|
ALERTE DE SECURITE
INTEGO
QUESTIONS
ET RÉPONSES DE MICROSOFT À PROPOS DU
CHEVAL DE TROIE AS.MW2004.Trojan
Comment Microsoft a-t-il découvert ce
cheval de Troie ?
C’est Intego, le spécialiste de la sécurité sur
Macintosh, qui nous l’a signalé.
Proposez-vous des téléchargements sur le
Web qui utilisent cette icône ?
Non. Microsoft ne propose aucun téléchargement sur
le Web utilisant l’icône identifiée comme étant
le cheval de Troie MW2004. Microsoft Office 2004 pour Mac ne peut être
installé qu’à partir de CD vendus dans le commerce
et l’icône d’installation authentique n’est
disponible que dans l’assistant d’installation du produit.
Quelle méthode d’installation d’Office
2004 recommandez-vous aux utilisateurs ?
Microsoft Office 2004 pour Mac ne devrait être installé qu’à partir
des CD vendus dans le commerce et l’icône d’installation
authentique ne se trouve que dans l’assistant d’installation
du produit. Nous conseillons aux utilisateurs qui souhaitent obtenir
des mises à jour de leurs produits Microsoft, de n’utiliser
que les téléchargements proposés sur www.microsoft.com
ou via le nouvel outil de mise à jour AutoUpdate intégré à Microsoft
Office 2004 pour Mac.
Il paraît qu’un utilisateur a téléchargé le
fichier à partir d’un réseau « peer-to-peer » en
pensant qu’il s’agissait d’une version bêta
publique de Microsoft Word 2004. Avez-vous diffusé une version
bêta d’Office 2004 pour Mac ?
Non, il n’y a eu aucune version bêta publique d’Office
2004. Une version d’essai de ce produit sera néanmoins
disponible très prochainement et ne pourra être téléchargée
qu’à partir du site http://www.microsoft.com/mac.
QUESTIONS ET RÉPONSES D’INTEGO Á PROPOS
DU
CHEVAL DE TROIE AS.MW2004
Comment Intego a-t-il découvert ce cheval de Troie
?
Nous avons reçu une copie de ce cheval de Troie le 10 mai
2004. Elle nous a été envoyée par un rédacteur
du magasine Macworld au Royaume-Uni, qui l’avait lui-même
reçue d’un de ses lecteurs. Ce dernier avait téléchargé le
fichier sur le réseau « peer-to-peer » Gnutella
en pensant qu’il s’agissait d’une version bêta
publique de Microsoft Word 2004. En double-cliquant sur l’application,
son dossier de départ ainsi que tout le contenu de ce dernier
ont été immédiatement effacés.
Avez-vous informé Apple, Microsoft et le CERT à propos
de ce cheval de Troie ?
Oui, nous avons immédiatement informé Apple, Microsoft
et le CERT après avoir examiné ce cheval de Troie et
découvert le danger qu’il représentait. Nous
sommes en contact étroit avec Apple et Microsoft et nous avons
déjà eu plusieurs réunions et conférences
téléphoniques avec eux pour nous assurer que ce cheval
de Troie sera placé sous contrôle le plus vite possible.
Microsoft a-t-il fait des commentaires au sujet de ce cheval de
Troie ?
Microsoft a publié le commentaire suivant : « Microsoft
s’est assuré qu’il ne proposait aucun téléchargement
sur le Web susceptible d’utiliser cette icône. Cette
dernière ne devrait être disponible que lors de l’installation
de Microsoft Office pour Mac à partir des CD vendus dans le
commerce ; elle est intégrée à l’assistant
d’installation du produit. Nous conseillons aux utilisateurs
de ne télécharger des produits Microsoft qu’à partir
du site www.microsoft.com ou via le nouvel outil de mise à jour
AutoUpdate disponible dans Microsoft Office 2004 pour Mac. »
Comment fonctionne ce cheval de Troie ?
Ce cheval de Troie exécute son code AppleScript dès
que l’utilisateur a double-cliqué sur le fichier. L’AppleScript
exécute une commande Unix qui supprime immédiatement
le dossier de départ de l’utilisateur actuel, ainsi
que tous les fichiers et dossiers qu’il contient. Cette commande
ne place pas les fichiers dans la corbeille mais les supprime immédiatement
et de manière définitive. Aucun avertissement n’est
affiché ; une fois que l’on a double–cliqué sur
l’icône, il est déjà trop tard. Comme l’AppleScript
ne supprime que le dossier de départ de l’utilisateur
et son contenu — éléments dont l’utilisateur
est propriétaire — aucun mot de passe n’est nécessaire.
En quoi consiste le dossier de départ d’un
utilisateur ?
Sous Mac OS X, tous les fichiers personnels de l’utilisateur
sont stockés dans son dossier de départ. Il s’agit
du dossier qui porte le nom de l’utilisateur et présente
une icône de maison. C’est là que l’utilisateur
stocke ses documents, ses fichiers de musique, ses photos, ses films
ainsi que toutes les préférences des applications qu’il
utilise.
