Le système d’exploitation Mac OS X d’Apple est actuellement victime d’une faille de sécurité qualifiée de critique.
Celle-ci touche un composant du logiciel de prise de contrôle à distance, l’Apple Remote Desktop. Le problème vient de l’utilitaire ARDAgent, qui se trouve à l’emplacement/System/Library/CoreServices/RemoteManagement.
Ce dernier détient les droits de Root (administrateur) ce qui signifie que n’importe quelle application ou script malveillant lancé depuis ce dernier bénéficie également des droits root !
Pour savoir si votre machine est touchée par cette faille (elle concerne à priori « uniquement » Mac OS X 10.4.x et 10.5.x), il vous suffit d’entrer la ligne
tell application "ARDAgent" to do shell script "whoami"
dans l’éditeur de script. Si la réponse renvoyée est root, votre ordinateur est vulnérable.
Cette faille a été découverte le 19 juin et un cheval de troie repéré par SecureMac est évidemment apparu sur la toile peu de temps après afin de l’exploiter.
Le troyen, qui est diffusé sous forme de script « ASthtv05 » ou d’application « AStht_v06 », se positionne dans le dossier /Library/Caches/ (/Bibliothèque/Caches/) et se lance au démarrage du système.
Il peut notamment trouver les noms d’utilisateurs et mots de passe administrateur de l’ordinateur infecté pour les communiquer mais également enregistrer les frappes du clavier, prendre des photos via la webcam, activer le partage de fichiers, ouvrir des ports du pare-feu, etc.
Bref, ce problème est à prendre très au sérieux et il est donc conseillé aux utilisateurs d’être plus que jamais vigilants.
En attendant un correctif, vous pouvez vous protéger en activant manuellement la gestion de la prise de contrôle à distance, ce qui empêchera le script malveillant d’agir. Pour ce faire, il faut vous rendre dans les « Préférences Système », onglet « Partage » et activer la « Gestion à distance », une solution assez paradoxale mais qui fonctionne et que l’on doit à Intego.
[Sources : Multiples]
