Très récemment l'éditeur d'antivirus Sophos a annoncé la découverte d'un ver particulièrement pernicieux qui s'attaquerait au système Mac OS X. Selon Annie Gay, Directeur général de Sophos France : « Renepo effectue tant de modifications sur les dispositifs de sécurité des systèmes que les jeux sont faits dès lors qu'ils sont infectés. Du fait qu'il est capable d'engranger des données concernant l'utilisateur, la configuration et les mots de passe d'un grand nombre d'applications, ce ver constitue un des pires casse-tête sécuritaires qu'on puisse réunir en un seul programme. »

au sommaire


    Un nouveau virus pour Mac OS X : Renepo, alias Opener

    Un nouveau virus pour Mac OS X : Renepo, alias Opener

    En effet ce ver installe un programme capable de casser tous les mots de passes existant sur l'ordinateur et de les enregistrer dans un fichier. De plus il installe un keylogger (programme qui espionne les frappes au clavier) enregistrant tous les nouveaux mots de passer tapés par l'utilisateur. Mais ce n'est pas tout. Il modifie également les droits d'accès aux principaux répertoires du système, installe un nouveau compte administrateur qui peut être utilisé pour pirater l'ordinateur, désactive l'enregistrement des logs (de telle sorte qu'il ne laisse aucune trace de son activité). Enfin il désactive le pare-feupare-feu incorporé au système et divers autres programmes de sécurité.

    Bref un vrai cauchemar. Oui, mais... Sophos n'indique pas par quelle voie le ver peut pénétrer dans le système. La seule indication qu'on trouve est "Comment il se propage : partage réseau". Une autre source indique qu'il faut que l'utilisateur l'installe en le copiant directement dans le répertoire de démarrage. Mais qui va faire cela et comment arrivera-t-il dans les mains d'un utilisateur aussi naïf ? De plus Sophos affirme que le ver n'a pas encore été diffusé dans la nature. Mais un expert de la société française Intego, spécialisée dans la sécurité des plateformes AppleApple, affirme qu'il est dans la nature depuis le 21 octobre et qu'il en existe deux variantes.

    D'après une information qui m'a été communiquée dans le newsgroup fr.comp.securite.virus, ce ver existe bien au moins à l'état expérimental (proof of concept) et de larges parties de son code sont disponibles sur des sites spécialisés depuis mars. En conséquence il en existerait de nombreuses variantes.

    C'est l'occasion de préciser que les spécialistes de virus distinguent deux catégories : les virus "in the wild", c'est à dire qui circulent actuellement, et les virus "in the zoo". Ces derniers sont des virus qui ne circulent pas et n'existent que dans les archives des éditeurs d'antivirusantivirus ou dans les collections de spécialistes ou auteurs de virus. La catégorie "in the zoo" comprend des virus anciens qui ont complètement disparu de la circulation, des virus qui, pour une raison ou une autre, ont eu une diffusiondiffusion avortée, et des virus qui ont été créés pour démontrer la possibilité d'un mécanisme d'infection ou de nuisancenuisance nouvelle, mais qui n'ont volontairement jamais été mis en circulation.

    Alors la question se pose face à ces informations contradictoires : Renepo/Opener existe bien, mais est-il actuellement un virus in the zoo (il y en a des milliers dont on ne parle jamais en dehors des cercles spécialisés) ou un virus in the wild ? En tout cas le fait de ne pas indiquer clairement par quelle voie il pourrait contaminer un ordinateur est un manque singulier de transparencetransparence et on peut s'interroger sur la nature de l'annonce faite : information... ou coup de pub ? Parce que, bien entendu, Sophos édite un antivirus pour MacMac OS X.