• Les personnes mettant régulièrement à jour LiquidCD sont environ 25′000
• Les personnes qui n’utilisent pas souvent LiquidCD (et donc ne sont pas à jour) sont environ 110′000
• Le nombre total de fois que LiquidCD est installé dans le monde est probablement de 300′000 ou 400′000

Il s’agit d’extrapolations un peu grossières, mais les ordres de grandeur sont respectés.

Et les autres alors ? Rien à faire, Apple refuse de publier son SDK. Après quelques heures de rétro-ingénierie, j’ai pu tirer quelques principes de base pour la conception d’un plugin. Il n’y a pas grand chose qui marche pour l’instant. Il est possible d’ajouter un menu dans « Importer » ou « Exporter » et de déclencher une action lorsqu’il est sélectionné par l’utilisateur.

Les sources de ce « mini-plugin » sont disponibles sous licence BSD. C’est le protocol « secret » PRODataInterchange qui y est utilisé. Si quelqu’un arrive à faire avancer le projet, merci de m’en tenir au courant !

J’ai passé quelques heures à le faire. Vous pouvez télécharger la version Mac (Intel) qui est déjà compilée. xcircuit nécessite le logiciel X11 d’Apple, qui est normalement déjà installé sur votre Mac. Ce binaire a été testé sous Snow Leopard (10.6) mais devrait fonctionner sous Leopard, ou peut-être même Tiger. Si vous rencontrez un problème en l’utilisant, laissez un message !

Il est possible d’utiliser une imprimante réseau Samba depuis au moins Mac OS 10.2. L’explorateur par défaut qui recherche toutes les imprimantes ne fonctionne pas toujours très bien. Il ne voit pas toutes les imprimantes.

L’astuce est la suivante:

• Allez dans les préférences système
• Choisissez « Imprimante et Fax » et cliquer le bouton « + » pour ajouter une imprimante.
• Dans la fenêtre qui apparaît, appuyer sur la touche CTRL et cliquez sur la barre d’outil

• Choisissez « Personnaliser la barre d’outils »
• Et là il y a une icône « Options avancée ». Il faut la glisser-déposer sur la barre d’outils.
• Et voilà, en cliquant sur cette nouvelle icône il est possible d’entrer le chemin vers un imprimante Samba (il faut attendre quelques secondes avant de pouvoir écrire)
• N’oubliez pas de choisir le pilote en « Imprimante Postscript générique »

Evidemment, je n’ai rien contre les logiciels payant. Quoi de plus naturel que d’être rémunéré pour son travail. Cependant trop cher, c’est trop cher. Alors la seule façon que j’avais de réagir, c’était de concevoir un logiciel concurrent moins cher (au départ LiquidCD n’était pas prévu pour être gratuit). Depuis, les choses ont bien changé: la boîte qui avait créé ledit logiciel a interrompu son développement (abandonnant tous ses clients), et d’autres logiciels de gravure ont fait leur apparition. Je pense à Burn, évidemment. 

Ce matin, en faisant un tour sur le site macupdate.com, je suis tombé sur un logiciel payant proposant de convertir des fichiers texte en pdf. Quel intérêt, me direz-vous, étant donné que TextEdit peut déjà le faire. L’avantage du logiciel en question, est qu’il peut convertir plusieurs fichiers à la suite ( »batch-processing »).

Wow. Quelle chose incroyable, pouvoir convertir des fichiers .txt en série pour seulement $40. Je signe où ? En voyant ce logiciel j’ai senti qu’il y avait un problème. Payer si cher pour si peux ? Ai-je eu raison de m’indigner, je ne le sais pas.

La riposte

Quoi qu’il en soit, j’ai pensé que je devais réagir. Après 1h et 7 minutes, j’avais réussi à programmer un logiciel similaire et plus rapide en seulement 100 lignes de code. Vous pouvez y jeter un oeil, il est disponible librement (licence BSD). En 100 lignes de code, ce petit utilitaire fait même plus, puisqu’il ouvre d’autres formats que le .txt (comme le rtf). Je n’ai pas cherché à vraiment le débuguer, c’était juste pour pouvoir argumenter mes propos.

Combien coûte un logiciel ?

Alors, quel est le prix d’un logiciel. Etant donné que je ne vis pas des revenus de mes logiciels, et que je ne travaille pas en entreprise, je ne peux pas répondre à cette question. Tout logiciel, aussi basic soit-il, requiert beaucoup de travail et d’énergie. Dans ce cas précis, j’estime cependant que non: 100 lignes et une heure de travail. Avec tout juste 3 ou 4 heures de plus, il serait possible d’obtenir un produit vraiment fini. En comparaison, la version alpha du prochain LiquidCD comporte déjà 19910 lignes de code, alors même qu’il est loin d’être terminé. En comptant avec des dizaines d’heures de travail.

