Archives de catégorie : Apple

Apple, Cybersécurité, Mise à jour, Patch

AirPlay en péril : les failles « AirBorne » mettent en danger des milliards d’appareils Apple

Des chercheurs ont découvert 23 vulnérabilités dans AirPlay, menaçant potentiellement plus de deux milliards d’appareils Apple et tiers d’attaques informatiques sophistiquées.

La dernière alerte de cybersécurité en date concerne l’un des protocoles les plus utilisés de l’écosystème Apple : AirPlay. Conçu pour permettre la transmission fluide de contenu audio, vidéo ou d’affichage entre appareils Apple – ou vers des appareils tiers compatibles – AirPlay est aujourd’hui au centre d’un problème de sécurité d’envergure. Le 31 mars 2025, Apple a publié une série de correctifs critiques pour iOS, macOS, iPadOS, visionOS ainsi que pour les SDK audio et vidéo AirPlay. En cause : un ensemble de 23 vulnérabilités découvertes par les experts de la société Oligo Security, regroupées sous le nom évocateur de « AirBorne ».

Ces failles permettent notamment l’exécution de code à distance, les attaques Man-in-the-Middle (MitM), le déni de service, l’interaction non autorisée avec l’utilisateur et la lecture de fichiers locaux. Parmi les menaces les plus graves identifiées : deux failles de type « zéro clic », permettant de compromettre un appareil sans aucune interaction de l’utilisateur, et une autre contournant la validation manuelle d’une connexion AirPlay. Ces vulnérabilités peuvent être exploitées via une connexion directe entre appareils ou à travers un réseau Wi-Fi partagé, décuplant ainsi leur potentiel de propagation et de nuisance.

Un risque systémique pour l’écosystème Apple

L’une des forces d’Apple – la connectivité fluide entre ses appareils – devient ici une faiblesse structurelle. Un iPhone compromis par AirBorne pourrait, par exemple, infecter un Mac, une Apple TV ou même un téléviseur tiers connecté au même réseau domestique ou professionnel. Les conséquences sont multiples : espionnage discret via prise de contrôle des flux audiovisuels, déploiement de rançongiciels, compromission de chaînes d’approvisionnement ou sabotage de systèmes critiques dans des environnements sensibles comme les hôpitaux ou les entreprises technologiques.

Les chercheurs d’Oligo Security ont démontré que des haut-parleurs Bose ou des téléviseurs intelligents compatibles AirPlay peuvent aussi être visés. À travers une vidéo de preuve de concept, ils ont montré qu’il est possible d’afficher des images arbitraires sur un appareil tiers, soulignant le potentiel d’un contrôle complet à distance.

« AirPlay est omniprésent et vulnérable »

Selon Oligo, pas moins de 2,35 milliards d’appareils Apple dans le monde sont concernés. À ce chiffre déjà vertigineux s’ajoutent des dizaines de millions d’appareils tiers, comme les haut-parleurs connectés, les téléviseurs intelligents et les systèmes de divertissement embarqués prenant en charge CarPlay. En clair, la surface d’attaque dépasse largement les seuls produits Apple.

« Étant donné qu’AirPlay est pris en charge par un grand nombre d’appareils, il faudra des années pour que beaucoup d’entre eux soient corrigés, ou ils ne le seront jamais« , avertissent les chercheurs.

Cette prédiction fait froid dans le dos. Car si Apple a rapidement publié des correctifs pour ses propres appareils, les fabricants tiers devront adapter, tester et déployer leurs propres mises à jour pour les intégrer. Or, dans le monde de l’électronique grand public, où les mises à jour logicielles tardent souvent – voire sont complètement négligées – ce délai représente un danger concret et durable.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Des attaques potentiellement autonomes et persistantes

Les failles AirBorne sont d’autant plus préoccupantes qu’elles pourraient être utilisées pour créer un ver, c’est-à-dire un logiciel malveillant capable de se propager de manière autonome d’un appareil vulnérable à un autre. Cela rappelle les grands incidents informatiques comme WannaCry ou NotPetya, qui ont paralysé des réseaux entiers à l’échelle mondiale.

Dans le cas présent, un tel ver pourrait tirer parti de la connectivité sans fil entre les appareils pour s’infiltrer sans laisser de trace visible. Il suffirait qu’un utilisateur se connecte à un réseau Wi-Fi public ou mal sécurisé pour voir son téléphone ou son ordinateur portable compromis, devenant alors un vecteur d’infection pour tous les autres appareils compatibles AirPlay du réseau.

