Ai-je besoin d'un anti-virus pour mon mac ?

Le mot “virus” est souvent employé abusivement comme terme générique. Le terme générique approprié pour désigner un programme ou fichier malveillant est “malware” (pour malicious software).

Un malware peut être un virus, un ver, un cheval de Troie, un spyware, un ransomware, tout programme destiné à infecter vos applications, vos fichiers système ou personnels. Les “virus” ne sont pas nécessairement les plus dangereux : un programme destiné à détourner vos informations personnelles, identifiants, mots-de-passe, peut vous faire beaucoup plus de tort, d’autant plus s’il passe inaperçu parce que votre Mac continue à fonctionner normalement, sans le moindre symptôme. Le rançonneur Keranger, par exemple, découvert début mars 2016, attend (activement) 3 jours avant de se manifester.

Des virus sur Mac ?

La réponse varie selon qu’on parle de virus au sens strict ou que l’on inclue les vers. La différence est un peu subtile pour les non-spécialistes et pas forcément très utile en pratique. Sans compter que tous les spécialistes ne s’accordent pas sur les définitions…

Pour information donc, on admet généralement qu’un virus est un malware qui a la faculté de se répliquer et de se propager en utilisant une application : c’est le lancement de l’application qui lui permet d’être copié et de se propager. En revanche, un ver se propage de manière “autonome”, même si une application peut servir de “canal”.

On peut citer au moins deux exemples de vers ayant affecté Mac OS X : OSX/Leap-A, qui se propageait via iChat (devenu Messages depuis Mountain Lion) et OSX/Inqtana-A, qui se propageait en exploitant une vulnérabilité bluetooth. Ces deux failles ont été corrigées depuis longtemps par Apple, mais ces exemples montrent clairement que Mac OS X n’est pas à l’abri de telles menaces, même si le risque est pour l’instant faible comparativement à d’autres systèmes d’exploitation. Le fait qu’il n’y ait pas, à ce jour, de virus (au sens strict) en circulation affectant le Mac, ne signifie pas qu’il n’y en aura jamais et ce d’autant plus que la part de marché de Mac OS X a sensiblement augmenté, ces dernières années.

D’autre part, comme nous l’avons évoqué plus haut, il existe d’autres types de malware comme les chevaux de Troie, qui eux, ne sont pas si rares et peuvent représenter un risque réel.

Qu’est-ce qu’un cheval de Troie ?

Les chevaux de Troie tirent leur nom de la mythologie grecque, selon laquelle la ville de Troie aurait été envahie par des soldats cachés dans un gigantesque cheval de bois. Un cheval de Troie informatique est un programme d’apparence légitime, parfois même censé assurer votre sécurité, mais contenant du code destiné à effectuer des actions à votre insu. Cela peut aller du détournement d’informations personnelles, dont identifiants, mots-de-passe, etc., à la prise de contrôle de votre Mac, via l’installation d’une porte dérobée (back-door).

Parmi les chevaux de Troie les plus connus ciblant Mac OS X, on peut citer :

Mac Defender (autrement appelé Mac Guard, Mac Protector, Mac Security, Mac Shield…), découvert en mai 2011. La technique utilisée est classique : un message vous fait croire que des virus ont été détectés sur votre Mac, vous envoie sur un site commercialisant un faux antivirus, sur lequel vous êtes invité à télécharger leur programme. Si vous installez ce prétendu antivirus, votre Mac se comporte comme s’il était vraiment infecté, générant des messages d’alerte, etc. Vous êtes alors incité à acheter le programme, qui ne fait que régler les problèmes qu’il a lui-même créés. Mais le risque ne se limite pas à l’achat d’un logiciel inutile : une utilisation frauduleuse des informations bancaires était également en cours quand les malfaiteurs ont été arrêtés (tous ?).

RSPlug : initialement, ce cheval de Troie était colporté par un soi-disant codec nécessaire pour visionner des vidéos pornographiques, mais il a été identifié dans d’autres types de programmes, notamment des jeux gratuits. RSPlug modifie vos réglages DNS afin de vous envoyer sur des sites malveillants, notamment des sites de phishing (faux sites bancaires, faux eBay ou autre).

