# Piratage éventuel d'un iMac !



## DavidB78 (19 Mars 2010)

Bonjour à tous, je suis nouveau sur le forum.
Voilà, j'aimerais savoir dans quelle mesure un internaute peut pirater le contenu d'un iMac lorsque le coupe-feu n'est pas activé ? (Je crains que, dans ces conditions, il n'y ait malheureusement aucune limite).
Je viens de constater avec effroi que les coupe-feu de mes Mac n'étaient pas activés par défaut ! Et je les utilise  tel quel depuis des années. C'est dernier étant bien entendu bourrés d'informations personnelles et confidentielles.
Un pirate peut-il tranquillement installer un "cheval de Troie" dans ces conditions ?
Dans le très probable pire des cas, y a-t-il moyen d'identifier les connexions antérieures indésirables.
J'aimerais aussi savoir si après activation du coupe-feu, l'éventuel "cheval de Troie" est neutralisé.
Bref, je suis une bille totale en matière de piratage, et jusque là je croyais être absolument tranquille avec mes Mac. Il semblerait que je fus quelque peu crédule...
Merci d'avance pour vos précieuses informations.
David


----------



## pepeye66 (19 Mars 2010)

DavidB78 a dit:


> Bonjour à tous, je suis nouveau sur le forum.
> Voilà, j'aimerais savoir dans quelle mesure un internaute peut pirater le contenu d'un iMac lorsque le coupe-feu n'est pas activé ? (Je crains que, dans ces conditions, il n'y ait malheureusement aucune limite).
> Je viens de constater avec effroi que les coupe-feu de mes Mac n'étaient pas activés par défaut ! Et je les utilise  tel quel depuis des années. C'est dernier étant bien entendu bourrés d'informations personnelles et confidentielles.
> Un pirate peut-il tranquillement installer un "cheval de Troie" dans ces conditions ?
> ...



Je ne suis pas trés instruit sur ce sujet mais il semblerait que celà soit impossible.
D'autres te renseigneront mieux que moi...Va aussi faire un tour sur les archives car ce sujet a été bien souvent abordé.


----------



## schwebb (19 Mars 2010)

Hello,

Le coupe-feu de Mac OSX n'est pas la seule protection: il y a aussi celui de ton routeur. Normalement, par défaut il est souvent sur un niveau de sécurité intermédiaire (largement suffisant).

Difficile de savoir si tu as été piraté ou pas, mais il y a assez peu de chances, t'inquiète. 

Maintenant, puisqu'à partir d'aujourd'hui le sujet te préoccupe, tu peux devenir véritablement acteur de la sécurité de ton Mac. Quelques trucs:
- dans le Terminal, tape:

```
sudo crontab -l
```
Puis ton mot de passe. Cette commande sert à vérifier si un troyen est à l'oeuvre (réponse attendue: no crontab for root); tu peux taper ça régulièrement, pour surveiller un peu
- active ton pare-feu. Certains disent qu'il vaut mieux ne pas activer à la fois celui de ton routeur et celui du Mac; je ne sais pas trop: les deux sont activés chez moi, et je n'ai jamais remarqué d'interférences
- télécharge Little Snitch: c'est un excellent petit logiciel (payant mais vraiment raisonnable en regard du travail fourni), qui surveille tes connexions. Peut-être plus utile pour la confidentialité que pour la sécurité, mais utile de toute façon
- va faire un tour dans les paramètres de ton routeur, et change les login et mdp par défaut
- mets un mdp à l'ouverture de ton Mac, ainsi qu'à la sortie de veille
- globalement, change tes mdp régulièrement, et choisis des mdp durs (tu peux en générer des vicieux via Trousseau d'accès, par exemple) 
- gaffe aux emails suspects et aux téléchargements sur des sites à la con



Bien sûr, il y a d'autres trucs à faire ou à éviter, tout comme il y a d'autres moyens de péter les sécurités. Mais c'est une ébauche de ce que tu peux faire.


----------



## Fmparis (19 Mars 2010)

Bonjour à toi. Pas de panique (en principe ) ! Il n'y a pas beaucoup de soucis de virus chez Mac, mais, pour te rassurer tu peux passer ClamXav qui est un antivirus gratuit et bien pour Mac. En attendant l'avis des plus experts en la matière.