« Ce type de vulnérabilités peut avoir de graves conséquences« , écrivent les experts, soulignant que l’attaque peut débuter par un simple partage de contenu AirPlay entre deux appareils de confiance.

Des réponses à mettre en œuvre rapidement

Face à cette menace, la réponse ne peut pas se limiter à des correctifs techniques. Les chercheurs appellent les entreprises à mettre immédiatement à jour tous les appareils Apple qu’elles utilisent, y compris les terminaux personnels des employés, et à désactiver AirPlay lorsqu’il n’est pas indispensable.

Ils recommandent également de limiter l’accès à AirPlay par le biais de pare-feux ou de règles de sécurité réseau, en s’assurant que seuls des appareils connus et approuvés puissent établir une connexion. Ces mesures sont relativement simples à mettre en œuvre dans un environnement d’entreprise, mais beaucoup plus complexes dans le grand public, où la commodité prime souvent sur la sécurité.

Du côté d’Apple, la réponse a été rapide, mais reste partielle. En publiant des mises à jour pour iOS 18.4, macOS Sonoma 14.7.5, Ventura 13.7.5, Sequoia 15.4 et visionOS 2.4, l’entreprise a montré sa capacité à réagir efficacement. Toutefois, elle ne peut pas imposer aux fabricants tiers de patcher leurs produits, ni contraindre les utilisateurs à installer les mises à jour.

Cela pose la question de la gestion de la sécurité dans les écosystèmes interconnectés, où la responsabilité est répartie entre plusieurs acteurs : Apple, les fabricants tiers, les développeurs de logiciels, les fournisseurs d’accès et, bien sûr, les utilisateurs eux-mêmes.

La promesse d’AirPlay se heurte à la réalité des cybermenaces

Depuis son lancement, AirPlay a été présenté comme un symbole d’innovation, de simplicité et d’interopérabilité. Mais en 2025, cette vision est remise en question par une réalité plus sombre : celle de systèmes complexes, où chaque fonction peut devenir un vecteur de compromission.

À mesure que les objets connectés prolifèrent, que les voitures s’équipent de CarPlay, et que les foyers adoptent des téléviseurs toujours plus intelligents, la sécurité des protocoles comme AirPlay devient une priorité stratégique. Car si ces failles venaient à être exploitées à grande échelle, les conséquences pourraient être dramatiques pour les particuliers comme pour les organisations.

D’autant que la connectivité AirPlay est souvent active par défaut, exposant sans le savoir de nombreux utilisateurs à des risques qu’ils ne soupçonnent même pas. L’illusion de sécurité procurée par la marque Apple pourrait ainsi jouer contre elle, en incitant à un excès de confiance.

L’affaire AirBorne pose, en filigrane, la question fondamentale de la confiance dans les technologies que nous utilisons chaque jour. Quand un protocole aussi central et populaire qu’AirPlay se révèle vulnérable à des attaques sophistiquées, c’est l’ensemble de l’édifice numérique qui vacille.

Les prochaines semaines diront si les mises à jour d’Apple suffiront à juguler la menace ou si, comme le craignent certains experts, une vague d’attaques exploitant ces failles se prépare. Mais une chose est sûre : l’affaire AirBorne marquera un tournant dans la manière dont la sécurité des protocoles sans fil est perçue, tant par les ingénieurs que par le grand public.

En fin de compte, cette alerte pourrait-elle inciter les fabricants à repenser l’architecture de leurs systèmes et à accorder une priorité absolue à la sécurité dès la conception ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Apple, Cybersécurité, Mise à jour

Crash de Docker et faille SIP sur macOS : mise à jour critique indispensable

Les utilisateurs macOS de Docker rencontrent un crash critique bloquant le lancement de l’application. Une signature de fichiers incorrecte en est la cause, mais une mise à jour est déjà disponible.

Depuis le 7 janvier, de nombreux utilisateurs de Docker sur macOS se plaignent d’un blocage inattendu de l’application. En tentant de lancer Docker, un message d’erreur signalant un code malveillant s’affiche, provoquant la panique chez certains utilisateurs. Une enquête approfondie a révélé que ces avertissements du système sont infondés, la cause réelle étant une signature incorrecte de certains fichiers du bundle Docker. Heureusement, une solution est déjà disponible avec la mise à jour vers la version 4.37.2. Toutefois, la mise en place de ce correctif n’est pas encore étendue à tous les utilisateurs. Retour sur cette crise technique et les étapes pour y remédier.

