Mac attire de plus en plus les bidouilleurs de toutes sortes, rançon du succès pour Apple...

Ainsi, en novembre 2006, c'est le virus Macarena qui fait parler de lui. En fait, c'est plutôt un "proof of concept", une preuve de la possibilité de créer un virus sur Mac (une fois de plus). Fonctionnant sur les Macs "Intel", il aurait infesté moins d'une cinquantaine de machines en raison d'un système de duplication plutôt approximatif. Quelques semaines plus tôt, c'est dans l'iPod qu'un virus avait été repéré : bien évidemment, il ne s'attaquait qu'aux PC sur lesquels il était connecté. Le problème : c'est en usine que le virus s'était installé sur les iPods ! Plutôt que de reconnaître son erreur, Apple accusera Microsoft et la fragilité de son système d'exploitation...

Peu après, c'est une faille du logiciel "Image Disque" qui est pointée du doigt par la société Secunia. Un fichier .dmg corrompu pourrait prendre le contrôle du Mac et octroyer à un utilisateur des privilèges plus élevés que prévu. Il ne faudra que quelques semaines pour démontrer que la faille n'était en fait qu'un bug, provoquant un plantage du système, sans permettre une quelconque manipulation.

En mars 2008, lors de la CanSecWest Security Conference, un concours est organisé. But du jeu : prendre le contrôle en tant qu'administrateur d'un Mac, en utilisant uniquement les logiciels installés par défaut. Il aura fallu moins de deux minutes à Charlie Miller pour y parvenir, en s'appuyant sur un site qu'il a lui-même développé, et exploitant une faille de Safari. Vista a craqué quelques jours plus tard en raison d'une faille de Flash, la technologie multimedia d'Adobe. Les deux sociétés ont diffusé dans les semaines qui ont suivi des correctifs. Le même mois, l'éditeur Norton a l'idée du siècle : pour vendre son Anti-Virus (NAV 11) sur Mac, il propose une offre groupée avec NAV 2008 pour Windows, pour les utilisateurs de Windows sur Mac, via Boot Camp, Parallels ou VMware.

En juin 2008, un cheval de troie s'attaquant à Mac OS X 10.5 et 10.4, via iChat ou LimeWire, est repéré par la société SecureMac. Il prend la forme d'une application (AStht-v06) ou d'un script compilé (ASthtv05), et profite d'une faille dans le système de contrôle à distance Apple Remote Desktop et son moteur ARDAgent. Une fois installé par un double-clic (il faut donc déjà que l'utilisateur l'ait activé de lui-même), il obtient les privilèges d'administrateur, puis il ouvre les ports du part-feu, enregistre les frappes au clavier, active le partage d'écran et transmet les mots de passe... Cependant, la solution est simple : il suffit d'activer la gestion à distance du Mac, dans l'onglet "Partage" des Préférences Système, puis d'en désactiver toutes les options. Dans le même temps, la société Intefo dévoile un autre malware, PokerStealer, qui se fait passer pour un jeu de Poker. En réalité, derrière l'icône "Ace in the hole", se cache un shell script qui demande le mot de passe sous prétexte de "réparer un fichier de préférences corrompu", puis envoie ce mot de passe à un serveur distant.

Peu après, en octobre, c'est le célèbre éditeur d'anti-virus Intego qui prévient : le dernier anti-virus pour Mac, MacGuard, censé éradiquer plus de 100,000 virus sur notre plate-forme, est en réalité... une arnaque destinée à vous soutirer votre numéro de carte de crédit ! Dans la foulée, en novembre, la même société annonce avoir mis à jour une nouvelle version du Cheval de Troie RSPlug, joliment baptisée "OSX.RSPlug.D". Caché derrière des sites pornographiques, ce vilain virus téléchargerait un installeur capable, dans le futur, d'installer toutes sortes de logiciels malveillants sur nos Macs. Peu après, une autre variante, baptisée fort logiquement "OSX.RSPlug.F" (une version "E" a du passer inapperçue) est débusquée.


Sans être particulièrement inquiétante, la menace se fait plus précise en janvier 2009. Des pirates profitent alors de la présentation d'iWork '09 pour diffuser des versions piratées de ces logiciels sur les réseaux de peer2peer. Les utilisateurs, pensant faire une bonne affaire en récupérant gratuitement la nouvelle suite d'Apple, installent en fait sans le savoir un cheval de Troie dénommé "OSX.Iservice", lequel ouvre une porte sur le Mac pour permettre l'utilisation à distance de celui-ci dans des attaques informatiques. Ce virus devient ainsi le premier "botnet" (réseau d'ordinateurs robots) constitué de Macs. Une première attaque sera déclenchée peu après par sa variante "OSX.Trojan.iServices.A", caché dans des versions piratées d'Adobe Photoshop CS4.

S'ensuit une querelle de spécialistes, sur la sempiternelle question "Faut-il un anti-virus sur Mac ?". Apple s'en mêle, et s'emmêle, en affichant sur son site plusieurs conseils contradictoires, engageant à acheter un antivirus tout en promettant que le Mac s'en passe très bien. Peu après, on apprend qu'Apple a débauché un petit génie de la sécurité informatique, Ivan Krstic, qui travaille sur des solutions de virtualisation obligeant chaque application à travailler dans un espace cloisonné, d'où elle ne peut pas aller infecter les autres processus actifs.

Mieux que ça : sans en faire la publicité, Apple a intégré dans Snow Leopard, en septembre 2009, un anti-virus ! Plus exactement, un anti-malware, qui détecte dans les images disques, notamment celles téléchargées sur Internet, les logiciels malveillants, notamment les plus récemment découverts. Pas de quoi faire face aux petits nouveaux comme Thored-A, censé se diffuser par e-mail et enregistrer vos frappes sur le clavier. Heureusement, celui-ci est si mal programmé qu'il n'y parvient même pas ! Pas plus discret que OSX.Loosemaque, qui se déguise derrière un jeu de type "Space Invader" : mais à chaque fois qu'un vaisseau est détruit, c'est un fichier qui disparâit de votre disque dur ! Là encore, la meilleure protection est encore un peu de jugeote avant de télécharger n'importe quoi.

A son tour, l'iPhone est victime de son premier virus en novembre 2009. Presque insignifiant puisqu'il se contente de changer le fond d'écran de votre téléphone, et plutôt limité puisqu'il ne s'attaque qu'aux iphones jailbreakés (c'est-à-dire volontairement débarassés de toutes leurs protections par des utilisateurs avides de personnaliser leur téléphone).



L'Aventure Apple est un site indépendant d'Apple Computer. Toutes les marques citées
appartiennent à leurs propriétaires respectifs. © 2000-2014 Jean-Baptiste Leheup