Apple et les virus

Jusque quand faut-il remonter l’Histoire pour rencontrer le premier virus ? Si les ancêtres de nos micro-ordinateurs n’étaient déjà pas à l’abri durant les années 70, beaucoup considèrent que c’est en 1986 qu’il faut revenir : l’année où apparaît BRAIN, qui se propageait par les disquettes au format DOS. Officiellement, ses créateurs voulaient protéger leur logiciel contre la copie pirate, et le code leur aurait ensuite échappé, s’attaquant notamment au réseau Arpanet. Leur nom et leur numéro de téléphone apparaissait même à l’écran lorsque le virus était chargé ! Disons que s’il n’a pas été le premier virus proprement dit, il a en tout cas été le premier à marquer les esprits. Et pas le dernier, comme le prouve le succès des éditeurs d’anti-virus depuis trente ans…


1981 : les virus attaquent Apple

Avant les Macs, il y avait les Apple II. Et sur les Apple II, il y avait déjà des vers. Le premier, programmé pour le processeur 6502, était tout simplement surnommé « Apple Worm » et s’appuyait sur un petit programme en BASIC qui l’insérait en mémoire afin qu’il puisse se répandre. Une fois en place, il se propageait en se dupliquant lui-même, effaçant la mémoire vive (y compris le programme qui l’avait lancé), et n’arrêtant sa course qu’une fois arrivé face aux ROMS.

Ces vers étaient incapables de se propager d’ordinateurs en ordinateurs. Mais il y avait aussi de vrais virus. Le tout premier ne s’est jamais répandu : ses deux concepteurs, qui avaient réussi à créer un programme capable de se recopier lui-même de disques en disques, renoncèrent à le diffuser, prenant conscience de l’effet destructeur d’un tel logiciel couplé à des fonctions malveillantes.

D’autres programmeurs furent moins dérangés par leur conscience, et diffusèrent leurs œuvres. Certaines créations n’étaient pas bien méchantes. Par exemple l’un des virus les plus connus, « Elk Cloner », conçu en 1982 par un jeune lycéen de 15 ans, se contentait de se répandre de disquettes en disquettes et, au bout de cinquante démarrages sur une même disquette infectée, affichait à l’écran : « Elk Cloner : le programme avec une personnalité. Il se répandra sur vos disques, s’infiltrera dans vos puces, Oui c’est un Cloneur ! Il ne vous lâchera plus, il modifiera même la RAM, Envoyez le Cloneur ! » (je vous passe les rimes, en anglais à l’origine). Cependant, tout en étant a priori sans danger pour les données sur les disquettes Apple II, il pouvait parfois endommager les disques d’autres formats. Pour protéger ses disquettes, il suffisait de changer un seul bit, inutilisé par le système d’Apple mais qui servait de repère au virus pour savoir s’il s’était déjà installé sur la disquette en question. Encore plus simplement, il n’y avait qu’à redémarrer l’ordinateur à chaque changement de disquette afin de supprimer le virus de la mémoire vive. En tout cas, en 1981, c’était le premier virus de l’histoire d’Apple. Enfin, pour ceux qui s’en souviennent.


Et le Mac ?

Le Mac n’a pas été à l’abri des virus, loin de là. En tout, on estime à environ 40 le nombre de virus créés spécifiquement pour la plate-forme d’Apple avant MacOS X. Bon, à côté des 100.000 qui encombraient les disques durs des PC selon certaines estimations, on peut considérer que 40, c’est raisonnable.

En vrac : AIDS, Anti (sur Système 6 et 7), CDEF (qui s’attaquait aux fichiers Desktop), CLAP (qui s’attaquait directement à l’anti-virus Disinfectant pour lui échapper), Code 1, Code 252 (qui se contentait d’inscrire « « You have a virus. Ha Ha Ha Ha Ha Ha Ha Now erasing all disks… » sans rien effacer…), Code 9811, Code 32767, Flag, Frankie, Fuck, Init 17, Init 29, Init 1984 (supprimant ou renommant les fichiers), Init-9403, MacMag (qui s’est autodétruit le 2 mai 1988), MBDF, BDEF, nVir (qui faisait biper le Mac aléatoirement ou prononçait « Don’t panic » grâce à MacInTalk), Scores, SevenDust et T4 (deux des rares virus à altérer volontairement les données), WDEF, zero, Zuc (qui déplaçait le curseur de la souris tout seul). Etrangement, à quelques exceptions près, la plupart de ces virus ne causaient de dommages réels que rarement, quand ils se trompaient de cible ou altéraient des fichiers qui n’existaient pas à l’époque de leur programmation.