Origine du problème et conséquences

Les premiers signalements concernant le crash de Docker sur macOS sont apparus le 7 janvier 2025. Le problème a immédiatement attiré l’attention en raison de l’impact sur les flux de travail des développeurs utilisant Docker pour la gestion de conteneurs. Lors du lancement de l’application, un message d’alerte s’affichait indiquant un code potentiellement malveillant. Cette notification, générée par macOS, a rapidement été identifiée comme une fausse alerte, liée à des anomalies dans le système de certificat de macOS.

L’analyse a mis en lumière une signature incorrecte de certains fichiers du bundle Docker. Ce dysfonctionnement a perturbé les vérifications de sécurité effectuées par le système d’exploitation, interprétant ces fichiers comme potentiellement dangereux. À en juger par les informations disponibles, cette situation a entraîné un blocage complète de l’application chez de nombreux utilisateurs.

En réponse à cet incident, Docker Inc. a rapidement publié une mise à jour (4.37.2) incluant un correctif pour cette anomalie. Les utilisateurs peuvent résoudre le problème en installant cette nouvelle version. Pour les versions précédentes, des correctifs ont également été déployés sur les branches 4.32 à 4.36.

Cependant, la résolution n’est pas encore totale. La page d’état de Docker indique que certains utilisateurs n’ont pas encore effectué la mise à jour, ce qui complique l’évaluation globale de l’efficacité des correctifs.

Procédures de correction et solutions alternatives

Pour ceux qui rencontrent toujours des problèmes après la mise à jour, Docker a proposé des solutions supplémentaires. Les administrateurs systèmes peuvent utiliser un script MDM spécial pour corriger les erreurs persistantes. Ce script permet de réinitialiser certains composants de Docker et de réinstaller les binaires correctement signés.

Pour une résolution manuelle, les étapes suivantes sont nécessaires :

  1. Arrêter l’application Docker, ainsi que les services vmetd et socket.
  2. Supprimer les anciens binaires de vmetd et socket.
  3. Installer les versions corrigées de ces fichiers.
  4. Redémarrer Docker pour finaliser la procédure.

Ces opérations peuvent s’avérer chronophages pour les équipes techniques gérant un parc informatique important. D’où l’importance de privilégier la mise à jour automatique avec les fichiers signés.

Malgré ces efforts, il reste des doutes sur la stabilité globale du service. Certains utilisateurs rapportent encore des dysfonctionnements mineurs, laissant penser que le problème n’est pas entièrement résolu. À mesure que davantage d’utilisateurs adoptent les correctifs, l’impact des problèmes résiduels devrait diminuer.

Une vulnérabilité SIP révélée en parallèle

Parallèlement à cet incident, une autre menace sécuritaire a été mise en évidence sur macOS. Microsoft a découvert une vulnérabilité critique, identifiée sous le nom de CVE-2024-44243, qui permet à des attaquants locaux de contourner la protection d’intégrité du système (SIP).

SIP, ou System Integrity Protection, est un mécanisme conçu pour empêcher les programmes malveillants d’accéder à certains répertoires ou de modifier des fichiers systèmes critiques. Cette protection restreint les privilèges du compte root et limite l’accès à certains composants aux seuls processus signés par Apple.

Cependant, la faille CVE-2024-44243 permet de désactiver cette protection en exploitant une vulnérabilité dans le démon Storage Kit, qui surveille l’état des disques. Une fois exploitée, cette faille permet à des attaquants de contourner SIP et d’installer des rootkits, compromettant ainsi gravement la sécurité du système.

Apple a corrigé cette faille avec la version macOS Sequoia 15.2, publiée en décembre. Il est donc essentiel pour les utilisateurs de s’assurer que leur système est à jour. Microsoft, quant à elle, a publié les détails techniques de cette vulnérabilité afin d’informer les administrateurs systèmes et d’accélérer la mise en œuvre des correctifs.

Apple, Entreprise, Justice

Apple accusée de surveillance intrusive

Un employé d’Apple accuse l’entreprise de surveiller la vie privée de ses salariés via iCloud et des dispositifs intrusifs, soulevant un débat sur les droits numériques.

