Accueil » Actualité » WireLurker : que penser du nouveau malware iOS

WireLurker : que penser du nouveau malware iOS

Image 1 : WireLurker : que penser du nouveau malware iOSUne des applications infectée par WireLurkerWireLurker est un malware présent sur des sites de téléchargements chinois. Il s’agit d’un cheval de Troie qui s’installe sur OS X et qui peut ensuite se propager sur un terminal iOS à condition qu’on le branche sur l’ordinateur infecté à l’aide d’un câble USB. 467 applications infectées auraient été téléchargées plus de 356 000 fois selon Palo Alto Networks qui a rapporté la nouvelle. Il y a eu beaucoup d’articles alarmistes publiés récemment sur la Toile, mais comprendre le mode opératoire du malware permet de rapidement saisir qu’il s’agit principalement d’une tempête dans un verre d’eau.

Image 2 : WireLurker : que penser du nouveau malware iOSAutoriser l’exécution de l’application infectéeUn malware qui ne fait rien et qui demande si on souhaite l’installer

WireLurker n’est pas un malware au sens classique du terme. En effet, il n’exploite pas de faille de sécurité, mais utilise un mécanisme simple intégré dans iOS et destiné aux entreprises. Concrètement, lorsque l’on installe une application OS X contenant le malware, le système d’exploitation demande à l’utilisateur s’il est certain de vouloir installer le logiciel et l’oblige à rentrer son mot de passe. Une fois un iPhone ou iPad connecté à l’ordinateur à l’aide d’un câble USB, l’application iOS infectée est copiée sur iOS à l’aide d’un système facilitant le déploiement d’applications pour les entreprises, mais avant de lancer le logiciel, iOS va à son tour demander si l’utilisateur veut réellement ouvrir l’application. Bref, il est impossible de lancer le logiciel infecté sans avoir accepté plusieurs fois son exécution sur son système et avoir autorisé le mécanisme de propagation destinée aux entreprises et qui utilise un certificat vraisemblablement volé. On est donc très loin des chevaux de Troie que l’on rencontre sur d’autres systèmes d’exploitation qui s’exécutent sans l’intervention de l’utilisateur.

À ce jour, WireLurker ne fait rien. Palo Alto explique qu’il a la possibilité de copier les informations présentes sur le terminal iOS pour les envoyer à un serveur à distance, mais ce n’est pour l’instant pas le cas. Bref, WireLurker est un malware qui ne casse ou ne contourne aucun système de sécurité, qui demande l’autorisation de l’utilisateur pour s’exécuter et qui n’a pour l’instant aucun effet néfaste.

Image 3 : WireLurker : que penser du nouveau malware iOSLe mode opératoire du malwareUn malware d’une portée très limitée

Cela ne veut pas dire que tout va bien dans le meilleur des mondes. Même si nous n’avons pas un malware classique, l’application a un comportement anormal qui ouvre la porte à des abus importants. Apple a déjà fait savoir au Wall Street Journal qu’il était au courant du problème et qu’il avait bloqué les applications en question pour éviter qu’elles soient exécutées par le système d’exploitation. Palo Alto Networks a d’ailleurs expliqué être satisfait de cette mesure et a loué Apple pour avoir pris les choses en main rapidement. En conclusions, les applications déjà connues ont été neutralisées par Apple et si vous ne téléchargez pas des logiciels chinois depuis des sites aux contenus suspects et que vous n’autorisez pas plusieurs fois le lancement d’applications douteuses désirant utiliser un système de propagation pour entreprise, vous n’avez rien à craindre. Et si par tout hasard, vous avez installé un logiciel infecté par WireLurker qui n’a pas encore été banni par Apple, effacer l’application de son terminal iOS semble résoudre le problème. Dans le cas d’OS X, il suffit de sélectionner l’option qui consiste à uniquement lancer les applications de développeurs reconnus par Apple pour que le malware soit inutilisable.