Quelques chevaux de Troie spécialement destinés aux Macs existaient également à l’époque des Systèmes 6 et 7, puis de Mac OS 8 et 9. Parmi eux, ChinaTalk, une extension qui faisait croire qu’elle gérait le son alors qu’elle effaçait les dossiers ; ExtensionConflict, qui gérait beaucoup moins bien les conflits qu’elle n’installait le virus SevenDust ; Mosaic et Steroid, qui s’attaquaient à la structure des dossiers sur le disque ; Virus Info qui préférait effacer les disques plutôt que d’informer sur les virus.

L’un des plus récents de la période « Mac OS Classique » fut « AutoStart », un ver qui se lançait en profitant de la fonction « Autoriser le démarrage automatique des CD-Roms », incluse avec QuickTime 2 en 1998. Malin, ce vers s’installait sur les disques durs en se renommant lui-même d’après des noms réellement utilisés par le système : « Desktop Print Spooler », ou « DB ». Technique imparable pour s’en protéger : désactiver la fonction de démarrage automatique des CD-Roms, fonction qui ne sera d’ailleurs jamais vraiment utilisée par les concepteurs de galettes optiques.

Tout ceci sans oublier les macro-virus, qui apparurent avec la nouvelle version de la suite Office (Word, Excel, PowerPoint) pour Windows 95. Portés sur Mac sous le numéro de version 6, ces logiciels emportaient avec eux Visual Basic for Applications, un système de programmation qui s’intègrait dans les documents. À leur lancement, ceux-ci pouvaient exécuter de véritables programmes masqués, ce qui fit dire qu’il était alors possible d’attraper un virus « simplement en ouvrant un document », une première !

Environ 200 macro-virus seront ainsi répertoriés, pour la plupart capables de s’exécuter sur un Mac. Cependant, le plus souvent, ils se trouvaient bloqués dans leurs tentatives malignes par l’absence de la plupart des technologies de Microsoft sur notre plate-forme : ActiveX, .NET… Longtemps, l’absence d’Outlook pour Mac a également privé les virus d’une application compatible avec Visual Basic, le langage de Microsoft dont se servent les macro-virus pour se répandre par e-mail. Parmi eux, le terrible virus Melissa qui avait fait 80 millions de dollars de dégâts en 1999, a ainsi fait une réapparition discrète en janvier 2001, quand Microsoft a porté Outlook sur Mac, réveillant le virus qui dormait sur les disques durs de nos Macs…


HyperCard en particulier

Parmi les applications les plus sensibles aux virus, on ne peut éviter de parler d’HyperCard. Ce logiciel extraordinaire avait un point faible : donner à l’utilisateur la haute main sur tous les aspects de son fonctionnement et quasiment aucune limite aux possibilités de programmation. C’est ainsi qu’apparut le premier d’entre eux, qui appelait à élire « Dukakis comme président en 88 » et ajoutait « Paix sur la Terre et passez une bonne journée » avant de s’autodétruire. Le message précisait également que ce premier virus pour HyperCard avait été créé par un « malfaisant de 14 ans » et qu’il était totalement sans danger. Plutôt sympa.

Le premier virus documenté pour HyperCard fut MerryXmas (Joyeux Noël), capable de se recopier dans la pile « Home » afin de se répandre ensuite dans toutes les piles. Prévu pour ne causer aucun dégât, il souffrait cependant d’un bug de programmation qui le conduisait parfois à copier des bouts de codes d’une pile à l’autre, entraînant des erreurs d’exécution, voire une sortie inopinée d’HyperCard. Il connaîtra de nombreux clones, de Merry2Xmas à CrudShot, ce dernier se permettant de détruire les piles, contrairement à ses aînés. Un de ses successeurs, Antibody, cherchera à l’éliminer et à installer un vaccin dans toutes les piles. Une sorte de virus anti-virus !

En 1995, HC9507 ou « Pickle » pointe le bout de son nez, tapant le mot « Pickle » dès que l’utilisateur cliquait avec la souris dans un champ de texte… Plus sournois, il surveillait l’horloge de l’ordinateur pour planter le Mac à certaines heures prédéfinies. Capable d’infecter des piles non ouvertes, il se révèlera bien plus contagieux que ses prédécesseurs. En 1997, c’est Independance Day qui tente de détruire les piles, mais il est si mal programmé qu’HyperCard interrompt son exécution et affiche le code ayant généré l’erreur, permettant à l’utilisateur de repérer l’intrus ! Le premier janvier 1999, c’est Blink, l’un des derniers virus pour HyperCard, qui s’active après plusieurs mois de propagation, et fait clignoter l’écran de manière particulièrement agaçante. Plus folklorique, le virus « 3 tunes », qui ne s’activait que sur les Macs allemands, jouait l’hymne national, et à l’occasion redémarrait le Mac sans prévenir.