Apple fait face à des accusations graves de la part de l’un de ses employés, Amar Bhakta, responsable de la publicité numérique depuis 2020. Ce dernier a déposé une plainte devant un tribunal californien le 1er décembre, affirmant que l’entreprise impose des pratiques de surveillance intrusive qui interfèrent avec la vie privée des employés. Selon la plainte, Apple exige que les employés relient leurs comptes iCloud personnels aux systèmes d’entreprise, ce qui permettrait à l’entreprise d’accéder à leurs e-mails, photos, vidéos et même données de localisation, y compris en dehors des heures de travail.

Le procès met également en lumière des restrictions sur la liberté d’expression des employés, des dispositifs de surveillance dans les bureaux à domicile, et des violations présumées des droits du travail californien. Apple a nié catégoriquement ces accusations, mais cette affaire relance le débat sur la vie privée des salariés dans un monde professionnel de plus en plus numérisé et connecté.

La plainte déposée par Amar Bhakta accuse Apple de pratiques de surveillance numérique invasive via sa politique de conduite commerciale (BCP). Cette politique stipule que l’entreprise peut accéder et archiver toutes les données liées aux appareils et comptes des employés, y compris leurs comptes personnels iCloud. Selon Bhakta, cette mesure donne à Apple un accès potentiel à des informations privées telles que les photos, vidéos, e-mails, et données de localisation de ses salariés, même en dehors des heures de travail.

L’affaire va plus loin, alléguant qu’Apple impose également des restrictions aux employés dans leurs communications personnelles et professionnelles. Bhakta affirme qu’il lui a été interdit de discuter de son travail sur des podcasts, et qu’Apple a exigé qu’il supprime certaines informations professionnelles de son profil LinkedIn. De plus, il dénonce l’installation de dispositifs de surveillance dans les bureaux à domicile des employés, une pratique qui enfreindrait le droit californien du travail.

Si les accusations s’avèrent fondées, cette affaire pourrait entraîner des sanctions substantielles contre Apple en vertu du California Private Attorney General Act. Apple, de son côté, nie fermement ces allégations. Un porte-parole a déclaré que l’entreprise assure une formation annuelle à ses employés sur leurs droits, notamment sur la discussion des salaires, des horaires et des conditions de travail.

Pourtant, cette plainte met en lumière une problématique plus large : celle de la surveillance numérique sur le lieu de travail moderne. Une enquête récente révèle qu’un employé sur cinq est surveillé via des outils numériques, comme des trackers d’activité ou le Wi-Fi. Cependant, aucune preuve n’indique que ces pratiques améliorent réellement la productivité, ce qui soulève des questions sur leur nécessité.

Cette affaire n’est pas un incident isolé pour Apple. L’entreprise a déjà été poursuivie par le National Labor Relations Board (NLRB) des États-Unis pour avoir imposé à ses employés des accords de confidentialité, de non-divulgation et de non-concurrence contenant des clauses jugées illégales. Ces pratiques auraient enfreint les droits fédéraux des travailleurs à s’organiser et à défendre collectivement leurs conditions de travail.

Le débat sur la frontière entre vie personnelle et vie professionnelle prend une nouvelle dimension dans un monde de plus en plus connecté. Alors que des entreprises comme Apple investissent dans des outils numériques pour accroître leur efficacité, elles risquent de brouiller les limites de la vie privée, au détriment des droits individuels de leurs employés.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Apple, Bitcoin, Cybersécurité

Un pirate utilise Final Cut Pro pour installer des crypto mineurs

Vous utilisez une version piratée de Final Cut Pro ? Votre ordinateur Apple est peut-être manipulé par des hackers malveillants qui minent des cryptomonnaies via votre machine.

Selon un rapport diffusé par la société Jamf, un pirate informatique utilise des versions piratées du logiciel de montage vidéo Final Cut Pro pour installer un outil de crypto minage sur les appareils Apple.

Jaron Bradley, directeur principal des détections MacOS de la société basée à Minneapolis, a déclaré que les logiciels malveillants déguisés ou intégrés à l’intérieur d’applications piratées sont un problème depuis les premiers jours du piratage de logiciels. « Les pirates y voient une opportunité facile lorsqu’ils n’ont pas à convaincre les utilisateurs d’exécuter leur logiciel malveillant, mais plutôt que les utilisateurs viennent à eux, prêts à installer quelque chose qu’ils savent illégal« .