Ce cheval de Troie affecte-t-il les fichiers
système Mac
OS X ?
Non, il ne fait que supprimer le dossier de départ de l’utilisateur
et tout son contenu. La suppression des fichiers système par
l’utilisateur requiert un mot de passe d’administrateur
et pour cela, il faudrait que le cheval de Troie affiche une zone
de dialogue.
Ce cheval de Troie affecte-t-il Mac OS 9 ou
les versions précédentes
de Mac OS ?
Non, cependant, bien qu’il ne supprime que des fichiers Mac
OS X, il a pour effet de bloquer les ordinateurs Mac OS 9 sur lesquels
il est exécuté. De plus, cet AppleScript est affiché sous
Mac OS 9 avec une icône normale d’applet AppleScript.
Existe-t-il un moyen de récupérer les fichiers supprimés
?
Certains logiciels de restauration de fichiers peuvent peut-être
restaurer une partie ou tous les fichiers supprimés, mais
la meilleure protection consiste à effectuer des sauvegardes
régulières des fichiers personnels à l’aide
de programmes tels qu’Intego Personal Backup X3. Intego VirusBarrier
X ne peut pas restaurer les fichiers, il assure la protection en
cas d’exécution de ce cheval de Troie.
Comment peut-on identifier ce cheval de Troie ?
Il n’y a qu’une seule manière d’identifier
ce cheval de Troie, il faut vérifier le nom et l’icône.
Ce cheval de Troie n’est en fait qu’un applet AppleScript
doté d’une icône personnalisée collée
dessus. L’examen du fichier à l’aide de la commande
Lire les informations du Finder révèle qu’il
s’agit d’une application. Cela n’est pas surprenant
puisque l’utilisateur s’attend à un programme
d’installation. De nombreuses applications utilisent des « programmes
d’installation Web » qui sont de très petits fichiers
permettant à l’utilisateur de sélectionner les
modules ou les parties d’application qu’il souhaite installer
et de ne télécharger que les fichiers nécessaires.
Ce cheval de Troie est-il capable de se diffuser automatiquement
?
Non, ce cheval de Troie est incapable de se diffuser ou de se dupliquer.
Il n’est dangereux qu’après téléchargement à partir
de sites Web ou de services « peer-to-peer ».
Est-il possible d’utiliser ce type de technique avec d’autres
commandes ?
Rien n’empêche la création d’autres AppleScripts
similaires, portant d’autres noms et des icônes personnalisées
et capables d’exécuter la même commande dangereuse.
La version qui circule actuellement ne supprime que les fichiers
et les dossiers de l’utilisateur. D’autres commandes
de ce genre pourraient essayer de supprimer tous les fichiers d’un
ordinateur Macintosh sous Mac OS X, mais il faudrait alors qu’elles
demandent un mot de passe d’administrateur. Certains utilisateurs
n’hésiteraient probablement pas à fournir leur
mot de passe d’administrateur s’ils pensaient avoir affaire à un
programme d’installation. Après tout, le programme d’installation
d’Apple demande ce mot de passe avant de procéder à l’installation
d’applications ou de mises à jour sous Mac OS X.
Le cheval de Troie AS.MW2004.Trojan révèle une faiblesse
importante de Mac OS X. La base Unix de ce système d’exploitation
lui permet d’exécuter facilement des commandes puissantes.
Ces dernières peuvent supprimer ou endommager sans prévenir
les fichiers d’un utilisateur. De plus, AppleScript n’offre
aucune protection contre les commandes malveillantes.
Existe-t-il un moyen de vérifier le caractère malveillant
d’un programme d’installation ?
Pour vérifier si l’application est en réalité un
AppleScript, sélectionnez le fichier dans le Finder, puis
appuyez sur les touches Commande + I pour afficher la fenêtre
d’informations du Finder. Cliquez sur l’icône qui
se trouve en haut de cette fenêtre, puis appuyez sur la touche
de suppression. S’il s’agit réellement d’un
AppleScript exécutable via un double-clic (ou applet), vous
verrez apparaître l’icône générique
d’applet AppleScript suivante :
Pour plus d’informations sur
le cheval de Troie AS.MW2004.Trojan, consultez le communiqué de
presse.
À propos d’Intego
Intego développe et commercialise des logiciels de
sécurité et de confidentialité Internet pour Macintosh.
Intego offre le plus large éventail de logiciels
destinés à protéger les utilisateurs et leurs
Macs contre les dangers liés à Internet. Les logiciels
et le support multilingues d’Intego ont été maintes
fois primés par les magazines Mac et assurent la protection
de plus d’un million d’utilisateurs répartis dans
60 pays. Intego propose également des versions Windows et
Palm OS de certains de ses logiciels. Intego est établi aux États-Unis,
en France et au Japon. Pour plus d’informations, venez visiter
le site www.intego.com.
Face à la montée des dangers liés à Internet,
Intego continue à développer de nouveaux logiciels
destinés à protéger les utilisateurs et leurs
Macs contre les dernières menaces touchant à la sécurité et
la confidentialité. Nous protégeons votre monde.
#
# # #
| 