----------



## DavidB78 (19 Mars 2010)

Merci beaucoup messieurs !
Mon problème, plus exactement, c'est j'ai un "contentieux" avec un internaute un peu dérangé avec qui je me suis accroché (rien à voir avec ce site). Nous nous sommes "expliqués" par mails interposés (à partir de mes deux Mac, ce qui signifie qu'il a mes 2 adresses IP) et ce type m'a plus ou moins fait comprendre qu'il m'avait hacké. J'espère que c'est de l'intox mais allons savoir...
C'est un problème dont je ne me préoccupais guère avant, mais l'idée qu'un malade puisse faire ce qu'il veut dans mes machines (factures, photos de famille par ex., pourquoi pas activation à mon insu de ma Webcam et tout le tralala) m'est finalement, vous l'imaginez, particulièrement désagréable.
C'est là que j'ai commencé à me pencher un peu plus sur la question et que je me suis aperçu éberlué que mes firewall n'étaient pas activés par défaut (je trouve d'ailleurs ça étrange de la part d'Apple).
Tout ça pour dire que je ne crains pas particulièrement le hacking pour la hacking, mais l'attaque bien ciblée d'un gars qui me menace et a mes adresses IP.

---------- Nouveau message ajouté à 14h19 ---------- Le message précédent a été envoyé à 14h18 ----------




schwebb a dit:


> - dans le Terminal, tape:
> 
> ```
> sudo crontab -l
> ...


Merci !
Bon, le message attendu est OK pour l'instant. Faudra que j'essaie sur mon autre machine.


----------



## schwebb (19 Mars 2010)

DavidB78 a dit:


> l'attaque bien ciblée d'un gars qui me menace et a mes adresses IP.



Un simple redémarrage suffira pour qu'il n'ait plus ton adresse IP, mais ce n'est pas suffisant:
- change d'urgence les login et mdp de ton routeur (s'il t'a vraiment hacké, c'est sans doute une des premières choses qu'il aura faites, et tu le verras tout de suite: tu ne pourras plus accéder à l'interface de ton routeur)
- mets des mdp à l'ouverture de session et à la sortie de veille
- tu peux porter plainte, accessoirement


----------



## DavidB78 (19 Mars 2010)

schwebb a dit:


> Un simple redémarrage suffira pour qu'il n'ait plus ton adresse IP, mais ce n'est pas suffisant:
> - change d'urgence les login et mdp de ton routeur (s'il t'a vraiment hacké, c'est sans doute une des premières choses qu'il aura faites, et tu le verras tout de suite: tu ne pourras plus accéder à l'interface de ton routeur)
> - mets des mdp à l'ouverture de session et à la sortie de veille
> - tu peux porter plainte, accessoirement



Je vais sans doute te paraître affreusement ignare, mais ce que tu appelles routeur c'est bien les boîtiers ADSL par lesquels je suis connectés ? (Freebox chez moi et Livebox au taf)


----------



## schwebb (19 Mars 2010)

DavidB78 a dit:


> Je vais sans doute te paraître affreusement ignare, mais ce que tu appelles routeur c'est bien les boîtiers ADSL par lesquels je suis connectés ? (Freebox chez moi et Livebox au taf)



Oui oui, c'est ça.


----------



## pascalformac (19 Mars 2010)

bonjour
le fait de connaitre une IP est une chose pas très importante

c'est un peu comme connaitre l'adresse de au pif  le Palais de l'Elysée
c'est pas pour autant qu'on y entre (surtout sans accord !)


acceder à tes machines et contenu  sans ton accord , c'est en utilisation normale pas possible
pour que l'exterieur puisse fouiner il faudrait que tu donnes ton accord et divers infos


----------



## Anabys (19 Mars 2010)

Stop le délire...

Si tu veux 100% de sécurité, tu ne connectes pas ton ordi à Internet. C'est la seule manière d'avoir la CERTITUDE que personne n'est venu farfouiller, que tu utilises OS X, Windows, Linux, ou je ne sais quel OS.

Alors pourquoi sommes-nous tout de même tous connectés en permanence ? Parce que le risque, pour un ordinateur client, d'être compromis, est minime. Aucun système n'étant parfait, la sécurité repose sur l'évaluation de risque (par exemple : si je ne fais jamais aucune mise à jour, j'augmente grandement les risques, donc je fais les mises à jour).