Parmi les outils repérés, XMRig. Ce logiciel peut être utilisé légitimement pour miner de la crypto-monnaie sur ses propres appareils, il a été adapté par les pirates.

Les versions piégées ont été récupérés via torrent. Le diffuseur est connu pour être un professionnel de la diffusion de copies d’outils Apple.
macOS Ventura bloque la tentative malveillante. (jamf)

Android, Apple, Chiffrement, Communiqué de presse, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Sécurité, Securite informatique, Smartphone, VPN

Reborn 3 : le premier navigateur de bureau prêt pour le Web 3, l’Internet du futur

Reborn 3, le plus récent navigateur Opera pour Mac, Windows et Linux comprend dorénavant un portefeuille Crypto, un explorateur Web 3 et un VPN gratuit. Reborn 3 est conçu pour donner aux gens un sentiment de contrôle sur leur vie en ligne et un aperçu du Web de l’avenir.

Pari osé pour les Norvégiens de chez Opera. Le navigateur concurrent de Chrome, Firefox et autre Edge, pour ne citer qu’eux, devient le premier navigateur sur ordinateur à inclure un portefeuille Crypto natif et un navigateur Web 3. Des nouveautés pour les 24 ans d’existence du navigateur.

Blockchain

D’abord, cette nouvelle fonctionnalité permet aux gens d’effectuer des transactions et d’interagir avec l’Internet du futur basé sur une blockchain. Egalement connu sous le nom de Web 3. En fournissant également un VPN gratuit,  les utilisateurs restent en sécurité.

« Le Web a transformé nos vies. Nous sommes maintenant en ligne en permanence. Mais plus nous passons de temps en ligne, plus nous avons besoin d’outils qui nous aident à contrôler la sécurité et la confidentialité de notre vie numérique « , explique Krystian Kolondra, vice-président exécutif d’Opera,responsable des navigateurs à Data Security Breach. « Avec cette mise à niveau majeure, nous faisons le premier pas vers le Web 3, le nouveau Web, où les utilisateurs ont le contrôle. Nous pensons que chaque navigateur en 2019 devrait être prêt pour le Web 3. »

Naviguez sur le Web 3 sur votre PC, signez des transactions avec votre smartphone

Ensuite, le portefeuille Crypto du navigateur Opera se synchronise avec le portefeuille Crypto du navigateur Opera pour Android. Cela signifie que les clés de portefeuille ne quittent jamais les smartphones.

En pratique, chaque fois qu’ils ont besoin de s’identifier sur un site Web 3 ou de signer une transaction sur la blockchain, vous recevrez une notification sur le téléphone. La fonction Porte-monnaie Crypto devrait également être ajoutée au navigateur iOS d’Opera, Opera Touch, prochainement.

Un service VPN plus rapide pour plus de sécurité et de confidentialité

Pour conclure avec ce Reborn 3, la demande de services VPN ne cesse de croître. Actuellement, un tiers des utilisateurs de VPN à travers le monde utilisent cette solution avec l’intention de rester anonyme sur le Web. Opera est le seul éditeur à fournir un VPN rapide et gratuit. Le VPN illimité du navigateur améliore la confidentialité en ligne des utilisateurs et améliore leur sécurité lorsqu’ils utilisent des réseaux publics auxquels ils ne font pas confiance.

Enfin, le VPN du navigateur établit un tunnel sécurisé et chiffré qui protège les données de tiers. Il permet de cacher leur position géographique aux sites Web. Le service VPN du navigateur est également un service sans journal, ce qui signifie que les serveurs VPN n’enregistrent et ne conservent aucune donnée d’activité, tout cela pour protéger la vie privée des utilisateurs.

Télécharger ici.

Apple, backdoor, Cyber-attaque, Cybersécurité, ios, Logiciels, Mise à jour, OS X, Piratage, Securite informatique, Smartphone

Un ancien hacker de la NSA démontre une faille majeure dans macOS

2 commentaires

La société Apple est généralement considérée comme étant une marque fiable, proposant une sécurité accrue. Un ancien hacker de la NSA démontre une faille majeure dans macOS. Elle permet le contournement des mécanismes de sécurité !