Je tiens à préciser que si au début le projet LiquidCD est né pour prouver que l’on pouvait faire moins cher, il est maintenant devenu tout autre chose pour moi. Il s’agit d’un projet excitant qui ne manquera pas d’évoluer (oui, je sais qu’il y a des bugs sous léopard :p )

Si l’un d’entre vous voulais améliorer ce petit utilitaire, qu’il ne manque pas de m’en informer !

En deux mots, via un simple AppleScript il est possible d’exploiter le fait que ARDagent (une application destinée à l’utilisation de AppleRemoteDesktop) ait le suid en root (autrement dit: elle se lance avec tous les droits) pour exécuter des commandes shell. Tout est possible. Pour se prémunir, il suffit d’activer la gestion à distance dans les préférences système (oui oui, activer). Je n’ai pas réussi à mettre la main sur ce virus, qui se décline en plusieurs versions (une est un applescript, l’autre une vraie application). Si j’y parviens, je me ferai un plaisir de le décortiquer et l’analyser. Encore une fois, le meilleur moyen de se protéger, c’est de ne pas ouvrir n’importe quel fichier. Celui-ci est apparemment transmis par limewire et iChat.

Certains parlent plutôt de trojan horse (basé sur AStht AppleScriptTrojanHorseTemplate, qui lui-même n’en est pas un. C’est juste un concept), mais étant donné que l’application coupable ne se cache pas trop, je pense que c’est plutôt un virus…

Edit: des nouvelles. Le concept (qui n’est pas un virus) AStht est très poussé. Il explique comment lancer un serveur vnc, utiliser une webcam ou faire une capture d’écran. Il explique aussi comment installer une kernel extension pour capturer la frappe du clavier. Au menu encore: comment désactiver Norton ou les mises à jour système. C’est très surprenant, et bien pensé. Il est probable que le virus, le vrai, soit basé sur ce concept.

Edit2: vraiment surprenant à analyser, ce concept. On y trouve encore une façon d’installer une fausse commande « sudo » pour intercepter le mot de passe si elle est utilisée. 

sudo fs_usage | grep md

Une fois validée, la commande demande le mot de passe admin. Après quoi, le terminal affiche tous les accès au disque dur réalisés par Spotlight. En voyant les noms de fichiers lus, il apparaît qu’ils sont tous sur ma partition Bootcamp. Ça y est ! A chaque démarrage, Spotlight réindexe une partition entière, avec des milliers d’accès au disque. C’est la source de lenteur.

Je me rends donc dans les préférences système, sous Spotlight, et j’ajoute ma partition Bootcamp à la liste des dossiers à ne par indexer. Je redémarre, et ouf ! mon Mac est enfin réactif.

Mais pourquoi mon disque est-t-il indexé à chaque démarrage ? J’avoue que je l’ignore. Mais cela est peut-être lié à l’utilisation de VMWare sur la même partition. En tout cas, je en suis pas mécontent d’avoir enfin une machine réactive.

Qu’est-ce qu’un cheval de troie (ou trojan horse) ? 

Il s’agit d’un fichier qui se fait passer pour quelqu’un d’autre, d’apparence inoffensif pour ne pas susciter la méfiance de sa victime. On avait déjà vu ce genre de fichier avec « mp3concept » qui se faisait passer pour un fichier mp3 alors qu’en fait il exécutait des tâches. Cependant il s’agissait d’un concept et il n’a jamais été question qu’il s’agisse d’un vrai trojan dans le but de nuire.

Le nouveau trojan, décortiqué

Pour être infecté, l’utilisateur doit d’abord se rendre sur un site spécifique (une 60aine de sites à caractère pornographique auraient déjà étés répertoriés) qui va proposer au visiteur de télécharger un « codec » (comprenez, une application qui permet de lire un certain type de fichier vidéo). Une fois téléchargé, un programme d’installation sur votre Mac s’ouvre et vous propose d’installer le fichier que l’on vient de télécharger. L’utilisateur doit ensuite entrer son mot de passe et c’est à ce moment-là que l’ordinateur devient contaminé.Soyons clairs, il ne s’agit en aucun cas d’une faille de Mac OS X, mais plutôt d’une faille de l’utilisateur qui est assez naïf pour fournir son mot de passe à une application téléchargée sur un site douteux.

