3 votes

Fiksdal avatar

Dans quelle mesure OS X est-il (in)vulnérable aux ransomwares de chiffrement ?

Demandé el 22 de Janvier, 2016
Quand la question a-t-elle été
2117 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Ces jours-ci, des logiciels malveillants semblent infecter les ordinateurs Windows, chiffrent leurs données contre leur gré et demandent une rançon en bitcoins en échange de la clé de chiffrement.

  1. Pour qu'un tel logiciel puisse s'exécuter "avec succès" sur une machine OS X, l'utilisateur doit-il d'abord l'exécuter et donner le mot de passe sudo ? Une telle menace est-elle concevable sous OS X sans que l'utilisateur fasse cela ?

  2. FileVault pourrait-il protéger contre cela ? Un ransomware, s'il est installé involontairement par un utilisateur (qui a également confirmé avec le mot de passe sudo), pourrait-il prendre en otage vos données FileVault ? Pourrait-il également prendre en otage vos sauvegardes TimeMachine, même si elles sont cryptées ?

  3. D'une manière générale, dans quelle mesure OS X est-il (in)vulnérable aux rançongiciels de cryptage et dans quelle mesure les actions d'un utilisateur doivent-elles être imprudentes ou malavisées pour que ses données soient effectivement prises en otage ?

Demandé el 22 de Janvier, 2016 par Fiksdal

0 votes

Avatar de EDP

Pour être efficace, le ransomware devra également "infecter" les sauvegardes du Time Machine. Sans prétendre que ce n'est pas possible, il faudra déployer de sérieux efforts pour y parvenir.

Commenté el 22 de Janvier, 2016 par EDP

Réponses

Trop de publicités?

2voto

WHO's NoToOldRx4CovidIsMurder avatar
WHO's NoToOldRx4CovidIsMurder Points 1067

Pour l'instant, c'est relativement sûr. La plupart des rançongiciels ont ciblé les utilisateurs de Windows et, jusqu'à présent, les rançongiciels qui ont ciblé les Macs ont été relativement grossiers. Le site Dernière menace (très grossière) de ransomware pour Mac n'a pas détruit les sauvegardes Time Machine, mais n'a pas été arrêté par FileVault.

En général, les étapes que vous décrivez dans la partie 2 de votre question ne sont pas susceptibles de vous protéger ; les données cryptées ne sont pas plus difficiles à recrypter que les données non cryptées.

Les vulnérabilités qui ne nécessitent pas ce que vous décrivez dans la première partie de votre question sont rares, mais on en trouve de temps en temps. Un Mac Ransomware qui en utilise une n'a pas encore été vu. Il est probable que les ransomwares pour Mac deviendront lentement plus sophistiqués et que les utilisateurs prudents et avisés ne perdront pas leurs données à cause d'un ransomware de sitôt. Mais je ne peux pas prédire l'avenir. Cette réponse peut perdurer pendant des années et un tel ransomware finira probablement par apparaître. Mais la signification de l'expression "utilisateur prudent et avisé" changera probablement aussi avec le temps.

Actuellement :

Les rançongiciels auront du mal à supprimer ou à chiffrer les sauvegardes Time Machine en ligne. Même en tant que Root/superutilisateur, il est difficile de supprimer les sauvegardes Time Machine :

sudo rm /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak
Password:
override rw-r--r--  root/wheel for /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak? y
rm: /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak: Operation not permitted

Mais c'est loin d'un problème insurmontable. Je pense que les gens devraient supposer que l'étape supplémentaire que le ransomware devrait passer (que je connais bien mais que j'ai choisi de ne pas rendre publique - je préfère ne pas aider les script kiddies) pour pouvoir supprimer ou crypter les sauvegardes de TM est quelque chose que la plupart des ransomware Mac avec lesquels vous êtes susceptibles d'être infectés seront programmés pour prendre.

Les utilisateurs de Time Machine sont encouragés à laisser les sauvegardes s'exécuter souvent, ce qui les rend très vulnérables aux ransomwares.

