Un mystérieux malware a infecté des ordinateurs Mac pendant des années

Un mystérieux malware a infecté des ordinateurs Mac pendant des années

L'histoire du logiciel malveillant "FruitFly" nous est enfin révélée.
25 juillet 2017, 12:20pm

Pendant des années, un logiciel malveillant a infecté des centaines d'ordinateurs Mac. Il a été découvert par des chercheurs en sécurité informatique il y a quelques mois à peine.

Début 2017, un ancien hacker de la NSA a analysé un logiciel malveillant qu'il décrit comme "unique" et "intriguant". Il s'agissait en fait d'une souche de malware légèrement différente que celle qui avait été découverte par la firme de sécurité informatique Malwarebytes, "FruitFly".

La première mouture de FruitFly a désorienté tous les chercheurs en sécurité qui ont travaillé sur son cas. En surface, le logiciel malveillant semblait "simpliste". Il était programmé pour surveiller les victimes en prenant le contrôle de leur webcam, pour prendre des captures d'écran à distance et pour enregistrer la frappe des touches de l'utilisateur sur le clavier. Curieusement, personne ne l'a détecté avant l'année 2015. À l'heure actuelle, il n'existe aucun indice permettant de deviner l'identité ou le profil du pirate qui l'a mis au point. Plus mystérieux encore, il embarque des fonctions "surannées" et des fonctions de contrôle à distance "rudimentaires", écrivait Thomas Reed de Malwarebytes à l'époque.

La seconde version de FruitFly est encore plus étonnante, selon Patrick Wardle, un ancien hacker des services de renseignement qui développe aujourd'hui des outils de sécurité pour les ordinateurs Apple et travaille pour la firme Synack, spécialisée en appareils Mac. Wardle a expliqué à Motherboard par téléphone que lorsqu'il a découvert FruitFly 2 pour la première fois, aucun logiciel antivirus n'était capable de le détecter. Curieusement, il se pourrait bien qu'il ait été en activité pendant 5-10 ans et qu'il ait infecté plusieurs centaines d'utilisateurs.

FruitFly et FruitFly 2 sont nimbés de mystère : Ni Reed ni Wardle n'ont compris leur mécanisme d'infection - peut-être exploite-t-il une faille dans le code de MacOS, peut-être est-il installé par l'utilisateur lui-même via des techniques d'ingénierie sociale... ou peut-être s'agit-il de tout autre chose. Pour cette raison, et parce que Apple n'a pas souhaité répondre à nos questions, nous ne savons pas si les ordinateurs Mac sont encore vulnérables à ces malwares. Peut-être les victimes sont-ils considérablement plus nombreux que ce qu'a annoncé Malwarebytes dans ces estimations, puisque l'entreprise ne possède qu'une visibilité limitée sur FruitFly 1. Enfin, Wardle a déclaré qu'il n'a probablement trouvé qu'une infime partie des ordinateurs infectés par FruitFly 2.

"Cette année, nous avons trouvé plus de malwares Mac que jamais auparavant."

Même si FruitFly lui-même n'est pas particulièrement sophistiqué, sa durée de vie particulièrement longue montre qu'en dépit de la croyance selon laquelle les Mac seraient "immunisés contre les virus", ils sont vulnérables aux logiciels malveillants invasifs et dangereux.

"Cette année, nous avons trouvé plus de malwares Mac que jamais auparavant", explique Reed, le chercheur de Malwaresbytes qui a analysé pour la première fois la version alternative de FruitFly.

Comment FruitFly a été isolé

Frustré par le processus long et fastidieux qui consiste à isoler un malware - "l'analyse de logiciels malveillants est une vraie plaie" explique-t-il - Wardle a pensé qu'il pourrait simplement tromper FruitFly 2 afin de déterminer quel était son but exact.

Il a découvert que FruitFly 2 était programmé pour envoyer des données au(x) pirate(s) le contrôlant grâce à une série de serveurs de sauvegarde. Il s'est donc enregistré sur ces domaines de sauvegarde et a infecté sa propre machine virtuelle avec FruitFly.

"Rapidement, j'ai pu déterminer les capacités du logiciel malveillant en lui posant les bonnes questions", ajoute-t-il.

Extrait de la liste des victimes de FruitFly. Image : Patrick Wardle.

En revanche, la prise de contrôle du serveur en question a eu des résultats inattendus : environ 400 victimes infectées par FruitFly se sont immédiatement connectées au serveur. S'il l'avait voulu, Wardle aurait pu prendre le contrôle de leurs ordinateurs afin de les espionner. Heureusement, c'est un homme raisonnable - il a donc prévenu les autorités, qui mènent actuellement l'enquête sur cette affaire.

Un porte-parole du FBI a expliqué à Motherboard que "dans le cadre d'une politique en place depuis longtemps, le FBI ne confirme pas l'existence d'enquêtes en cours, et ne les nie pas davantage". Selon Reed, Apple lui aurait confié (après avoir signalé FruitFly 1) que le FBI était bel et bien en train d'enquêter. Wardle a déclaré qu'il ne pouvait pas discuter des détails de l'enquête actuellement.

Qui se cache derrière tout ça ?

Ni Reed ni Wardle ne savent comment le logiciel malveillant s'est frayé un chemin jusqu'à l'ordinateur des victimes. Mais le grand mystère qui entoure FruitFly est bien : qui se cache derrière le malware ?

Le logiciel malveillant lui-même n'est pas très bavard, et jusque là il a été impossible de deviner le profil des hackers en l'analysant.

FruitFly ne semble pas avoir été conçu par l'équipe de hackers d'un État-nation car il est très peu sophistiqué et ne semble pas cibler des victimes possédant un profil spécifique.

Malwarebytes l'a débusqué sur quatre machines appartenant à des institutions de recherche, mais les victimes trouvées par Wardle utilisaient leur ordinateur pour des tâches diverses et variées. Pour la plupart, il s'agissait de personnes ordinaires, qui venaient des États-Unis ou du Canada à 90%, selon Wardle.

"Ce n'est pas parce que l'on possède un Mac que l'on est à l'abri de tout."

Même s'ils ciblaient le citoyen lambda, le ou les pirates ne semblaient pas particulièrement intéressés par l'extorsion d'argent, de données bancaires ou de mot de passe. Wardle explique que les deux version de FruitFly semblent conçues pour des activités d'espionnage. Mais FruitFly2 possède des capacités inhabituelles, telles que déplacer le curseur de la souris et contrôler le clavier à distance. De même, il a été programmé pour alerter les pirates lorsque le propriétaire de l'ordinateur revient pour le contrôler, selon Wardle. Enfin, il a été écrit dans Perl, un langage "archaïque" pour les logiciels malveillants.

En d'autres mots, les pirates étaient probablement en activité depuis longtemps, n'avaient pas nécessairement cherché à moderniser leurs outils, et ne semblent pas être des espions ni des cybercriminels.

"FruitFly ne correspond à aucun profil type", explique Wardle, ajoutant que selon lui, on a là "un hacker spécifique ciblant des individus spécifiques" pour des raisons encore inconnues.

Le phénomène ne devrait en aucun cas provoquer une vague de panique, même s'il est "inquiétant".

"Si ces pirates ciblent vraiment des familles ou des individus spécifiques, ça serait vraiment pénible," ajoute-t-il. "Les gens devraient être plus prudents en utilisant leur ordinateur et surveiller les activités de leurs enfants. Ce n'est pas parce que l'on possède un Mac que l'on est à l'abri de tout."

Wardle parlera de FruitFly2 aux conférences Black Hat et Def Con à Las Vegas au cours de la semaine.