En l'occurrence, une analyse basique des risques fait ressortir cela :

1) Tu es sur Mac (et non Windows), ce qui permet d'exclure d'emblée l'infection par un malware "grand public", comme ceux que l'on chope en double-cliquant sur free-porn.exe. Il ne reste que l'hypothèse d'une attaque ciblée (manuellement, ou avec un trojan/rootkit custom).

2) Ton ordinateur est derrière un routeur (free/live box) qui, par défaut, est doté d'un firewall (pas très finaud, certes, mais qui filtre tout de même les connexions entrantes).

3) Firewall ou pas, ce sont les services actifs sur ta machine qui constituent des "portes d'entrée". Commence déjà par vérifier que les cases sont décochées dans préférences système > partage.

Le Firewall de Mac OS X est utile lorsqu'on est connecté DIRECTEMENT à Internet, c'est-à-dire sans passer par un routeur. C'était le cas avec les modems, c'est le cas avec certaines configurations proxy qui passent à travers la box, mais ce n'est pas ton cas.

4) Un bonhomme qui se vante par e-mail de t'avoir "piraté", est plus un lamer qu'un hacker (ce qui veut dire : tu n'as rien à craindre, il n'a rien fait, parce qu'il n'y connaît rien et que sa seule arme est de te faire peur).

--

Concernant les e-mails : cela dépend du prestataire. Hotmail indique l'IP du sender mais Gmail la masque automatiquement (si l'e-mail est envoyé depuis le webmail). 

Concernant l'IP : c'est celle de la box qui compte, il est donc inutile de redémarrer l'ordinateur, ça ne la changera pas. En revanche, redémarrer la box peut avoir pour effet de changer l'IP, cela dépend du FAI.


----------



## Fmparis (19 Mars 2010)

Ups  salut schwebb en te lisant j'ai décidé de taper la commande "sudo crontab -l" et ça m'a donné la mauvaise réponse : */5 * * * "/Library/Internet Plug-Ins/AdobeFlash" vx 1>/dev/null 2>&1   

Qu'est-ce que ça veut dire ? le plugin Flash est-il un troyen ? 

Merci d'avance de ton éclairage  car là je me fais de souci aussi !

à plus


----------



## schwebb (19 Mars 2010)

Fmparis a dit:


> Ups  salut schwebb en te lisant j'ai décidé de taper la commande "sudo crontab -l" et ça m'a donné la mauvaise réponse : */5 * * * "/Library/Internet Plug-Ins/AdobeFlash" vx 1>/dev/null 2>&1
> 
> Qu'est-ce que ça veut dire ? le plugin Flash est-il un troyen ?



Je ne sais pas trop, mais on dirait bien; va jeter un oeil sur cette page:

http://vil.mcafeesecurity.com/vil/content/v_154438.htm

Le message que tu obtiens figure, caractère pour caractère, sur cette page qui parle d'un troyen changeur de dns.


----------



## Anabys (19 Mars 2010)

Owi t'as un beau trojan là 

[T'as double-cliqué sur un truc vilain là^^]


----------



## Fmparis (19 Mars 2010)

Aie aie aie  je vais m'en débarrasser vite ! Merci merci... j'espère qu'il n'a pas fait de dégâts !!! Bonne soirée 

ClamXav ne m'a pas trouvé celui là ! Même maintenant je viens de le re-passer et rien !  aie aie


----------



## Anabys (19 Mars 2010)

Laisse tomber clamav, ça ne te protègera pas contre une attaque directe, et rien ne dit que ça détectera les malware mac... c'est plutôt pour les bon vieux ILOveYou ou MyDoom...

Le cronjob que tu as, et qui n'a rien à faire là où il est, provient très probablement d'un programme infecté que tu as lancé (un logiciel téléchargé sur le web ? une saleté de player vidéo ? ...)

Pour le retirer :
- efface les fichiers avec le finder 

/cron.inst
/i386
/Library/Internet Plug-Ins/AdobeFlash
/Library/Internet Plug-Ins/Mozillaplug.plugin

(ils ne seront peut être pas tous présents)

- efface le cronjob avec la commande sudo crontab -r
- vérifie que tes DNS n'ont pas été changés (dans les préférences système) et rectifie si besoin
- redémarre l'ordi

Eventuellement, réinstalle Flash depuis une source officielle.

