J'aimerais vraiment encouragé l'utilisation du firewall de MacOS X ou celui de la borne Airport plus souvent, ainsi que la compréhension des risques encourus quand certains éléments sont partagés sur ce système.
Certes, aucun élément n'indique que tu as reçu véritablement une visite, mais dans le doûte, en sécurité, il faut toujours agir selon le pire scénario, et tu as bien fait de repartir de zéro.
L'ADSL a fait naître de nouveaux comportements et de nouveaux petits malins dont le terrain de jeu s'est bigrement agrandi.
MacOS X n'est vraiment pas à l'abri dans ce contexte, il ne s'agit pas de virus mais de tentatives d'intrusions, parfois relayée par des virus, d'ailleurs.
Le port scan a pris une ampleur phénoménale, il s'agit d'une méthode de repérage de toutes les "portes" ouvertes sur une machine pour tester des techniques d'attaques par la suite en fonction des types de portes découvertes.
Les règles d'or si vous avez une connexion haut débit ADSL ou par Cable:
- Ne partagez rien sur votre ordinateur principal, préférez monter un serveur annexe facilement "controlable et reformatable".
- Installez et utilisez votre firewall sur votre machine ou airport ou un routeur matériel pour filtrer votre connexion internet. Contactez éventuellement votre fournisseur d'accès qui peut avoir un firewall commun. Ce firewall ne sert à rien si vous lui autorisez beaucoup trop de liberté. En matière de serveur, les pros installe toujours un service par machine, jamais de serveur http-ftp-ssh-mail !
- Vérifiez régulièrement les statistiques de votre ordinateur si vous avez activé le partage d'une ressource un peu trop longtemps sans surveillance, toutes les stats sont dans /var/log, demandez sur MacG éventuellement les lignes les plus mystérieuses,
- Ayez une politique de mot de passe saine: changez régulièrement les mots de passe des comptes pouvant administrer votre ordinateur (mensuellement), choisissez des mots de passe compliqués mais pas trop pour ne pas avoir à le noter quelque part.
- Evitez vraiment de penser que ça n'arrive qu'aux autres, que vous êtes à l'abri parce que vous êtes sur Mac et que c'est le meilleur, le plus sûr etc. Sans parano excessive, il faut rester prudent et être préventif.
- Si vous partez en vacances, le meilleur conseil est d'éteindre votre ordinateur et votre modem. Mais si vous voulez le laisser en serveur, assurez vous d'avoir fait une sauvegarde totale de vos données sensibles et sur CD essentiellement: pas sur .Mac ou un autre disque dur ! Sinon à votre retour, tous les scénarios sont possibles, j'ai de belles anecdotes là-dessus.
- Si vous avez un service partagé sur votre machine, disponible à tout l'internet, suivez scrupuleusement les mises à jour proposées par Apple.
- Au moindre doûte, vous n'avez pas trop le choix: sauvegarde de vos données sensibles, reformatage et réinstallation du système, changement complet des identifiants pour les utilisateurs de votre machine. Puis remettre vos fichiers sensibles un par un en les contrôlant.
Que cherche un pirate? Large question, il y a tellement de profils différents.
Celui qu'on rencontre souvent, c'est celui qui cherche un endroit douillet pour mettre en place un serveur de logiciel piraté, il va donc d'abord chercher une porte d'entrée sur votre ordi, puis tenter de récupérer un compte après avoir identifié sur quel type de système il se trouve, s'il obtient le mot de passe d'un compte admin, c'est le paradis qui s'ouvre à lui, il va pouvoir installer ce qu'il veut et surtout effacer toutes les traces de son intrusion dans les stats etc. puis il met en place son serveur FTP principalement, il peut créer un nouveau service ou pirater un service partagé déja existant sur votre machine (une version apache légèrement modifiée par exemple comme on en trouve beaucoup qui fait son travail http mais aussi d'autres petites choses très éloignées de son but initial), le service devient alors indécelable "à l'oeil nu". Les fichiers échangés étant souvent placés au plus profond de votre machine: /usr/share/man/man3/ par exemple.
Et voilà votre machine hantée pour le bénéfice d'échangeurs de programmes illicites, votre connexion en prend un coup mais jamais trop pour ne pas éveiller vos soupçons, le logiciel installé par votre pirate sachant très bien se réserver une partie de votre connexion seulement.
L'an dernier, plus de 400 000 machines auraient connu cette mésaventure, une stat établie par un logiciel repérant justement une version précise d'apache modifiée.
A l'autre extrème, il y a le vrai voleur, qui cherchera prioritairement vos documents sensibles, il sait où les trouver: il télécharge tout votre dossier Préférences et votre trousseau d'accès qu'il pourra tranquillement décortiqué chez lui. Puis reviendra éventuellement chercher des documents précis: vos bookmarks, le cache de votre navigateur, vos mails etc.
Cette pratique est en augmentation fulgurante, il faut dire que la pêche est souvent fructueuse pour les petits malins. Ils sont souvent des intermédiaires qui revendent leur récolte à de plus gros "truands". Une première vraie affaire sur Bordeaux a démontré le lien entre un vol à l'arraché d'une carte bleue et une équipe de pirate qui avait préalablement obtenu le code de cette carte bleue dans un fichier d'un ordinateur visité, cette découverte ayant conditionné le vol de la carte réelle pour des retraits et achats non plus sur internet mais dans la rue. C'est une situation extrème mais le laxisme ambiant favorise ce genre d'actions.
Prudence, donc.