Revir/Imuler : découvert en septembre 2011, Revir.A est un cheval de Troie déguisé en fichier .pdf. S’il est ouvert, il installe Imuler.A, une porte dérobée (backdoor), qui se connecte à un serveur distant, auquel il peut envoyer des fichiers et/ou captures d’écran du système infecté. Revir/Imuler n’a pas été localisé “in the wild” (= dans la nature, en circulation), mais une nouvelle version de Revir/Imuler a été signalée le 15 mars 2012 par l’éditeur Intego. Cette fois-ci, le déguisement n’est plus un fichier .PDF, mais une image .JPG . Le risque est pour l’instant jugé faible, mais il est recommandé d’afficher toutes les extensions de fichiers dans le Finder, en cochant cette option dans Finder > Préférences > Options avancées, si ce n’est déjà fait. Cela permettra d’identifier une application (.app) dissimulée.

Flashback : c’est sans doute la première fois qu’un malware se montre aussi menaçant pour les utilisateurs Mac. Apparu en septembre 2011, Flashback était un cheval de Troie, qui prenait l’apparence d’un programme d’installation de Flash Player, désactivait certaines sécurités, injectait du code dans des applications actives et installait une porte dérobée pour se connecter à un serveur malveillant. La menace a d’abord été jugée “modérée”, mais plusieurs variantes de Flashback ont été détectées depuis, utilisant des failles de Java et des techniques d’installation de plus en plus sophistiquées (fausse alerte de mise-à-jour, faux certificat Apple, …) et finalement, pouvait être contracté par la simple visite de centaines de sites, sans action de l’utilisateur. Au total, la menace “modérée” aurait tout de même concerné des centaines de milliers de Macs…

Bien que Java ait été mis à jour par Apple, il nous semble prudent de désactiver Java (pas JavaScript !) dans vos navigateurs et de ne l’activer qu’à la demande (ce qui sera plutôt rare, voire ne se produira jamais, en fonction des sites que vous visitez).

Safari : Menu Safari > Préférences > Sécurité. Dans les versions antérieures à 6.1, la case “Autoriser Java” doit être décochée. A partir de la version 6.1, vous pouvez n’autoriser Java que pour certains sites de confiance.
Firefox : Menu Outils > Modules complémentaires > Plugins

Chrome : tapez chrome://plugins/ dans la barre d’adresses et validez. Désactivez tout ce qui contient Java.

Vous pouvez également désactiver Java dans votre navigateur principal et avoir un navigateur dans lequel Java est activé mais que vous n’utilisez que sur des sites de confiance sur lequel il est requis…

“Mac OS X a un antivirus intégré !”

C’est ce qu’on lit parfois, sur des forums notamment, mais c’est faux. Mac OS X inclut, depuis sa version 10.5 (Leopard) une fonctionnalité de “mise en quarantaine” de fichiers potentiellement dangereux, téléchargés depuis des applications qui supportent cette fonctionnalité, telles que Safari, Mail ou iChat (Messages), par exemple. Quand vous essayez d’ouvrir une application téléchargée via ces applications compatibles, vous recevez un avertissement du type “Exemple.app est une application provenant d’un téléchargement depuis Internet. Voulez-vous vraiment l’ouvrir ?”.

C’est ce qu’Apple entend par “Les fichiers que vous téléchargez via Safari, iChat ou Mail sont vérifiés à l’ouverture à des fins de sécurité.”, mais cette phrase peut largement prêter à confusion si l’on ne lit pas attentivement la suite du document. Même si elle a le mérite d’exister, il s’agit tout de même d’une fonctionnalité de protection très basique. Personne ne s’émerveille de ce que Windows prévienne qu’un .exe est un fichier exécutable qui “risque d’endommager votre ordinateur”.

