10.11 El Capitan Malware type trojan ? comment le trouver ...

[kirm]

c'est justement mon allergie aux signatures à rallonge et aux réponses de geek humoristique qui justifie ma réponse sur la prétention

Ah ben oui mais là c'est sans solution!
Les WiFi publics, il n'y a pas plus dangereux pour se faire aspirer ses donnees transitant sur le net!

Si tes travaux de R&D sont top secrets, je suis désolé, mais rien ne devrait figurer sur un ordinateur aussi exposé.
Tout ce qui touche aux projets devrait être sur des ordinateurs sans aucun accès extérieur, coupés du monde. En aucun cas tu ne devrais te promener avec des documents confidentiels sur un ordinateur portable qui peut, en plus, t'etre volé (et il ne me semble meme pas que tu aies activé FileVault pour en crypter le contenu...)

Pour ce qui est des mails, pour ceux qui concernent le projet, c'est via des messageries sécurisées qu'il fait passer.

je suis d'accord avec toi. j'ai négligé au départ la sécurité de mon environnement de travail. il s'agit de ma boite et ses projets r&d en cours de développement. mais les fuites concernent ma vie privée car c'est bien moi la cible.

j'ai donc besoin d'aide pour analyser sur cette partition et ses éventuelles failles de sécurité ...

 

[r e m y]

Si quelqu'un dans ton entourage connaît tes mots de passe, il peut par exemple aller consulter tes emails via le webmail (que ce soit une adresse iCloud, Gmail, orange, Free.... Il y a toujours un webmail où tout est accessible pour peu qu'on aie les identifiant de connexion)

Pas besoin d'installer quoi que ce soit sur ton Mac!

Si tu as un iPhone ou que Localiser mon Mac soit actif sur ton MacBook et qu'il connaît tes identifiants et mot de passe iCloud, avec Localiser mon iPhone, il peut te suivre à la trace depuis n'importe quel ordinateur, iPhone ou iPad (sans que tu le saches... Ca ne laisse pas de trace)

Change tes mots de passe!

Si l'espionnage vient de ton entourage et que tu n'as aucun hacker un peu pointu dans tes amis, ne cherche pas des techniques d'intrusion sophistiquées,il y a déjà tellement de possibilités d'accéder à tes donnees "dans le cloud" sans même toucher à ton Mac....

 

[Moonwalker]

mais les fuites concernent ma vie privée car il s'agit bien de moi qui est ciblé

Alors cherche à qui profite le crime.

Il n'y a pas besoin de logiciels perfectionnés pour mettre à nu la vie de quelqu'un. Cela procède souvent du "social engineering" le plus simple.

C'est pourquoi il est important d'avoir de bonnes pratiques. La sécurité n'est pas une accumulation de logiciels et de protocoles, c'est avant tout une attitude.

Un site dont j'apprécie l'approche sans apriori sur les questions de sécurité du Mac : http://www.securitemac.com

 

[peyret]

tente aussi de passer : https://fr.malwarebytes.com/antimalware/mac/
histoire que tu sois sûr qu'il n'y ait pas de malware

 

[r e m y]

tente aussi de passer : https://fr.malwarebytes.com/antimalware/mac/
histoire que tu sois sûr qu'il n'y ait pas de malware

On les aurait vu apparaître dans le rapport EtreCheck, donc 2 précautions valent mieux qu'une, mais je ne pense pas que MalWareBytes détecte quoi que ce soit.

 

[r e m y]

Mais au fait... Qu'est-ce qui nous prouve que c'est bien Kirm qui pose ces questions, et pas son hacker qui cherche à savoir comment on détecte des Malwares et autres keyloggers sur un Mac, pour mieux les dissimuler sur celui de kirm ?

 

[peyret]

Mais au fait... Qu'est-ce qui nous prouve que c'est bien Kirm qui pose ces questions, et pas son hacker qui cherche à savoir comment on détecte des Malwares et autres keyloggers sur un Mac, pour mieux les dissimuler sur celui de kirm ?

 

[kirm]

merci pour vos réponses et conseils
les identifiants sont peut être connus avec l'utilisation d'un keylogger mais pas utilisé puisque je contrôle les connexions à mon compte gmail.
je n'utilise pas le cloud pour stocker des fichiers ou autres ..
pourquoi parler de localisation de Iphone alors qu'il n'est pas question de location ? est-ce que vous connaissez des cas similaire au mien ?
il faut vraiment essayer de détecter des traces de ce virus ...
il est très probable que le hacker soit en train de suivre cette discussion c'est pour cette raison que je n'ai pas voulu donner plus de détails surtout au départ.