Alors, que s’est-il passé lors de l’installation

Après avoir fourni son mot de passe, un script dit de « preinstall » est lancé. Celui-ci fait deux choses:

Explications: Un serveur DNS est un ordinateur connecté à Internet qui change les adresses URL (ou « liens internet ») en adresse IP. Par exemple, si je tape « www.google.com » dans Safari, alors celui-ci va contacter mon serveur DNS qui va changer www.google.com en « 64.233.183.99″. Il s’agit d’une adresse IP, et c’est à partir de là que Safari va pouvoir afficher les page d’accueil de Google. Imaginez maintenant que quelqu’un modifie votre configuration réseau pour rediriger Safari vers un DNS qu’il a sous contrôle. Alors ce serveur DNS, lorsqu’il reçoit la demande de changer « www.google.com » en adresse IP, peut très bien fournir l’IP d’un autre site web. En deux mots: vous tapez google.com mais c’est un AUTRE site qui s’affiche ! Pourquoi faire cela ? Parce qu’en réalité, ce DNS vous redirige vers une page d’apparence identique au site demandé mais qui est en fait contrôlé par un pirate. Ainsi si vous allez sur « ebay.com » par exemple, il affichera une page identique au site officiel et il pourra récupérer votre mot de passe lorsque vous le taperez. Cette pratique est connue sous le nom de « physhing ».

D’autre part, le script s’ajoute à crontab. En fait cela veut dire que le script demande à votre Mac de pouvoir se re-exécuter toutes les minutes. Ainsi, si vous changez manuellement votre DNS, une minute plus tard il sera systématiquement re-changé par le trojan.

En plus de tout cela, le trojan installe un faux plugin internet dans le dossier « /Bibliothèque/Internet Plug-Ins » ainsi que deux fichiers script dans ce même dossier. Le but du faux plugin est de faire croire que quelque chose de normal a effectivement été installé. En réalité ce faux plugin est vide et ne fait rien de chez rien. Les autres fichiers scripts sont:

Ce dernier envoie au serveur 85.255.121.xx une requête http qui contient dans l’entête le nom d’hôte de votre Mac (tapez « hostname » dans le terminal pour le voir) et aussi le résultat de la commande « uname -p » tous deux encodés en base64 pour ne pas éveiller de soupçons si quelqu’un venait à analyser le traffic Internet sortant.

Comment savoir si je suis infécté

La façon la plus simple, est d’ouvrir votre disque de démarrage (celui sur lequel se trouve le système), puis d’aller dans le dossier « Bibliothèque » puis « Internet Plug-Ins ». Vous êtes infecté si au moins l’un des fichiers suivant est visible: « Mozillaplug », « plugins.settings » ou « sendreq ». Cependant il existe des variantes de ce trojan qui pourrait avoir changé le nom de ces fichiers. Le simple fait d’effacer ces fichiers ne suffit pas à désinfecter votre ordinateur. En effet les serveurs DNS piratés sont toujours là et ne peuvent pas être modifiés en passant par les préférences système (toujours selon Intego).

Une autre façon est de taper

sudo crontab -l                     

dans le terminal. Votre mot de passe sera demandé, après quoi une liste pourrait s’afficher. Si elle contient « plugins.settings » alors vous êtes infecté. A nouveau, les variantes de ce trojan pourraient avoir changé ce nom.

Une autre façon encore, qui ne marche que sous Leopard, est d’ouvrir les préférences système et d’aller sous Réseau. Il y a un champ marqué « Serveur DNS ». Si vous pouvez voir une adresse du type « 85.255.11x.xxx » alors vous êtes infecté. Elle pourrait apparaître en gris-clair plutôt qu’en noir et donc on ne peut pas l’effacer. Je n’ai pas testé cela personnellement.

 Finalement, il existe une dernière façon. C’est de taper dans le Terminal:

scutil –dns | grep 85.255.11               

 Si quelque chose apparaît, alors vous êtes contaminé.

Comment désinfecter ma machine contaminée ?

Tout d’abord effacez tous les fichiers suspects dans le dossier « Internet Plug-Ins ». A ce point-là, la tâche crontab programmée ne pourra plus s’effectuer même si elle existe toujours. On peut l’effacer avec un programme tel que celui-ci. On peut aussi passer par le terminal en tapant

sudo crontab -e                     

A condition de savoir utiliser l’éditeur « Vi » ce qui n’est pas mon cas. Notez qu’en effaçant tous les fichiers dans ce dossier vous risquez de supprimer aussi des plugins Internet qui ne sont peut-être pas des trojans horses, mais des plugins normaux que vous utilisez. Au pire des cas il suffira de les réinstaller lorsque Safari vous le proposera.

Ensuite il va falloir effacer les serveurs DNS qui ont été ajoutés. Pour cela il faut utiliser scutil. Malheureusement je ne suis pas encore au clair quant à son utilisation. Cet article sera mis à jour dès qu’une solution pour ce dernier point sera trouvée. En attendant, ne téléchargez pas n’importe quoi, et ne donnez pas votre mot de passe à n’importe quelle application !