Pour se défaire de tous ces virus, on pouvait se procurer la pile Vaccine, qui recherchait les virus dans les piles HyperCard, les effaçait et laissait en place un vaccin, spécialement conçu pour faire croire aux virus qu’ils étaient déjà installés, afin qu’ils passent leur chemin. On pouvait aussi copier quelques lignes de codes au début de chacun des scripts, lignes qui reprenaient les éléments recherchés par les virus pour vérifier s’ils s’étaient déjà installés.


MacOS X : quand les virus laissent la place aux chevaux de Troie…

Là où le virus doit, par définition, se répandre de machine en machine sans intervention des utilisateurs, le cheval de Troie va droit au but. Sous les apparences d’une application utile, il s’installe sur l’ordinateur de l’utilisateur, qui l’a dûment autorisé à le faire. L’application-support peut être une application existante mais modifiée avant d’être redistribuée, ou une nouvelle application censée répondre à un besoin réel.

Le premier Cheval de Troie ciblant MacOS X fait son apparition le 20 mars 2004. MP3concept, c’est son nom, se cache sous les traits d’un fichier MP3 qui est capable de faire apparaître un message à l’écran avant même de s’ouvrir dans iTunes, ce qui est bien indélicat pour un simple fichier. Cependant, Intego, la société d’anti-virus qui l’a repéré, précise qu’aucune intention malveillante n’animait les auteurs de ce premier intrus sur MacOS X qui n’est capable ni de propagation, ni de destruction de données. Pour s’en protéger, il suffit de vérifier grâce au menu « Lire les informations » que les fichiers MP3 de provenance inconnue sont bien des fichiers musicaux et non d’autres fichiers avec l’étiquette MP3 collée dessus… Le Finder saura reconnaître une application derrière ce camouflage et vous le signalera.

Moins d’un mois plus tard, c’est un nouveau Cheval de Troie qui fait parler de lui. Cette fois-ci, c’est sous une fausse apparence de version « démo » de Word 2004 que se cache ce logiciel malintentionné, qu’Intego (à nouveau) baptise d’un doux petit nom : AS.MW2004. Un simple script AppleScript en réalité, qui active une commande Shell qui supprime le contenu du dossier « Utilisateur ». Pas très agréable à subir, mais là aussi, son incapacité à se répliquer l’empêche de revendiquer le titre de premier virus pour MacOS X. Comme le rappelle Apple, tout fichier ou logiciel téléchargé depuis une source non sûre est potentiellement dangereux, et aucun système ne peut être protégé contre ce qu’en fait l’utilisateur ! D’ailleurs, à l’époque, Microsoft lui-même n’avait pas encore proposé de version démo de Word 2004…

Le premier vrai malware à faire parler de lui sur MacOS X apparaît le 25 octobre 2004, sous le nom de Renepo-A, ou Opener. Utilisant le Terminal (interface UNIX du système), il vise à ouvrir une brèche dans le système afin que tout utilisateur y ait un accès en écriture. Il ne s’arrête pas là puisqu’il installe des outils capables d’enregistrer les mots de passe, désactive le pare-feu du système, et va jusqu’à créer un nouveau compte administrateur clandestin dans le système, tout ceci en désactivant les journaux qui pourraient garder trace de ces interventions.

Étrangement, ce « ver » est incapable de se propager de lui-même. Il faut l’installer directement sur la machine visée ! Une fois installé, il se propage à tous les disques connectés, y compris en réseau local. Cependant, il faut le mot de passe de l’administrateur pour installer le logiciel malveillant ! Autrement dit, pour être infecté, il faut le vouloir…

Dès le début du mois de novembre, Apple réplique en affirmant que ce logiciel n’est ni un virus, ni un ver, ni un cheval de Troie ! Seul l’utilisateur peut autoriser le code à s’exécuter… Le système MacOS X est d’ailleurs consacré quelques jours plus tard « Système le plus sûr au monde » avec son homologue BSD, classement basé sur les attaques portées contre les serveurs Internet. La semaine suivante, c’est le magazine Consumer Reports qui estime que 59.940 des 60.000 virus existant visent Windows, ce qui fait 59.940 bonnes raisons de choisir Apple. On rappellera que les 40 restants visent uniquement les Systèmes 6 à 9…

Pendant ce temps, les ventes de Mac s’envolent, dopées par « l’effet halo » de l’iPod et les épidémies de virus à répétition qui frappent le monde Windows. Sophos, la société qui avait débusqué Opener, affirme de la même manière qu’un PC non protégé n’a besoin en moyenne que de 12 minutes avant d’être infecté par un virus, au moyen d’une simple connexion à Internet. Symantec, l’autre expert en virus, estime de son côté que le nombre de virus devrait cependant augmenter avec la hausse des parts de marché d’Apple, notamment à cause du sentiment de sécurité qui conduit les utilisateurs de Mac à se passer d’anti-virus.