Par conséquent, certains lecteurs de sauvegarde doivent être connectés moins souvent et conservés de manière plus sécurisée - c'est-à-dire qu'ils ne doivent pas être entièrement accessibles au système - afin de se protéger contre les rançongiciels.

En général, les victimes ne se rendent compte qu'elles ont été infectées par un ransomware que lorsque celui-ci annonce sa présence. Il est donc probable que vous ne puissiez pas savoir qu'un ordinateur est infecté par un ransomware avant que celui-ci n'ait eu le temps de chiffrer les données d'un disque externe fréquemment ou continuellement connecté. Supposer le contraire est loin d'être une hypothèse sûre. La menace des ransomwares rend plus importante une meilleure préparation aux catastrophes, y compris la réalisation de sauvegardes physiques hors ligne plus nombreuses.

Répondu el 7 de Avril, 2017 par WHO's NoToOldRx4CovidIsMurder (1067 Points )

0voto

Steve Chambers avatar
Steve Chambers Points 21588

Il est difficile de répondre à cette question. J'ai vu des discussions sur MacInTouch.com sur ce sujet. Et si vous suivez l'actualité en ligne à ce sujet, vous constaterez que les opinions varient de "Chicken Little" à "non, ne vous en faites pas pour un Mac".

La vérité se situe probablement quelque part entre les deux.

En général, les virus de tous types ont un peu plus de mal sur le Mac. Je n'ai pas installé d'antivirus sur tous mes Macs. Mais je travaille, professionnellement, sur des Macs depuis le Système 6. Donc, avec de l'attention, des sauvegardes récentes et un esprit alerte (ouais, c'est ça...) vous êtes... assez sans danger sans antivirus. Cela dit, je vous recommande toujours d'installer un antivirus et de le tenir à jour.

Ransomware généralement (comme beaucoup d'autres formes de logiciels malveillants sur Mac) exige que vous entriez un nom d'utilisateur et un mot de passe pour donner à l'installateur du logiciel malveillant le droit de faire son sale boulot. Cependant, il existe des vulnérabilités sur les systèmes d'exploitation Mac qui ne nécessitent pas d'authentification administrative pour mettre votre ordinateur à feu et à sang.

Il existe également des logiciels malveillants qui tentent de se faire passer pour des rançongiciels. Un collègue de travail a récemment ouvert un lien vers une vidéo qui a infecté Safari sur son Mac avec ce qui semblait être un javascript malveillant. Mais le démarrage de Safari en mode sans échec, la réinitialisation des paramètres par défaut et un nettoyage complet du cache (nous avons utilisé Onyx) ont supprimé le soi-disant ransomware de son Mac. Il s'en voulait d'être tombé dans le panneau en disant : "Je savais que je n'aurais jamais dû ouvrir cette vidéo".

Oui, cela ne répond pas entièrement à vos questions (parties 1 et 3) mais une recherche en ligne d'articles sur les ransomwares sur les Macs et une recherche sur MacInTouch, pourraient vous aider à en savoir plus. Ou peut-être que quelqu'un ici a plus d'expérience en la matière.

Répondu el 22 de Janvier, 2016 par Steve Chambers (21588 Points )

0 votes

Avatar de Fiksdal

Je sais que c'est plusieurs mois plus tard, mais.. : Savez-vous si FileVault protège contre les ransomwares ? Est-ce qu'un processus sans L'accès à la suppression/modification/chiffrement des dossiers protégés par FileVault est-il refusé aux détenteurs de privilèges de racine ? Un ransomware auquel un utilisateur involontaire (qui pensait que le logiciel était autre chose) a attribué des privilèges de racine serait-il en mesure de supprimer/chiffrer/modifier vos données FileVault ?

Commenté el 13 de Avril, 2016 par Fiksdal

0 votes

Avatar de Steve Chambers

Je n'ai pas d'expérience réelle avec FileVault, désolé.

Commenté el 13 de Avril, 2016 par Steve Chambers

0 votes

Avatar de Fiksdal

D'accord, je pense que je vais poser cette question séparément.

Commenté el 13 de Avril, 2016 par Fiksdal
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X