Encore un Trojan sur Mac ?

Les embrouillesWare commencent à faire leur apparition sur notre plateforme. Certes, on en est encore loin des légions de virus du côté obscur de la Force. Mais les premiers chevaux de Troie, mâtinés de spyware ont fait leur apparition.

Vous vous souvenez d'un autre troyen, qui se faisait passer pour une nouvelle version d'iTunes et circulait sur les réseaux P2P il y a quelque temps, et « bricolait » un peu votre système (envoie de vos mots de passe, de vos Serial Number, ouverture de différents ports, fermeture du daemon de LittleSnitch…)? Un lecteur du site Macintouch est tombé sur une plaisanterie plus ou moins similaire. Baptisé "Opener" par le site, à défaut d'un nom officiel, il s'agit d'un script qui se loge dans le dossier Startupitem, et qui au démarrage du Mac entre en action.

Il a apparemment besoin d'être installé par quelqu'un qui a les droits administrateur sur la machine où il tourne. Il ne s'agit pas d'un virus, et il n'est pas destructif, même s'il se croît chez lui en modifiant pas mal de paramètres, et en installant sa petite trousse à outils pour converser avec l'extérieur (installation d'ohphoneX, un programme de téléconférence afin de vous espionner si vous avez une webcam, assassiner (lâchement!) le daemon de Littlesnitch, s'il tourne, avant toute tentative d'accès au Net, installation d'un accès discret sur vôtre machine (backdoor), installation d'OSX VNC…). Il regarde aussi discrètement par-dessus votre épaule ce que vous faites, et transmets ces informations sensibles au dehors (installation d'une application qui enregistre tout ce que vous tapez sur votre clavier, y compris vos mots de passe (keystroke recorder), récupération du mot de passe open-firmware, du PID d'Office 2004, correspondant au numéro de série), et les SN de différentes applis (Adobe, Virtual PC 6, Final Cut Pro, LittleSnitch, les applis Pro d'Apple, votre DynDNS, Timbuk2…). Il essaie aussi de décoder les mots de passe encryptés en installant un utilitaire unixien "John the Ripper" qui travaille "en force" à l'aide d'un dictionnaire. Il installe également dsniff pour…sniffer vos mots de passe. Il change vos préférences de l'application P2P Limewire, si vous l'utilisez, pour mettre au maximum le taux de transfert que vous accordez à vos upload…

Pour le moment, une personne seulement semble l'avoir repéré. Le fait que pour l'installer, il faille un accès physique à l'ordinateur, ainsi que la connaissance du mot de passe administrateur n'en fait pas une menace très dangereuse pour le moment. Mais ça risque de changer, puisque le site de hackers sur Mac, Macintosh Underground, à l'origine du script, en propose déjà plusieurs versions. Tôt ou tard, des cloportes vont mettre sur le Net des applis pour OS X qui, plutôt que d'être ce qu'elles prétendent, installeront ce genre de troyens. Bref, même si on en est encore très loin de PC, les ennuis commencent… Il va falloir apprendre à être un peu plus méfiant de ce que l'on lance sur sa machine, surtout quand il s'agit de sharewares/freewares totalement inconnus et aux prétentions trop belles pour être vraies.