Certains sont cependant tellement persuadés que MacOS X est impénétrable qu’ils en profitent pour faire leur propre pub. DV Forge, spécialiste en accessoires pour Mac, lance ainsi en mars 2005 un concours visant à créer un virus pour Mac. 25.000 dollars sont à la clé pour celui qui réussira à infecter deux PowerMacs G5 sous MacOS 10.3, connectés à Internet six jours sur sept. Moqueur, l’organisateur du concours promet de doubler le prix si c’est un employé de Symantec qui crée ce virus, obligeant la société à prouver qu’elle avait raison d’alerter l’opinion, ou que ses employés sont incompétents. Cependant, quelques heures seulement après le lancement du concours, le patron de la société DVForge, Jack Campbell, décide de faire marche arrière, afin de ne pas risquer de possibles poursuites judiciaires…

Le 16 février 2006, c’est la société Sophos qui révèle qu’elle a (à nouveau) mis à jour le « premier virus sous MacOS X », baptisé OSX/Leap.A. Celui-ci se propage en s’envoyant de lui-même à tous les contacts enregistrés dans l’application de messagerie instantanée iChat. Le correspondant victime reçoit un message lui promettant les captures d’écran du futur MacOS X 10.5 « Léopard », accompagné d’un fichier intitulé « latestpics.tgz » qui, une fois décompressé, se transforme en un fichier arborant l’icône JPEG. En réalité, ce fichier est un exécutable UNIX qui supprime certains fichiers du disque dur, et contamine iChat afin de se propager à nouveau à tous les correspondants de la victime, et ainsi de suite.

Pour Apple, il ne peut s’agir d’un virus puisque pour se propager, il exige certaines actions de l’utilisateur (accepter le téléchargement, décompresser le fichier puis ouvrir le faux JPEG). De plus, les utilisateurs n’utilisant pas un compte « Administrateur » sur leur Mac doivent entrer leur mot de passe pour autoriser le code malicieux à s’exécuter… On préfère donc parler chez Apple de programme malicieux ou de ver, en précisant que tous les fichiers obtenus auprès d’une source non sûre sont, dans ce cas, potentiellement dangereux.

Dans la foulée, Sophos annonce la découverte d’un nouveau ver, nommé Inqtana-A, qui exploite une vulnérabilité du protocole Bluetooth pour se propager. Cependant, cette faille ayant été comblée par Apple à l’occasion d’une mise à jour distribuée six mois plus tôt, sa diffusion restera anecdotique.

Début mars 2006, il est question de Gwerdna, un hacker qui aurait réussi à prendre le contrôle d’un Mac mini, en moins de trente minutes, en profitant de failles non documentées. ZDNet, à l’origine de cette révélation, devra pourtant avouer dès le lendemain que le hacker disposait de son propre compte utilisateur sur la machine… Cependant, on commence à s’apercevoir que le Mac attire de plus en plus les bidouilleurs de toutes sortes, rançon du succès pour Apple…

Ainsi, en novembre 2006, c’est le virus Macarena qui fait parler de lui. En fait, c’est plutôt un « proof of concept », une preuve de la possibilité de créer un virus sur Mac (une fois de plus). Fonctionnant sur les Macs « Intel », il aurait infesté moins d’une cinquantaine de machines en raison d’un système de duplication plutôt approximatif. Quelques semaines plus tôt, c’est dans l’iPod qu’un virus avait été repéré : bien évidemment, il ne s’attaquait qu’aux PC sur lesquels il était connecté. Le problème : c’est en usine que le virus s’était installé sur les iPods ! Plutôt que de reconnaître son erreur, Apple accusera Microsoft et la fragilité de son système d’exploitation…

Peu après, c’est une faille du logiciel « Image Disque » qui est pointée du doigt par la société Secunia. Un fichier .dmg corrompu pourrait prendre le contrôle du Mac et octroyer à un utilisateur des privilèges plus élevés que prévu. Il ne faudra que quelques semaines pour démontrer que la faille n’était en fait qu’un bug, provoquant un plantage du système, sans permettre une quelconque manipulation.