De plus, il est important de noter que la fonctionnalité de mise en quarantaine ne fonctionne que pour les téléchargements (et, encore une fois, à l’aide d’une application compatible). Pour toute autre application, ou si vous copiez des fichiers depuis un support externe (disque, clé USB ou autre), ils échapperont au contrôle (sauf s’ils ont déjà été “flaggés” par un autre Mac ET que le support depuis lequel vous les transférez respecte les métadonnées d’OS X). A moins que vous ne soyez à 100% certain de la “propreté” du support externe, il est toujours prudent d’effectuer un scan à l’aide d’un bon antivirus. 

Depuis Snow Leopard (10.6), Apple a ajouté une fonctionnalité supplémentaire nommée “XProtect“: Mac OS X détecte maintenant un certain nombre de malware connus et répertoriés dans sa base de données, mise à jour périodiquement mais souvent avec plusieurs semaines de retard, ce qui est difficilement admissible. Pour ceux que cela intéresse, cette liste de définitions est située dans le fichier :

/System/Library/CoreServices/
CoreTypes.bundle/Contents/Resources/XProtect.plist

Depuis le Finder, menu Aller > Aller au Dossier > Coller cette adresse que nous avons laissée en anglais à cet effet (supprimez le passage à la ligne).

Si vous essayez d’ouvrir un des fichiers répertoriés dans cette liste, vous obtenez un message du type :

Gardez à l’esprit que certaines applications –notamment des applications peer-to-peer mais pas seulement, peuvent ne pas supporter la fonctionnalité de mise en quarantaine. Testez éventuellement l’application en téléchargeant un fichier de source sure. Si vous n’obtenez pas d’avertissement que ce fichier provient d’un téléchargement internet, c’est que l’application que vous avez utilisée pour le télécharger ne supporte pas la fonctionnalité de quarantaine.

Alors… ai-je besoin d’un antivirus sous Mac OS X ?

Il y a quelques années, nous aurions répondu que, si vous preniez soin de maintenir votre système à jour, ne téléchargiez que depuis des sources sûres et vous sentiez assez “averti” pour déjouer des pièges qui étaient jusqu’ici assez grossiers, vous n’aviez probablement pas besoin d’un antivirus sur votre Mac. Nous avons malheureusement été amenés à changer d’avis.

Pourquoi utiliser un antivirus sur Mac

• Comme nous l’avons vu, bien que Mac OS X soit bien moins exposé que Windows, il n’est en aucun cas immunisé contre les malware de toutes sortes. Il est plus que probable que des malware ne nécessitant aucune action de l’utilisateur (cf. Flashback) réapparaissent, et ce d’autant plus que la part de marché de Mac OS X dans le monde a beaucoup augmenté ces dernières années. Le Mac commence clairement à intéresser les cyber-criminels…
• La sécurité de Windows a été nettement renforcée et la plupart de ses utilisateurs sont conscients des risques et se protègent. Cela rend la tâche des agresseurs plus difficile et ils peut devenir “rentable” de s’attaquer à une cible bien plus petite mais qui n’est pas sensibilisée aux problèmes de sécurité et ne se protège pas…
• On a vu que des variantes de Flashback étaient codées pour ne pas s’installer sur des Macs protégés, afin de ne pas être découverts et donc de pouvoir plus facilement se répandre sans faire trop de bruit. Cette stratégie sera à coup sûr ré-utilisée.
• La fonctionnalité de mise en quarantaine intégrée à Mac OS X est bienvenue mais n’est en aucun cas assimilable à un antivirus. D’autre part, on a vu qu’Apple peut être lent à diffuser des mises à jour (plus de 3 semaines après son identification par Intego dans le cas de Mac Defender). De même, Flashback et ses variantes n’ont été intégrées à “XProtect” que plusieurs semaines après leur identification…
• Un antivirus nous permet de vérifier qu’un fichier est “propre” avant de le transmettre à un utilisateur Windows.
• Contrairement à ce qu’on peut lire trop souvent sur des forums Mac, il n’est pas nécessaire d’être un parfait “crétin” pour être dupé par un programme malveillant : tout le monde n’est pas né avec un ordinateur dans les mains et on peut être un utilisateur régulier d’internet sans pour cela être en mesure d’en déjouer tous les pièges. On voit même des utilisateurs avertis faire de “stupides” erreurs de sécurité, par fatigue et/ou empressement.