Bigorre Informatique Prestation

La carte des infections de Flashback indique que le troyen a avant tout contaminé des pays anglo-saxons, dont les Etats-Unis. D’après Ivan Sorokin de DrWeb, on trouverait même 274 machines infectées à Cupertino ! Les concepteurs de ce code, qui traîne depuis septembre 2011 et qui prenait à l’époque la forme d’un faux programme d’installation pour Flash, ont clairement visé le marché anglo-saxon. Désormais, Flashback-k profite d’une grave vulnérabilité de Java (CVE-2012-0507) connue depuis janvier 2012, mais qui n’avait jusqu’alors pas été corrigée par Apple.

La procédure d’infection est on ne peut plus simple. Si l’on surfe avec une machine non protégée, il suffit de se rendre sur une page Web contaminée. Plusieurs fichiers sont téléchargés automatiquement sur le Mac. Puis le « maliciel » lance une fenêtre exigeant votre mot de passe administrateur. Mais contrairement à la plupart des virus pour Mac, Flashback-k n’a pas forcément besoin de votre mot de passe. Cela lui simplifie juste la tâche : comme l’explique F-Secure dans sa description du cheval de Troie, il emploie simplement un moyen détourné pour pourrir la machine si on ne l’entre pas.

Il vient alors se loger dans Safari, entre en communication avec son centre de commande et de contrôle et est prêt à opérer. Sa mission principale ? Trafiquer certaines pages Web à l’insu de l’utilisateur, notamment pour récupérer ses requêtes sur les moteurs de recherche. L’un des experts qui a découvert le botnet dément cependant qu’il volerait des mots de passe, contrairement à ce que l’on peut lire ça et là sur le Web.