Faille majeure pour Apple ! Lors des conventions de cybersécurité Def Con/Black Hat qui se sont tenues à Las Vegas, début août, Patrick Wardle, un ancien Ninja de la NSA, fondateur de la société DigitaSecurity, a présenté des exemples d’attaques visant les produits Apple, et plus précisément macOS.

D’abord, Patrick Wardle est aussi généreux que doué. Il a expliqué comment un pirate pouvait contourner la plupart des mécanismes de sécurité mis en œuvre par Apple pour protéger macOS.

Wardle explique que les logiciels malveillants peuvent échapper aux méthodes de sécurité en les ciblant au niveau de l’interface utilisateur.

Chez Apple, les avertissements et autres autorisations à la moindre action font partis de l’écosystème des produits de la firme Californienne. Un mécanisme de défense contre les clics indésirables.



Faille majeure

Ensuite, Wardle affirme qu’il est possible d’exploiter ces avertissements en modifiant la façon dont macOS convertit les clics de clavier en clics de souris. Étant donné que macOS interprète deux actions de la souris comme équivalant à cliquer sur OK, il est donc possible d’écrire une ligne de code supplémentaire pour éviter qu’un avertissement n’apparaisse à l’écran. En abusant des nombreuses interfaces de macOS, un code peut s’executer via un code malveillant qui permettra d’ignorer les avertissements. Wardles a baptisé cette action « Synthetic Click ». Des attaques que l’ancien hacker de la National Security Agency a expliqué lors de la Def Con via des attaques automatisées visant macOS Sierra.

https://twitter.com/patrickwardle/status/1029060044900507649

Cependant, Wardle a déclaré que les exploits ne permettent pas à un pirate d’accéder initialement à un appareil Mac, mais qu’ils pourraient exploiter efficacement le sandboxing.

Une possibilité qui laisserait aux applicationx malveillantes de quoi obtenir des autorisations de niveau supérieur. De son côté, Apple a confirmé les correctifs adequates dans son nouveau OS, macOS Mojave.

Pour conclure, Patrick Wardle propose, via sa société, l’outil Do Not Disturb. Une application qui permet d’avertir le propriétaire d’un MacBook en cas d’accès non autorisé. L’application tourne sous iPhone.

Elle permet de surveiller votre ordinateur portable afin de détecter les événements ouverts et vous avertir en temps réel, via une photographie par exemple.

Android, Apple, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, ios, Linux, Logiciels, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie

Android et macOS, des cybercriminels s’invitent dans des applications

Découverte de deux nouvelles menaces, l’une agissant sous macOS et l’autre sous Android. Le malware sous macOS a fait 1 000 victimes. Quant à la menace sous Android, plus de 5 500 téléchargements ont été effectués.

Un malware s’invite dans les macOS. Si son impacte est encore légére, la cyberattaque présage un avenir plus mouvementé pour les utilisateurs de Mac et Android. Selon les chercheurs de l’éditeur d’antivirus ESET, une application créée par l’éditeur Eltima a été infiltrée par des pirates. Mission, diffuser un code malveillant. Environ 1 000 utilisateurs, clients de l’éditeur de solutions de sécurité informatique, auraient été infectés par le kit OSX/Proton, disponible sur les marchés underground.

Les applications Elmedia Player (lecteur multimédia) et Folx® (gestionnaire de téléchargement) sont concernées. OSX/Proton est une backdoor qui possède de nombreuses fonctionnalités et permet de récupérer, par exemple, les détails de l’OS comme le numéro de série de l’appareil, nom complet de l’utilisateur actuel ; les informations provenant des navigateurs : historique, cookies, marque-pages, données de connexion. Un outil qui vise à collecter des informations sur les portefeuilles de cryptomonnaie pouvant être disponible sur les appareils infiltrés. Proton exfiltre aussi le trousseau macOS grâce à une version modifiée de chainbreaker ; la configuration du VPN Tunnelblick ainsi que les données GnuPG (chiffrement de mails) et de 1password (gestionnaire de mots de passe).