 

[kirm]

Mais au fait... Qu'est-ce qui nous prouve que c'est bien Kirm qui pose ces questions, et pas son hacker qui cherche à savoir comment on détecte des Malwares et autres keyloggers sur un Mac, pour mieux les dissimuler sur celui de kirm ?

suffit de me guider en me conseillant des outils d'analyses de mon ordinateur tel que etrecheck sans préciser ce que vous recherchez. je fournirais tous les rapports nécessaire.

 

[r e m y]

Ca peut être une webcam installée dans l'appartement.

Sinon le mieux est de formatter le disque, et reinstaller MacOs X. Si les proches que vous suspectez n'ont plus d'accès physique au Mac, ce n'est quand meme pas simple d'en prendre le contrôle à distance.
Les "exploits" réalisés sur des Macs lors des "concours" de hacking nécessitent pour la plupart un accès physique au Mac

 

[lolipale]

Bonjour,

Trêve de plaisanterie ...
La sécurité informatique est d'abord et avant tout une affaire humaine, une affaire d'hygiène comme nous nous lavons les mains plusieurs fois par jour.
@kirm
Voici 3 scénarios possibles dans le cas où vous n'avez pas crypté votre disque via FileVault :

• J'ai accès à votre portable. Il me faut 30 secondes pour changer le mot de passe de votre session ou celle de n'importe quel utilisateur présent sur votre station. Dans les 30 secondes, il y a 20 secondes d'attente. J'aurai ensuite accès à l'ensemble de vos documents, à votre trousseau d'accès donc à vos mots de passe de sites web, comptes email, comptes réseau, et j'en passe. Mais vous allez vous en apercevoir car le mot de passe aura été changé.
• J'ai accès à votre portable. Je le connecte au mien via un câble Thunderbolt (ou Firewire, ou USB). Je démarre le votre en mode target. Je me loggue en root sur le mien. J'accède alors à votre disque. Je fais une archive zip de votre compte (je préserve ainsi les permissions). Je la copie sur mon mac. J'éteins votre poste. Ni vu, ni connu. Je vais pouvoir sur ma station recréer votre compte et accéder à toutes vos informations privées et professionnelles.
• Je connais votre entreprise. Je sais où vous travaillez. Je me présente comme réparateur du MFP Canon à l'étage. Je me rends sur le copieur. Je débranche la prise réseau. Je pose un routeur wifi entre la prise murale et le copieur. Depuis, le parking je me connecte au réseau wifi mis en place sans SSID apparant. Je suis au sein de votre réseau d'entreprise (ceci est une histoire vraie soit dit en passant) et j'ai accès à l'ensemble des ressources.

Alors avant de chercher midi à 14 heures, voici quelques conseils :

1. Cryptez votre disque via Filevault
2. Activer la double authentification sur tous vos comptes (mail, dropbox, microsoft, apple). Utiliser les mots de passe d'applications.
3. Choisissez vos mots de passe pour qu'ils soient forts.
   • minimum 10 caractères
   • des chiffres, des lettres majuscules et minuscules ainsi
     que des caractères spéciaux
   • pas de combinaisons en séquences ni de lettres voisines sur le clavier comme « asdfgh » ou « 45678 »
   • pas de mot pouvant se trouver dans un dictionnaire (dans toutes les langues); le mot de passe ne doit avoir aucune signification
   • ne pas utiliser systématiquement le même mot de passe
   • ne stockez pas votre mot de passe s'il n'est pas sécurisé par cryptage

C'est la base.
Sur ce, bonne journée à vous

 

[r e m y]

Note liminaire... Inutile de discuter en MP puisqu'on part du principe que quelqu'un de ton entourage a accès à tout ce que tu fais sur ton Mac.

Connaissant bien MacOS X et son noyau UNIX, je te confirme qu'aucun programme ne saurait tourner en tâche de fond sans être listé par EtreCheck (qui scrute tous les répertoires et fichiers de configuration consultés par MacOS X pour lancer les processus devant être démarrés).

AntiMalware de MalwareBytes et les logiciels antivirus du marché scannent et signalent (voire éradiquent) tous les logiciels malveillants connus.

LittleSnitch scanne et signale TOUT ce qui sort de ton Mac. (Du moins par les canaux habituels, car si quelqu'un capte et analyse les perturbations électromagnétiques créées par le clavier, l'écran, la Ram, et les écritures sur le disque dur ou SSD, là LittleSnitch n'en saura rien)

Maintenant, si quelqu'un a installé une version modifiée de MacOS X sur ton Mac, évidemment tout devient possible.

Si quelqu'un a développé un nouveau programme usurpant l'identité d'un développeur identifié et la signature d'un programme légitime, il passera effectivement inaperçu en n'alertant ni GateKeeper, ni XProtect ni aucun antivirus (LittleSnitch, lui, signalera quand même une activité anormale en flux sortant, vers des adresses IP anormales).