En juin 2007, BadBunny pointe le bout de son nez. Il restera une « preuve de concept », plus qu’un véritable virus, se contentant d’afficher à l’écran une photo d’homme déguisé en lapin (précisons que ledit lapin était bien occupé avec une demoiselle fort peu habillée). Ce virus, caché dans les macros d’un document OpenOffice, avait une particularité : il s’attaquait de front aux trois systèmes d’exploitation, Mac OS, Windows et Linux.

En janvier 2008, MacSweep devient le premier faux-antivirus à se faire connaître sur Mac. Loin d’éradiquer quoi que ce soit, il se contentait d’annoncer la découverte de logiciels malveillants, puis de réclamer le paiement de la licence pour les supprimer… Conscient que la plupart des utilisateurs de Macs se sentaient à l’abri des virus, MacSweeper annonçait la découverte de logiciels ne respectant pas la vie privée, ou utilisant des cookies sans autorisation… Le même logiciel réapparaîtra peu après sous le nom de Imunizator.

En mars 2008, lors de la CanSecWest Security Conference, un concours est organisé. But du jeu : prendre le contrôle en tant qu’administrateur d’un Mac, en utilisant uniquement les logiciels installés par défaut. Il aura fallu moins de deux minutes à Charlie Miller pour y parvenir, en s’appuyant sur un site qu’il a lui-même développé, et exploitant une faille de Safari. Vista a craqué quelques jours plus tard en raison d’une faille de Flash, la technologie multimedia d’Adobe. Les deux sociétés ont diffusé dans les semaines qui ont suivi des correctifs. Le même mois, l’éditeur Norton a l’idée du siècle : pour vendre son Anti-Virus (NAV 11) sur Mac, il propose une offre groupée avec NAV 2008 pour Windows, pour les utilisateurs de Windows sur Mac, via Boot Camp, Parallels ou VMware.

En juin 2008, un cheval de troie s’attaquant à Mac OS X 10.5 et 10.4, via iChat ou LimeWire, est repéré par la société SecureMac. Il prend la forme d’une application (AStht-v06) ou d’un script compilé (ASthtv05), et profite d’une faille dans le système de contrôle à distance Apple Remote Desktop et son moteur ARDAgent. Une fois installé par un double-clic (il faut donc déjà que l’utilisateur l’ait activé de lui-même), il obtient les privilèges d’administrateur, puis il ouvre les ports du pare-feu, enregistre les frappes au clavier, active le partage d’écran et transmet les mots de passe… Cependant, la solution est simple : il suffit d’activer la gestion à distance du Mac, dans l’onglet « Partage » des Préférences Système, puis d’en désactiver toutes les options. Dans le même temps, la société Intefo dévoile un autre malware, PokerStealer, qui se fait passer pour un jeu de Poker. En réalité, derrière l’icône « Ace in the hole », se cache un shell script qui demande le mot de passe sous prétexte de « réparer un fichier de préférences corrompu », puis envoie ce mot de passe à un serveur distant.

Peu après, en octobre, c’est le célèbre éditeur d’anti-virus Intego qui prévient : le dernier anti-virus pour Mac, MacGuard, censé éradiquer plus de 100.000 virus sur notre plate-forme, est en réalité… une arnaque destinée à vous soutirer votre numéro de carte de crédit ! Dans la foulée, en novembre, la même société annonce avoir mis à jour une nouvelle version du Cheval de Troie RSPlug, joliment baptisée « OSX.RSPlug.D » ou Jahlav. Caché derrière des sites pornographiques, ce vilain virus téléchargeait un installeur capable, dans le futur, d’installer toutes sortes de logiciels malveillants sur nos Macs. Peu après, une autre variante, baptisée fort logiquement « OSX.RSPlug.F » (une version « E » a du passer inapperçue) est débusquée.

Sans être particulièrement inquiétante, la menace se fait plus précise en janvier 2009. Des pirates profitent alors de la présentation d’iWork ’09 pour diffuser des versions piratées de ces logiciels sur les réseaux de peer2peer. Les utilisateurs, pensant faire une bonne affaire en récupérant gratuitement la nouvelle suite d’Apple, installent en fait sans le savoir un cheval de Troie dénommé « OSX.Iservice », lequel ouvre une porte sur le Mac pour permettre l’utilisation à distance de celui-ci dans des attaques informatiques. Ce virus devient ainsi le premier « botnet » (réseau d’ordinateurs robots) constitué de Macs. Une première attaque sera déclenchée peu après par sa variante « OSX.Trojan.iServices.A », caché dans des versions piratées d’Adobe Photoshop CS4.

