Mac Guard, l'autre faux antivirus, sans les droits d'administration
Non nécessaires pour le but recherché
Récemment, l’histoire de Mac Defender sur Mac OS X a marqué certains esprits. Ce faux antivirus, un rogueware, présentait toutes les caractéristiques d’une application authentique. Il visait cependant un objectif bien mois glorieux que vous débarrasser des menaces informatiques : le vol de vos données bancaires, en vous incitant à acheter une licence « complète ». Mac Defender réclamait une confirmation lors de son installation pour obtenir les droits d’administration. Une autre menace, Mac Guard, ne la demande plus.
C’est la société de sécurité Intego qui vient de découvrir la nouvelle variante. On reste dans le même objectif : fausse protection, achat de licence complète, vol des données bancaires. La grosse différence cependant c’est que la procédure d’installation ne réclame pas les droits administrateurs. Mac Guard fonctionne en espace utilisateur, ce qui limite évidemment ses droits. Mais pour ce que cette application souhaite faire, il n’en faut pas davantage.
Tous ces faux amis jouent sur vos peurs et utilisent l’ingénierie sociale pour vous amener à fournir ce qu’ils demandent de bonne volonté. Pas besoin donc de droits particulier, puisqu’ils ne vont pas spécialement fouiller dans vos données. Comme nous l’avions vu avec le responsable AppleCare interrogé par Ed Bott, de nombreux utilisateurs ont pensé qu’il s’agissait d’une authentique mise à jour de sécurité donnée par Apple. La firme, dans sa procédure pour se débarrasser de Mac Defender, rappelait d’ailleurs que seule la fonction « Mise à jour de logiciels » peut distribuer des correctifs de sécurité.
La technique pour vous faire installer Mac Guard est toujours la même. Une page spécialement conçue pour ressembler à une fenêtre du Finder vous affiche un avertissement de sécurité très convaincant. Si vous acceptez de nettoyer votre machine, vous provoquez le téléchargement de l’installeur de Mac Guard, au format PKG. Selon le paramètre de Safari, il se lance automatiquement ou pas. Dans tous les cas, le danger ne commence vraiment qu’à la fin de l’installation.
Le fait que Mac Guard passe par un installeur présente en tout cas une étape intermédiaire entre l’utilisateur et le danger réel. La présence du fichier PKG seule sur le disque dur ne provoque aucune conséquence, et même si Safari est paramétré de cette manière, le lancement automatique n’est pas non plus un problème : il faut que l’installation soit complète. Pour plus de sécurité toutefois, désactiver ce réglage dans Safari est une bonne première étape.
C’est la société de sécurité Intego qui vient de découvrir la nouvelle variante. On reste dans le même objectif : fausse protection, achat de licence complète, vol des données bancaires. La grosse différence cependant c’est que la procédure d’installation ne réclame pas les droits administrateurs. Mac Guard fonctionne en espace utilisateur, ce qui limite évidemment ses droits. Mais pour ce que cette application souhaite faire, il n’en faut pas davantage.
Tous ces faux amis jouent sur vos peurs et utilisent l’ingénierie sociale pour vous amener à fournir ce qu’ils demandent de bonne volonté. Pas besoin donc de droits particulier, puisqu’ils ne vont pas spécialement fouiller dans vos données. Comme nous l’avions vu avec le responsable AppleCare interrogé par Ed Bott, de nombreux utilisateurs ont pensé qu’il s’agissait d’une authentique mise à jour de sécurité donnée par Apple. La firme, dans sa procédure pour se débarrasser de Mac Defender, rappelait d’ailleurs que seule la fonction « Mise à jour de logiciels » peut distribuer des correctifs de sécurité.
La technique pour vous faire installer Mac Guard est toujours la même. Une page spécialement conçue pour ressembler à une fenêtre du Finder vous affiche un avertissement de sécurité très convaincant. Si vous acceptez de nettoyer votre machine, vous provoquez le téléchargement de l’installeur de Mac Guard, au format PKG. Selon le paramètre de Safari, il se lance automatiquement ou pas. Dans tous les cas, le danger ne commence vraiment qu’à la fin de l’installation.
Le fait que Mac Guard passe par un installeur présente en tout cas une étape intermédiaire entre l’utilisateur et le danger réel. La présence du fichier PKG seule sur le disque dur ne provoque aucune conséquence, et même si Safari est paramétré de cette manière, le lancement automatique n’est pas non plus un problème : il faut que l’installation soit complète. Pour plus de sécurité toutefois, désactiver ce réglage dans Safari est une bonne première étape.
Source :
Intego
Vincent Hermann
le 26 mai 2011 à 12:11
(17 868
lectures)
Actualités et brèves relatives
- 25 / 05 / 2011 : Apple fournit une méthode pour se débarrasser de Mac Defender
- 20 / 05 / 2011 : Apple : l'assistance n'a pas à aider l'utilisateur face aux malwares
- 16 / 05 / 2011 : Lion : la Developer Preview 3 disponible et ses nouveautés
- 05 / 05 / 2011 : Mac OS X Lion devrait être vendu sur le Mac App Store
- 04 / 05 / 2011 : Mac OS X : deux nouvelles menaces de sécurité assez sérieuses
- 31 / 03 / 2011 : Lion : Apple publie une Preview 2 de son nouveau Mac OS X
- 28 / 03 / 2011 : WWDC Apple en juin : Lion bientôt terminé, iOS 5 à l'automne ?
- 25 / 02 / 2011 : Mac OS X Lion : retour sur l'interface et certains points