Cryptomonnaie : une version compromise de Poloniex sur Google Play

Avec plus de 100 cryptomonnaies au compteur, Poloniex est l’un des principaux sites d’échange de cryptomonnaie au monde. Les cyberpirates ont profité du fait qu’il n’y ait pas d’application officielle de Poloniex pour développer deux versions malicieuses. En plus de récolter les identifiants de connexion à Poloniex, les cybercriminels incitent les victimes à leur accorder l’accès à leur compte Gmail. Les pirates peuvent ensuite effectuer des transactions depuis le compte de l’utilisateur et effacer toutes les notifications de connexions et de transactions non autorisées depuis la boîte de réception. La première des applications malveillantes se nomme « POLONIEX » et a été installée 5 000 fois, malgré les avis négatifs. La deuxième application, « POLONIEX EXCHANGE », a été téléchargée 500 fois avant d’être retirée du Google store.

Android, Apple, Chiffrement, cryptage, Cybersécurité, Espionnae, ID, Identité numérique, ios, Logiciels, Particuliers, Securite informatique, Smartphone, Téléphonie, Vie privée, Windows phone

Votre smartphone vous suit à la trace ?

Même fermé, sans puce, les smartphones sont-ils capables de vous suivre à la trace ?

Trace or not trace ! Il ne se passe pas une journée ou je ne reçois par un courriel me demandant qu’elles sont les informations que collectent les téléphones portables. S’il fallait décortiquer l’ensemble des cas, vous jetteriez votre smartphone à la poubelle. Il faut savoir que les constructeurs indiquent ce qu’ils font avec nos appareils. Je vais prendre l’exemple de Google et de son système Android. Un OS qui équipe plusieurs centaines de millions d’appareils dans le monde.

Dans son espace Privacy, le géant américain indique que lorsque vous utilisez des services Google, ils sont susceptibles de collecter et traiter des données relatives à votre position exacte. Ils utilisent différentes technologies pour vous localiser : IP, signaux GPS. D’autres capteurs permettent d’identifier les appareils, les points WiFi, les antennes-relais à proximité.

https://twitter.com/fs0c131y/status/932249064208551936

Ce détail est intéressant car, par exemple, vous pouvez activer les services de localisation de Google pour optimiser les applications géo-dépendantes sur votre appareil. Si vous faites appel à ces services, votre appareil communique des informations concernant les points d’accès WiFi (telles que l’adresse MAC et la force du signal) et les antennes-relais qui se trouvent à proximité pour leur permettre de déterminer votre position. Vous pouvez utiliser les paramètres de votre appareil pour activer les services de localisation de Google.

Il s’avère que d’autres « capteurs » permettent de vous tracer avec une précision chirurgicale. Pour preuve, cet « espionnage » que Google orchestre depuis plusieurs mois via son outil Firebase Cloud Messaging. Une collecte d’information pas vraiment explicite de la part de l’américain. Son logiciel, qui ne peut être bloqué, fait une localisation de l’appareil. Une « option » usine qui doit disparaitre dans quelques semaines indique le journal Quartz.

Pour les autres appareils, Apple, Wiko, rassurez-vous, ils collectent aussi vos données, pour, parait-il, votre bien. (QZ)

Apple, backdoor, Cyber-attaque, Cybersécurité, Espionnae, ios, Logiciels, OS X, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone

Fruitfly : code malveillant pour MAC

Un commentaire

Le malware, nommé Fruitfly, a été détecté en janvier 2017. Le chercheur en sécurité pour Synack, Patrick Wardle, a récemment détecté une variante du virus qui serait présente dans certains MAC depuis au moins cinq ans.

Fruitfly, le malveillant pour MAC ! Les capacités de ce logiciel-espion couvrent plusieurs fonctionnalités comme l’activation des webcams et micros, la modification d’un fichier ou l’enregistrement de la saisie clavier. L’espion peut alors surveiller les gestes de l’utilisateur mais aussi subtiliser ses données. Fruitfly a touché 400 appareils selon Mashable, principalement aux États-Unis, mais le chiffre pourrait être revu à la hausse selon le chercheur en sécurité.

Patrick Wardle voit dans ce virus une attaque sans but financier : Un pirate a conçu cet espiogiciel pour espionner des utilisateurs, en précisant que ce logiciel d’espionnage a été conçu pour de la surveillance de pointe. Le chercheur, qui a déjà travaillé pour la NSA, a déjà vu ce type de surveillance auparavant mais d’habitude, on voit ça dans des logiciels gouvernementaux ou d’État-nation selon lui.

Wardle estime que les créateurs de cette variante de Fruitfly avaient déjà abandonné leur malware. La menace est d’ailleurs en partie oubliée puisque les adresses des serveurs et les noms de domaines utilisés par le malware sont déjà désactivés.