S’ensuit une querelle de spécialistes, sur la sempiternelle question « Faut-il un anti-virus sur Mac ? ». Apple s’en mêle, et s’emmêle, en affichant sur son site plusieurs conseils contradictoires, engageant à acheter un antivirus tout en promettant que le Mac s’en passe très bien. Peu après, on apprend qu’Apple a débauché un petit génie de la sécurité informatique, Ivan Krstic, qui travaille sur des solutions de virtualisation obligeant chaque application à travailler dans un espace cloisonné, d’où elle ne peut pas aller infecter les autres processus actifs.

Mieux que ça : sans en faire la publicité, Apple intègre dans Snow Leopard, en septembre 2009, un anti-virus ! Plus exactement, un anti-malware dénommé XProtect, qui détecte dans les images disques, notamment celles téléchargées sur Internet, les logiciels malveillants, notamment les plus récemment découverts. Kaspersky avait aussi rejoint la plateforme Mac, en proposant son antivirus qui, pour une quarantaine d’euros, protège le Mac contre les vers, virus, chevaux de Troie, et évite à nos ordinateurs d’être vecteurs d’infestation pour les PC des voisins. Puis ESET rejoint le bal, avec ses logiciels ESET NOD32 Antivirus 4 et ESET Cybersecurity for Mac. Arrive ensuite Panda Antivirus for Mac, puis Doctor Web : comme quoi le filon doit être rentable.

Pas de quoi faire peur aux petits nouveaux comme Thored-A, censé se diffuser par e-mail et enregistrer vos frappes sur le clavier. Heureusement, celui-ci est si mal programmé qu’il n’y parvient même pas ! Pas plus discret que OSX.Loosemaque, qui se déguise derrière un jeu de type « Space Invader » : mais à chaque fois qu’un vaisseau est détruit, c’est un fichier qui disparaît de votre disque dur ! Là encore, la meilleure protection est encore un peu de jugeote avant de télécharger n’importe quoi.

En 2010, des Macs apparaissent à nouveau dans un réseau de botnet, ces ordinateurs qui, à l’insu de leur propriétaire, font partie d’un réseau de zombies prêt à être utilisé par des pirates, par exemple pour lancer une attaque concertée contre un site web (attaque par déni de service). Dénommé OSX/Koobface.A, Jnanabot ou Boonana, ce virus avait la particularité de s’appuyer sur le langage Java pour infecter aussi bien des PC que des Macs. Linux restait à l’abri et le virus n’y survivait pas à un redémarrage. Peu après, c’est grâce à un mode opératoire particulier que le logiciel-espion OSX/OpinionSpy se répand sur quelques Macs. Pour se diffuser sans dépendre de sites pirates, il a réussi à infecter un installeur tout à fait honnête, et se retrouve donc distribué par des sites de confiance comme MacUpdate ou VersionTracker, notamment des économiseurs d’écrans, étrangement tous développés par 7art-screensavers… Dans le même temps, HellRTS pointe le bout de son nez programmé en RealBASIC, pour envoyer des mails à votre insu et laisser un tiers prendre le contrôle de votre ordinateur. Pas plus que les autres, il n’est capable de s’auto-répliquer vers d’autres machines.

En février 2011, Sophos découvre un nouveau trojan sur Mac : Blackhole RAT, encore en développement, et déjà capable de plusieurs méchancetés une fois installé, comme de réclamer le mot de passe administrateur, ou d’afficher une fenêtre en plein écran. Une fois de plus, ce cheval de Troie était réservé aux amateurs de sites pirates installant des applications de provenance douteuse. En mai 2011, la société Intego annonce la découverte d’un nouveau faux-antivirus destiné au Mac. Sous le nom de MacDefender, puis de ses clones Mac Protector, Mac Security, Mac Guard, Mac Shield, ce logiciel était proposé au téléchargement lors de la visite de sites de recherches, après une fausse vérification du disque dur amenant, évidemment, à la découverte de graves virus. Non seulement le logiciel était payant, mais il tentait ensuite de récupérer des informations bancaires pour les transmettre à un site pirate. Ce logiciel deviendra en quelques jours le premier motif d’appel à l’assistance Apple Care ! C’est après cet épisode qu’Apple décidera d’inclure un système de mise à jour automatique à XProtect, sa technologie de détection de malware intégrée à Mac OS X. Elle sera suivie dans son effort par Avast qui présentera la première version Mac de son antivirus gratuit.

