2 votes

Est-ce que FileVault protège contre les ransomwares ?

J'ai déjà posé une question sur les ransomwares sur OS X en général. Mais je n'ai pas obtenu de réponse concernant si FileVault le protège. C'est ce que cette question concerne. Je voudrais aussi savoir si les sauvegardes Time Machine cryptées sont à l'abri des ransomwares.

Ici, le ransomware est défini comme un logiciel malveillant qui chiffre les données de l'utilisateur contre leur gré/connaissance et demande une rançon en échange de la clé de chiffrement.

Nous examinerons trois exemples :

  1. Le logiciel malveillant s'exécute sans privilèges superutilisateur. L'utilisateur inattentif a peut-être simplement exécuté une application compromise/malveillante qu'il pensait être autre chose, puis l'a laissée s'exécuter en arrière-plan suffisamment longtemps pour causer des dommages.

  2. Le logiciel malveillant s'exécute avec des privilèges superutilisateur. L'utilisateur, croyant que le logiciel est autre chose, lui a accordé l'accès root en lui donnant le mot de passe root. L'utilisateur aurait même pu installer le logiciel en donnant le mot de passe root.

  3. L'utilisateur n'a lancé aucune application, le logiciel malveillant a réussi à s'exécuter d'une autre manière. (Est-ce même possible sur OS X ?)

Dans les cas 1 et 2, l'utilisateur aurait désactivé le paramètre "sources de confiance uniquement" d'OS X. (Question annexe : Est-il possible d'être affecté par un ransomware lorsque ce paramètre est activé ?)

En examinant 1., 2. et 3. séparément, le logiciel malveillant peut-il :

A : Accéder aux données protégées par FileVault ?

B : Modifier/Supprimer les données protégées par FileVault ?

C : (Une combinaison de A et B) Chiffrer les données protégées par FileVault et écraser (supprimer de manière sécurisée) les données de FileVault originales ?

Y a-t-il une différence entre les données protégées par FileVault stockées localement et les sauvegardes Time Machine cryptées stockées sur un autre disque ? Je suis également intéressé par la réponse à ce sujet.

2voto

Jimmy Mooney Points 976

Le ransomware fonctionne en sélectionnant certains fichiers (normalement par type - comme les documents, les portefeuilles de bitcoins, etc), en cryptant ces fichiers individuels et en vous obligeant à payer pour obtenir une clé pour les décrypter.

FileVault protège vos données sur votre Mac en cryptant tout le disque. Lorsque vous démarrez votre Mac, vous saisissez un mot de passe qui "décrypte" efficacement le disque et lui permet de fonctionner tel quel. Cependant, une fois que vous avez inséré la clé dans la serrure, pour ainsi dire, FileVault ne vous protégerait pas contre le ransomware. Vous seriez tout aussi vulnérable que si le ransomware s'exécutait après que FileVault ait été déverrouillé.

Quant aux sauvegardes Time Machine, c'est plus compliqué. Ces sauvegardes sont stockées cryptées au repos, et ne sont décryptées que lorsqu'elles sont consultées. Cela signifie que les fichiers à l'intérieur des sauvegardes ne seraient pas individuellement identifiables par le ransomware en cours d'exécution - cependant, la sauvegarde dans son ensemble pourrait l'être. Ainsi, le ransomware pourrait crypter le tout comme unité, plutôt que simplement les fichiers individuels.

En ce qui concerne le paramètre "sources de confiance" d'OSX, il y a eu plusieurs exploits contre cette fonctionnalité récemment et ce n'est pas aussi fiable qu'il n'y paraît. Je ne pourrais pas affirmer avec certitude que cela ne vous protégerait pas, mais je ne compterais pas dessus.

Je recommanderais un type de sauvegarde basé sur le cloud ou hors de l'ordinateur si vous voulez vraiment protéger vos données en passant par une application tierce. En d'autres termes, ne vous connectez pas à un partage réseau et ne sauvegardez pas vos données là-bas, utilisez une application pour le faire. Il est peu probable que le ransomware soit suffisamment sophistiqué et spécifique pour connaître des applications de sauvegarde spécifiques, comment elles se connectent à leur service tiers et comment crypter les fichiers sur ce service. Dropbox est un exemple simple ici si vous payez pour leur service de sauvegarde cloud -- même si le ransomware cryptait vos fichiers dans Dropbox, ils gardent des versions sauvegardés pour que vous puissiez revenir en arrière.

0voto

Une fonctionnalité de macOS qui peut aider contre les ransomwares est la Protection de l'intégrité du système (SIP). Cette fonctionnalité est activée par défaut sur les nouvelles versions de macOS. SIP empêche les modifications des fichiers système même si vous êtes root. Pour désactiver cela, vous devez accéder à la récupération macOS (Redémarrer puis Commande + R) puis sélectionner Utilitaires > Terminal. Une fois dans Terminal, tapez csrutil disable. Pour vérifier le statut, csrutil status (vous pouvez vérifier le statut dans macOS lui-même). Pour activer, csrutil enable (vous devez être en récupération macOS). Notez que dans macOS Catalina (10.15 et plus), les fichiers système sont stockés dans un APFS en lecture seule donc même si SIP est désactivé, vous ne pouvez pas écrire dans les fichiers système.

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

X