La première version de FruitFly avait été détectée par Malwarebytes. La version cachée depuis 5 ans dans des centaines de MAC serait l’évolution de la souche découverte par MB. Jérôme Ségura, Expert en sécurité chez Malwarebytes nous livre les premiers éléments d’analyse sur ce nouveau malware : « Après la découverte de la première version du malware Mac FruitFly (détecté sous le nom de OSX.Backdoor.Quimitchin par Malwarebytes). FruitFly2 est lui aussi écrit avec du code assez rudimentaire. Ce genre de découverte nous rappelle que les Macs ne sont pas à l’abri des virus informatiques.« 

Comme le montrait ZATAZ.COM, les logiciels espions pour MAC existent, certains sont mêmes offerts. 2017 a déjà battu le record de l’année ou le nombre de malwares ciblant Apple a été le plus important. La légende selon laquelle posséder un Mac met à l’abri des malwares doit être reconsidérée car nous constatons de plus en plus d’infections où l’utilisateur se fait duper et installe un programme malveillant sur un MAC.

Apple, backdoor, Cybersécurité, escroquerie, Espionnae, iOS, OS X, Particuliers, Téléphonie

Les utilisateurs Mac visés par une variante du malware Xagent

Le malware Xagent s’attaque désormais aux utilisateurs Mac pour détourner des mots de passe et des sauvegardes iPhone.

Les pirates responsables de la menace APT28 ont renforcé leur arsenal – la charge utile du malware Xagent peut maintenant cibler des utilisateurs sous macOS dans le but de voler des mots de passe, faire des captures d’écran mais également voler des sauvegardes iPhone stockées sur le Mac. L’année dernière, nous avions publié une étude complète sur ce qui s’est révélé être l’une des plus grandes campagnes de cyber-espionnage, liée à la Russie.

L’échantillon auquel nous nous intéressons aujourd’hui, Bitdefender a pu mettre la main sur ce dernier lors d’un audit client, est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. Cette porte dérobée modulaire avec des capacités avancées de cyber-espionnage est probablement installée sur le système via le downloader Komplex.

Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. S’il en détecte un, il s’arrête lui-même pour empêcher l’exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules.

L’analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple. Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s’exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes.

Où ces modules d’espionnage macOS s’installent-ils ?

L’analyse révèle la présence de modules capables de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d’exécution, d’exécuter des fichiers supplémentaires, d’obtenir des captures d’écran et de récolter les mots de passe du navigateur. Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d’exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu.
Tous ces modules sont en attente d’analyse (un document détaillé documentant toutes les fonctionnalités des modules sera disponible sous peu.)

Notre précédente analyse d’échantillons connus pour être liés au groupe APT28 montre un certain nombre de similitudes entre le composant Sofacy / APT28 / Sednit Xagent pour Windows / Linux, et le binaire macOS actuellement étudié par nos équipes. Pour une fois, la présence de modules similaires a été détectée, tels que FileSystem, KeyLogger et RemoteShell, ainsi qu’un module de réseau semblable appelé HttpChanel. D’autres indicateurs montrent que l’échantillon d’aujourd’hui utilise également une adresse URL d’un serveur C&C identique au cheval de Troie OSX Komplex de Sofacy / APT28 / Sednit, moins le TLD (apple – [*******] .net pour Komplex vs apple – [* ******]. Org pour Xagent).

L’expertise forensique du binaire révèle aussi des chaînes binaires identiques dans les clients Komplex et Xagent, comme : Chaîne binaire Komplex: « / Users / kazak / Desktop / Project / komplex » ; Chaîne binaire Xagent Mac: « / Users / kazak / Desktop / Project / XAgentOSX ».

Les équipes Bitdefender concluent donc cette première étape des analyses en supposant que c’est le composant Komplex découvert en septembre dernier qui a été utilisé afin de diffuser le malware Xagent sur macOS. L’enquête est en cours. Une étude complète sera bientôt mise à disposition par l’éditeur de solution de sécurité informatique. De manière générale, les utilisateurs Mac soucieux d’éviter les malwares tels que Xagent devraient toujours éviter les App store alternatifs, et ne se fier qu’au Store officiel et aux développeurs disposant d’une bonne renommée.

*Analyse fournie par Tiberius Axinte, Responsable Technique chez BitdefenderLabs