En octobre 2011, le malware OSX/Tsunami fait parler de lui. Une fois installé, il attend les ordres d’un pirate pour lancer des attaques par déni de service contre un site web. En novembre 2011, Sophos découvre DevilRobber, un malware caché dans des versions piratées de Mac OS X et de Graphic Converter, mais heureusement incapable de se répliquer de lui-même de Mac en Mac. Une fois installé, il peut cependant voler les identifiants et mots de passe de l’utilisateur et les envoyer à un serveur distant, puis ouvrir les ports sur un ordinateur et permettre le contrôle de celui-ci depuis un serveur pirate. De manière plus originale, il génère des faux Bitcoins en faisant discrètement tourner une application de calcul de codes en arrière-plan…

En février 2012, en présentant OS X Mountain Lion, la version 10.8 de sons système, Apple renomme XProtect en Gatekeeper. Apple développe alors le concept d’application signée, qui devient accessible aux développeurs tant sur le Mac App Store que pour les applications diffusées sur le web. L’utilisateur du Mac peut alors choisir de faire confiance à toutes les applications, à celles qui disposent d’une signature, ou à celles en provenance exclusive du Mac App Store. La première fonction disparaîtra même avec macOS Sierra, impliquant des manipulations supplémentaires pour lancer des applications non-signées sur le Mac.

En avril 2012, ce sont plus de 600.000 Macs qui sont infectés par le logiciel malveillant « Flashback », un de ces programmes conçus pour permettre une prise de contrôle de l’ordinateur à distance (par exemple pour s’en servir plus tard comme relai d’une attaque sur des serveurs). C’est à cette occasion qu’Apple revoit sa communication, et que l’argument « Il est immunisé contre les virus PC « devient « Il est conçu pour être sûr ».

Un nouveau malware est découvert en mai 2013. KitM, une fois installé, prend régulièrement des copies d’écran afin de les envoyer vers des serveurs distants… qui se révèlent inopérants. Il s’agissait sans doute du premier malware utilisant une signature Developer ID censée garantir le contrôle de l’application par Apple, qui révoquera cet identifiant dans les jours suivant la découverte.

En décembre 2014, le Chaos Computer Club présente une faille de sécurité du Mac, dénommée ThunderStrike. Elle consiste à modifier l’EFI du Mac (l’équivalent du BIOSsur PC) en utilisant un périphérique Thunderbolt. La manipulation injecte du code dans la ROM de démarrage, une mémoire totalement isolée du disque dur. Mettre à jour ou formater le Mac ne peut donc pas en venir à bout. Une fois installée, la modification peut être transmise à chaque appareil Thunderbolt : de Mac à périphérique et réciproquement. Le périmètre d’action de ce malware reste limité : il ne peut pas directement accéder à des données sensibles. Cette faille ne sera d’ailleurs jamais réellement exploitée, malgré des tentatives de ses créateurs de l’améliorer : ainsi, en août 2015, ils parviendront à infecter des périphériques Thunderbolt à distance, par un site web ou un mail. Les mises à jour de MacOS viendront à bout des différentes faiblesses exploitées par les pirates.

En septembre 2015, une attaque particulièrement originale voit le jour en Chine. Profitant de la coutume locale consistant à télécharger des logiciels ailleurs que dans le circuit officiel, des malandrins ont diffusé une version piratée de Xcode, le programme d’Apple permettant de développer des logiciels pour Mac et iOS. Toutes les applications conçues avec cette version vérolée de Xcode pouvaient alors récupérer des données sensibles sur l’appareil et les envoyer à un serveur, à l’insu du développeur de l’application !

En mars 2016, KeRanger s’illustre comme le premier rançongiciel (ou ransomware en version originale) sur Mac. Diffusé avec une version vérolée de Transmission, un client BitTorrent, il parvenait à chiffrer certains fichiers du disque dur, avant de demander le paiement d’environ 400 dollars en bitcoins pour déverrouiller ces fichiers. Détecté à temps, ce premier rançongiciel fera l’objet d’une éviction immédiate par les deux systèmes de sécurité d’Apple (l’authentification par certificat et la détection de malware par Xprotect, la protection intégrée à Mac OS X). Le rançongiciel ayant été conçu pour patienter trois jours avant de s’activer, aucune victime ne sera officiellement déplorée. Un autre rançongiciel, Dogspectus, apparaît le mois suivant sur les téléphones Androïd. S’il ne frappe pas les Macs, il concerne Apple puisque, pour la première fois, un rançongiciel exige des codes de cartes iTunes plutôt qu’un paiement en bonne et due forme.