Mais comme tu ne veux
- ni reformatter ton Mac pour réinstaller une version clean de MacOS X
- ni arrêter d'utiliser les WiFi publics qui pourtant t'exposent à de nouvelles intrusions ou aspirations de donnees
- ni protéger correctement ton Mac (cryptage via FileVault, paramétrage plus restrictif de GateKeeper...)

je ne sais comment t'aider plus.

Je te conseille:
- de prendre contact, comme tu imagines que tes agresseurs l'ont fait eux meme, avec les milieux underground dont tu penses qu'ils peuvent développer ce type de logiciels malveillants pour leur demander de l'éradiquer de ton Mac
- de contacter les éditeurs d'antivirus pour leur proposer d'examiner ton Mac où ils trouveront une nouvelle bestiole non encore connue d'eux
- de prendre contact avec Apple qui sera probablement heureux de te racheter ton Mac pour le disséquer et comprendre comment il a pu être corrompu (soit via l'OS, soit via le hardware)

De notre côté, à distance, et via ces forums, malgré nos dizaines d'années d'expérience et d'expertise accumulées, on ne peut rien faire de plus.

 

[r e m y]

Nota: reformatter ton Mac serait l'occasion de supprimer la deuxième partition RecoveryHD (il y en a 2 sur ton SSD, c'est au moins une de trop) et de recréer une architecture normale des partitions (la partition disk0s2 semble absente...)
C'est peut être là que se cache ce que tu cherches...un deuxième OS lancé en parallèle du Mac OS X légitime via un bootloader modifié qui demarre 1 deuxième OS en parallèle depuis une partition masquée.

 

[bompi]

Nota: reformatter ton Mac serait l'occasion de supprimer la deuxième partition RecoveryHD (il y en a 2 sur ton SSD, c'est au moins une de trop) et de recréer une architecture normale des partitions (la partition disk0s2 semble absente...)
C'est peut être là que se cache ce que tu cherches...un deuxième OS lancé en parallèle du Mac OS X légitime via un bootloader modifié qui demarre 1 deuxième OS en parallèle depuis une partition masquée.

Démarrer deux systèmes simultanément ? Ça ne me paraît pas possible. À moins d'avoir trafiqué la machine de sorte qu'il y ait un hyperviseur (désolé pour l'anglicisme) et que tous les autres systèmes démarrent par-dessus (des VM, donc). C'est suffisamment compliqué pour que la personne ayant hacké le Mac y ait passé quelque temps, sans être dérangée.

Les solutions raisonnables ont été données. J'ajoute simplement un lien vers un testeur de mot de passe qui n'est pas trop mal [il applique une fonction JavaScript développée initialement par Dropbox, zxcvbn]. Bien entendu, il est biaisé donc pas absolument fiable : il donne cependant une bonne idée de la complexité du mot de passe que l'on choisit.

 

[r e m y]

Les chinois du FBI travaillant au black pour la NSA de Bordurie sont capables de tout.
Il suffit de faire enlever Kirm par des extraterrestres le temps de modifier sa machine et quand il revient sur Terre il n'a aucun souvenir de cet enlèvement ni de sa durée..

Comme tu le dis, toutes les solutions raisonnables ayant été passées en revue, sans donner satisfaction à Kirm, il faut bien maintenant passer dans une autre dimension...

 

[litobar71]

Bonjour du mi-matin,

Serait-il judicieux qu'avant le "reformattage" il y ait création de deux partitions (ou plus) puis d'une afin de bien tout effacer ?

J'ai lu un post en ce sens mais où ?
Je pensais qu'une création d'un seul nouveau schéma de carte de partition suffisait.

Si un membre a un avis tranché (& pas de tranche-montagne).. ..merci.



 

[bompi]

Bonjour du mi-matin,

Serait-il judicieux qu'avant le "reformattage" il y ait création de deux partitions (ou plus) puis d'une afin de bien tout effacer ?

J'ai lu un post en ce sens mais où ?
Je pensais qu'une création d'un seul nouveau schéma de carte de partition suffisait.

Si un membre a un avis tranché (& pas de tranche-montagne).. ..merci.



Je dirais non. Ce qui est important est d'effacer les données, ce qui n'est pas réalisé par le partitionnement, durant lequel peu d'informations sont écrites sur le disque, effaçant la quantité d'information correspondante.
Mais, une fois le disque entièrement partitionné, chacune de ses partitions doit être entièrement remise à zéro lors du formatage.

 

[litobar71]

Merci bien , mais avec un SSD idem ?

 

[bompi]

Pour les SSD, il faut passer une fois pour remettre à zéro mais (si j'ai bien compris ce que j'ai lu à ce sujet) nul besoin de passer plusieurs fois comme pour les disques magnétiques.

 

[litobar71]

Merci pour l'info , je me renseigne au quotidien pour éviter d'écrire sérieusement des réponses inutiles.