Vidéo: Dynoro & Gigi D’Agostino - In My Mind (Novembre 2024)
Le mois de février a été rude pour tous les chouchous de la technologie du XXIe siècle. Twitter et Facebook ont admis avoir été piratés. Aujourd'hui, Apple, considéré depuis longtemps comme un fournisseur d'appareils informatiques sécurisés, a admis que ses propres ordinateurs avaient été compromis par une vulnérabilité Java du jour zéro.
La révélation a été faite par Reuters hier, qui a déclaré qu'il n'était pas clair quand les attaques ont commencé et combien d'informations - le cas échéant - ont été compromises. "Apple a identifié des logiciels malveillants qui ont infecté un nombre limité de systèmes Mac par le biais d'une vulnérabilité du plug-in Java pour navigateurs", a déclaré Apple dans une déclaration à PC Magazine. La société a poursuivi en affirmant qu'un petit nombre d'ordinateurs d'employés avaient été compromis, mais "rien ne prouvait que des données auraient quitté Apple."
Peu de temps après son admission, Apple a proposé un outil de suppression de logiciels malveillants rare à tous les utilisateurs d’OS X. "Sur les systèmes sur lesquels Java for OS X 2012-006 n'est pas déjà installé, cette mise à jour désactive le plug-in d'applet Java SE 6", lit la description de la mise à jour. "Pour utiliser des applets sur une page Web, cliquez sur la région intitulée" Plug-in manquant "pour télécharger la dernière version du plug-in d'applet Java d'Oracle."
Reuters a noté qu'Apple désactive automatiquement Java pour les utilisateurs qui n'ont pas utilisé le logiciel depuis 35 jours. Cependant, SecurityWatch a déjà expliqué en détail comment désactiver Java sur votre ordinateur et l'empêcher de s'exécuter dans les navigateurs.
Les vrais objectifs
De manière effrayante, les véritables cibles de ces attaques ne sont peut-être pas les entreprises elles-mêmes, mais les utilisateurs mobiles qu'elles développent pour qui elles développent des logiciels. "Vous ne pouvez pas pirater des appareils mobiles? D'accord, passez à l'étape précédente et piratez les développeurs d'applications mobiles. Vous pourrez alors injecter ce que vous voulez dans le code source du développeur", a écrit la société de sécurité F-Secure sur son blog, peu après Facebook divulgué qu'il avait été attaqué.
"Il existe des centaines, voire des millions, d'applications mobiles dans le monde", poursuit le message. "Combien de développeurs d'applications pensez-vous avoir visité un site Web de développeur mobile récemment? Avec un Mac… et un très faux sentiment de sécurité?"
La campagne en revue
Cette série d'attaques a débuté au début du mois, lorsque Twitter a admis avoir été victime d'une attaque sophistiquée ayant révélé les informations de 250 000 utilisateurs. La société a répondu en réinitialisant automatiquement les mots de passe des utilisateurs concernés.
Deux semaines plus tard à peine, Facebook révélait avoir également été victime d'un exploit Java au jour zéro. Dans ce scénario, nous en avons appris davantage sur la stratégie de l'attaquant. En piratant un site Web de développeur mobile populaire, les attaquants ont utilisé un exploit Java pour installer des logiciels malveillants sur les ordinateurs des visiteurs.
Apple a rapporté un scénario similaire. Reuters a écrit que "des hackers inconnus ont infecté les ordinateurs de certains employés d’Apple lorsqu’ils ont visité un site Web destiné aux développeurs de logiciels infectés par des logiciels malveillants", notant ensuite que le programme malveillant avait été conçu pour attaquer les ordinateurs Apple, mais variante existait aussi.
Bien que cette attaque soit embarrassante pour Apple, surtout depuis qu’il existait un correctif pour corriger cette vulnérabilité particulière, il est peu probable que sa réputation dans le public soit ébranlée comme un produit sécurisé. De nombreux utilisateurs pourraient ne pas être conscients de l’importance de cette dernière mise à jour, car elle est formulée de manière assez vague. Cependant, cela montre que les pirates accordent plus d’attention à Apple et que d’autres attaques suivront certainement.
Et si F-Secure a raison, nous pourrions avoir beaucoup plus de problèmes sur les bras.
Pour plus de Max, suivez-le sur Twitter @wmaxeddy.