Vérifie que tu n'as plus le vilain cron avec sudo crontab -l


----------



## pascalformac (19 Mars 2010)

un des rapatrieurs de trojan flasheux classique 
c'est de cliquer ( sur des sites douteux,  XXX par exemple )
 l'option proposant d'installer  un flashplayer  ou un player maison ( douteux) concocté par le site


----------



## Fmparis (19 Mars 2010)

Anabys a dit:


> Laisse tomber clamav, ça ne te protègera pas contre une attaque directe, et rien ne dit que ça détectera les malware mac... c'est plutôt pour les bon vieux ILOveYou ou MyDoom...
> 
> Le cronjob que tu as, et qui n'a rien à faire là où il est, provient très probablement d'un programme infecté que tu as lancé (un logiciel téléchargé sur le web ? une saleté de player vidéo ? ...)
> 
> ...



Merci merci... j'y vais tout de suite 

---------- Nouveau message ajouté à 20h49 ---------- Le message précédent a été envoyé à 20h29 ----------

Uff  ça y est ! C'est fait ! Merci encore... (je vais bien faire plus attention avec ce que mes frangins m'envoient du Brésil ... assez souvent c'est de trucs drôles et un peu cochon ... j'ouvrais tranquille en me disant que avec Mac je ne craignait rien... j'en ai appris une bonne aujourd'hui  comme quoi il n'est jamais tard pour apprendre  ...


----------



## schwebb (19 Mars 2010)

Fmparis a dit:


> je vais bien faire plus attention avec ce que mes frangins m'envoient du Brésil ... assez souvent c'est de trucs drôles et un peu cochon



Mouais... 





Bon, l'essentiel est que tu aies nettoyé tout ça.


----------



## Dramis (19 Mars 2010)

schwebb a dit:


> ```
> sudo crontab -l
> ```
> Puis ton mot de passe. Cette commande sert à vérifier si un troyen est à l'oeuvre (réponse attendue: no crontab for root);



C'est pas parce que la crontab est vide qu'il n'y a pas de troyen....

Et puis si je suis capable d'ajouter une ligne dans la crontab root, y'a de forte chance que j'en profite pour modifier le programme crontab pour ne pas lister mon troyen.


----------



## schwebb (19 Mars 2010)

Dramis a dit:


> C'est pas parce que la crontab est vide qu'il n'y a pas de troyen....
> 
> Et puis si je suis capable d'ajouter une ligne dans la crontab root, y'a de forte chance que j'en profite pour modifier le programme crontab pour ne pas lister mon troyen.



Oui, c'est exactement pour ça (entre autres) que je précisais dans le post n°3 qu'il existe d'autres moyens de péter les sécurités.


----------



## Anabys (19 Mars 2010)

Quelqu'un qui est capable de faire cela (c'est-à-dire être root sur la machine), ne va pas procéder avec des trojans.


----------



## jord534 (19 Mars 2010)

bBonjour

En lisant ce sujet, je me pose une question : ok les macs sont pas impénétrable, mais un trojan une fois qu'il est sur la machine, il peut faire quoi ?


----------



## Anabys (19 Mars 2010)

Il n'y a pas de réponse définitive à ta question.

- Ce qu'il "va faire" : cela dépend du trojan.

- Ce qu'il "peut faire" : cela dépend de ce que tu entends par "trojan". Définition stricte : programme caché qui ouvre une backdoor -- réponse : il ouvre une backdoor, c'est ce qu'il fait (= aucune conséquence si elle n'est pas utilisée). Définition extensive : le trojan est accompagné d'un rootkit -- réponse : il peut tout faire.

- Ce qu'ils font, en général :
TOUS : Démarrent avec la machine et s'exécutent automatiquement en fond de tâche.
Une ou plusieurs des choses suivantes :
- Téléchargent et installent d'autres logiciels malveillants.
- Changent les DNS de la machine, afin d'attirer l'utilisateur sur des sites de phishing.
- Exécutent un service afin d'ouvrir une porte au vilain auteur du logiciel qui deviendra root sur la machine infectée.
- Interceptent la frappe au clavier (keylogger).
- Envoient des spam.
- ...

Du blabla théorique ici.


----------



## schwebb (19 Mars 2010)

Anabys a dit:


> Du blabla théorique ici.



Ah oui il est bien ce site, je l'ai dans mes signets.


