hpPostProcessing.bundle est-il un malware ? [FAUX POSITIF]

[édition :
Coïncidence de plusieurs choses, fausses pistes, méconnaissance des mécanismes des anticorps de mac os, baratinage mercantiles et opportunistes de vendeurs de poudre aux yeux, mise à jour inattendue qui semble être mais n’est pas une vraie réaction d’apple à un faux problème, bref, j’ai eu plus de peur que de de malheur mais j’ai appris des choses : voir le dernier post du fil]  


Sur le Mac Mini en Catalina, l’utilisatrice voit Firefox tourner ad æternam et la machine est globalement lente. Je viens voir de quoi il s’agit et j’essaye ce qu’on fait en premier quand une appli déraille, je tue Firefox.
Mais ensuite pas moyen de le relancer, il recommence à tourner en rond. Je le re-tue et j’essaye de fermer la session ce qui est anormalement long. Je redémarre et, à l’ouverture de session, j’ai une fenêtre qui m’explique que (je n’ai as eu le réflexe de faire une copie d’écran mais en gros ça dit ça) l’appli hpPostProcessing.bundle va abîmer le mac et propose de l’afficher et d’avertir Apple.

Un peu éberlué je fais ça sans penser à essayer de savoir quelle est l’appli qui affiche ça. J’ai supposé que ça venait de quelque chose du genre Gatekeeper, autrement dit un message authentique du système. Un peu un doute tout de même, le style du texte ne me semblant pas aussi authentique que ça. Pur pifomètre mais que ça ne fasse ni ne dise rien de plus me semblait un peu suspect.

Une fenêtre s’ouvre effectivement et me montre le contenu du dossier /Bibliothèque/Printers/hp/filter soit hpPostProcessing.bundle et hpPreProcessing.filter



Je cherche sur le Web et je ne trouve rien d’autre qu’un site et une vidéo Youtube expliquant qu’il y a un excellent utilitaire qui débarrasse de ce malware pour 30 $.
Cousu de fil blanc me dis-je.


Je me dis que ce fichier est un leurre et que le malware pointe dessus alors qu’il est ailleurs pour inciter au final à acheter un antivirus probablement vérolé.
Le malware est censé, d’après le site, s’installer comme une extension dans le navigateur et on peut le trouver là. J’ai regardé : rien à signaler.

Après enquête, le plantage de Firefox se serait passé juste après le chargement d’une page web supposée être une page de désinscription à une pseudo-news-lettre, manifestement un spam avec une adresse réelle loufoque. Un clic sur le lien de « désinscription » a immédiatement affiché une de ces pages d’avertissement bidon prétendant que l’ordinateur est infecté.

Ça reste donc peut-être un malware installé dans le navigateur. Et le prétendu message de gatekeeper, me direz-vous ? Je dirais une boîte d’avertissement émise depuis firefox, invisible et planté à ce moment-là, essayant de faire croire que c’est un message système. Ce leurre serait destiné à faire croire que le malware est bien une altération du système.

Je vais peut-être faire revenir firefox en arrière de quelques jours avec time machine.

Coïncidence ?
Ce matin une mise à jour qui concerne les pilotes HP.

Entre temps j’avais effacé le fichier de pilote HP désigné comme étant le malware par la fenêtre anonyme.
Après la mise à jour et un redémarrage de la machine, même fenêtre mais le coupable désigné n’est plus hpPostProcessing.bundle mais un certain HPDM.framework…

Impossible de savoir à qui appartient la fenêtre en question. Elle est apparue alors que firefox n’était pas encore lancé, elle ne provient donc peut-être pas d’une extension de FF.
Comment identifier le service ou l’appli ou je ne sais quoi qui l’ouvre ? Rien dans le titre de la fenêtre, rien dans la liste des applis ouvertes évidemment (alt commande esc).

Bon, la pression redescend dans la chaudière…
Si j’en crois cette page
https://discussions.apple.com/thread/251948941
toute cette affaire se résume à un faux positif…

Les pilotes HP anciens ne sont plus identifiés par Catalina et sont donc considérés comme louches, suspects, douteux voire infréquentables, d’où l’affirmation aussi péremptoire que hasardeuse que ces composantes de pilotes allaient tout casser sur ce mac, jusqu’au voyant marche/arrêt.

Je n’ai pas encore appliqué la recette de cette page mais je vais m’y atteler dès que j’aurai un peu de temps, maintenant que je sais que l’état d’urgence n’en est pas un… du moins de ce côté-là.

Corollaire, la description aussi détaillée que floue que les sites vendeurs d’anti-virus ou prétendus tels nous ont livrés par bateaux, associant ce symptôme à une infection par un malware bidouillant les DNS et redirigeant les navigateurs vers des sites frelatés, valent leur pesant de bouses de taureau, comme disent les angles aux faunes.
Mais ça, on s’en doutait bien.

Il faut aller sur le site d'Apple et télécharger le dmg des gestionnaires d'impression 5.1 dont Le certificat a été mis à jour.

https://support.apple.com/kb/DL1888?viewlocale=fr_FR&locale=fr_FR

Il faut bien sûr désinstaller les anciens gestionnaires avant d'installer le "nouveau".

Pour cela virer le répertoire /Library/Printers/hp et faire le ménage dans /Library/Image Capture/Devices.

Ne pas oublier de réinitialiser le système d'impression.

Un redémarrage, on installe et ça roule.

M'enfin, cela ne concernant que les anciennes imprimantes, celles de cette liste :
https://support.apple.com/fr-fr/HT201465#HP

Super !   
Déjà merci beaucoup pour le lien, j’ai tout de même trois lasers concernées :

HP Color LaserJet 4550n (20 ans, mécanique fatiguée — recto verso =  bourrage garanti — mais encore fonctionnelle, plus de toner hp mais un dernier petit stock de clones)

HP LaserJet 5200tn (13 ou 14 ans, impeccable, probablement plus de toner/tambour hp mais peut-être encore des clones)

HP LaserJet 4L (30 ans, mécanique toujours vaillante, elle tire sa dernière cartouche — heureusement d’une longévité comme on n’en fait plus — avant la mise à la casse d’office faute de toner/tambour)

Quant à la méhode que tu indiques, je la mettrai en application dans les prochains jours.

What's up Doc ?

Ah oui, zut ! j’avais oublié de donner des nouvelles…
J’ai nettoyé le dossier hp des pilotes où se trouvait le pseudo virus et le message n’est plus réapparu, impec !  

… jusqu’à la prochaine mise à jour de sécurité 

En fait en fouillant partout durant l’installation de la mise à jour l’OS retrouvé dans la poubelle que je n’avais pas vidée et il à ré-affiché le message