Durant l’été, les Macs sont visés par Keydnap, qui récupère le contenu du trousseau d’accès et y ouvre une porte dérobée, puis par Eleanor, une autre porte dérobée cachée derrière une innocente application de conversion de documents, puis par Mac File Opener, l’un de ces logiciels « couteau suisse » qui sort en tête des recherches sur Google, et qui cherchait à vous faire télécharger d’autres logiciels quand votre Mac ne reconnaissait pas leur format. Leur succèderont Mokes et Komplex, cherchant à prendre le contrôle du Mac, avec un succès fort limité.

Avec MacOS Sierra, en septembre 2016, Apple développe la sécurité relative à la diffusion des applications, comme la vérification des sommes de contrôle (permettant à un développeur d’empêcher que l’installeur d’un de ses logiciels soit modifié pour être ensuite redistribué accompagné d’un virus) ou la randomisation des chemins d’accès qui complique l’accès direct aux fichiers par l’application.

Une attaque particulière touche Safari et Mail en janvier 2017. A l’occasion d’une visite sur un site web infecté, le Mac se met à créer en boucle des brouillons de mails dont le titre est « Virus détecté, appelez le support Apple au 1-800-etc. ». Quand le Mac finit par planter faute de mémoire vive, l’utilisateur voit à l’écran ce titre et, manquant un peu de jugeote, appelle ce numéro surtaxé au lieu de redémarrer sa machine.

Dans la foulée, Bitdefender annoncera la découverte de XAgent, un virus d’origine russe ouvrant une porte dérobée capable de récupérer des mots de passe, des captures d’écran ou des sauvegardes d’iOS stockées par iTunes. En provenance d’Iran, cette fois-ci, c’est MacDownloader qui fait parler de lui en février 2017, avec son attaque de type « hammeçonnage » renvoyant les victimes vers un site Internet exigeant l’installation d’un faux plug-in, afin de récupérer le mot de passe de l’utilisateur, et donc l’accès à son trousseau de mots de passe.

La situation est telle que l’éditeur d’antivirus McAfee annonce une augmentation de plus de 700% des menaces ayant pesé sur le Mac en 2016. L’éditeur annonce ainsi 460.000 menaces diverses et variées, notamment des adware (qui affichent des publicités intempestives). Comparé aux 600 millions d’attaques dénombrées dans le même temps sur Windows et Android, le nombre est à nuancer, mais il est tout de même révélateur de l’évolution d’une situation longtemps favorable à Apple. Bon, entre-nous, un an plus tôt, c’était Bit9, un de ses concurrents, qui tirait la même conclusion, et le monde ne s’était pas pour autant arrêté de tourner…


Et l’iPhone ? Et l’iPad ?

A son tour, l’iPhone est victime de son premier malware en novembre 2009. Presque insignifiant puisqu’il se contente de changer le fond d’écran du téléphone, et plutôt limité puisqu’il ne s’attaque qu’aux iphones jailbreakés (c’est-à-dire volontairement débarrassés de toutes leurs protections par des utilisateurs avides de personnaliser leur téléphone). En 2014, une attaque plus sérieuse est révélée : WireLurker, diffusé au moyen d’applications vérolées sur le Macintosh, profite de la synchronisation en USB avec celui-ci pour s’installer sur l’iPhone ou l’iPad et espionner ensuite l’utilisateur pour lui dérober des données sensibles comme les numéros de carte bancaire. Apple réagira rapidement en bloquant les certificats correspondants à ces applications.

Rebelote en 2015, avec la propagation de YiSpecter, lui aussi en provenance de Chine, et capable de s’installer directement sur l’iPhone à partir d’une page web. La mise à jour 8.4 d’iOS lui coupera l’herbe sous le pied. Rebelote avec Keyraider, qui s’attaque à 225.000 iPhones jailbreakés en Chine la même année. Même chose l’année suivante, où un chercheur en sécurité annonce la découverte de AceDeceiver, capable d’installer des applications sur un iPhone non jailbreaké, en imitant les certificats d’authenticité délivrés par Apple. Comme ses deux prédécesseurs, il exigeait cependant des actions volontaires de la part des utilisateurs, notamment le téléchargement d’applications piratées en-dehors de l’App Store, réduisant drastiquement sa propagation. Ces trois vers se sont en conséquence plutôt diffusés en Chine, où les marchés parallèles d’applications sont plus répandus qu’ailleurs. Apple est d’ailleurs tellement confiante sur la sécurité de sa plateforme iOS qu’elle supprimera les antivirus de son App Store, en mars 2015, expliquant qu’en l’absence de virus, la vente d’un antivirus est forcément trompeuse.