----------



## TiteLine (19 Mars 2010)

Juste une question un peu stupide de ma part ... le trojan en question, il s'installe comment? Il ne demande pas le MDP admin? 

Je pensais naïvement que sur Mac, les trojans avaient besoin de l'accord de l'utilisateur pour être installés


----------



## schwebb (19 Mars 2010)

Enrin a dit:


> Je pensais naïvement que sur Mac, les trojans avaient besoin de l'accord de l'utilisateur pour être installés



Et tu as raison.


----------



## pepeye66 (19 Mars 2010)

schwebb a dit:


> Mouais...
> 
> 
> 
> ...



Mon problème c'est que je ne suis pas assez doué pour investiguer dans le "terminal" et d'autre part, je ne comprend rien à l'Anglais !
Ceci étant précisé puis je me reposer sur l'antimalware de SL ou dois je me diriger vers "VirusBarrier X6" ou autre ?...Ou bien me résigner à cohabiter avec des "trojans" ??


----------



## schwebb (19 Mars 2010)

pepeye66 a dit:


> Mon problème c'est que je ne suis pas assez doué pour investiguer dans le "terminal"



*Personne* ne l'est, à la base.  Le terminal s'apprend, comme toute chose. Et je ne parle pas d'un apprentissage complet: en une heure de recherche sur Internet sur un problème précis, tu sais tout ce que tu dois savoir, tu as recoupé les infos et tu est capable de faire ta manip dans le terminal.



pepeye66 a dit:


> et d'autre part, je ne comprend rien à l'Anglais !



Google traduction. C'est imparfait, parfois source de fous-rires , mais ça aide bien.



pepeye66 a dit:


> Ceci étant précisé puis je me reposer sur l'antimalware de SL ou dois je me diriger vers "VirusBarrier X6" ou autre ?...Ou bien me résigner à cohabiter avec des "trojans" ??



Je n'y connais rien en antivirus. Je pense que de toute façon, ils ne servent à rien contre les menaces actuelles sur les Mac, puisque c'est *toi* qui va installer une saloperie.

Quand les virus seront aussi nombreux que sous Windows il faudra s'équiper, mais pour l'instant pas besoin.


----------



## Anabys (19 Mars 2010)

1) Il est évident que le trojan n'est pas arrivé tout seul, mais par le truchement d'un autre logiciel, en apparence légitime, pour lequel tu n'as eu aucun scrupule à fournir ton mot de passe administrateur lors de l'installation.

Les quelques chevaux de Troie connus sur Mac proviennent :
- de logiciels téléchargés sur les réseaux P2P (bittorrent, amule...) ou en direct (wawamania et compagnie), principalement OS X, iWork, iLife, Adobe CS ;
- de logiciels "rogue", principalement des faux "players" de vidéo ou de musique, ou de faux codecs, téléchargés sur des sites porno ou de warez.

2) Disons, pour les besoins de l'exemple, qu'il existe 1.000.000 de logiciels malveillant pour Windows. Proportionnellement, il en existerait alors 1 pour Mac. Si les utilisateurs Windows peuvent se protéger de ces logiciels en faisant attention à ce qu'ils font, notamment les sites web qu'ils visitent et les exécutables qu'ils lancent, un utilisateur Mac peut faire exactement la même chose avec une probabilité de succès infiniment supérieure.

Pas besoin d'antivirus. Vraiment pas. Juste besoin d'utiliser son ordinateur avec précaution : utiliser un navigateur sécurisé (Firefox + NoScript + FlashBlock + AdBlock), ne pas télécharger de logiciels contrefaits, ne pas double-cliquer sur un exécutable reçu d'un ami plein de bonnes intentions.

3) Le trojan a besoin de ton mot de passe pour s'exécuter en tant que root, et pouvoir ainsi s'en prendre aux fichiers système. Ce n'est pas une obligation, mais ça le rend plus efficace.

Donc : ne pas taper son mot de passe à tort et à travers.

En somme, nul besoin de céder à la paranoïa, il suffit juste de ne pas cliquer n'importe où.


----------



## Moonwalker (20 Mars 2010)

+1

La faille principale est et reste l'utilisateur. C'est celle-là qu'exploitent les troyans, quelque soit le système.

Il faut être vigilant.

De plus, un mauvais programme, même avec les meilleures intention du monde, peut faire plus de dégâts qu'un virus.

Faites des sauvegardes, régulièrement.


----------

