Des antivirus K.O. en quelques minutes (MAJ)

Un concours organisé par l'ESIEA de Laval a montré que les logiciels de sécurité étaient dangereusement vulnérables. Sur 7 antivirus attaqués, un seul a résisté vraiment.


Les antivirus servent à protéger un ordinateur contre des virus connus. En revanche, ils ont le plus grand mal à résister à une attaque visant à prendre leur contrôle. En quelques minutes, un pir@te peut en effet désactiver un antivirus installé sur un PC et placer ensuite tous les codes malveillants qu'il souhaite.

C'est ce qu'a démontré un concours organisé le week-end dernier par le Laboratoire de cryptologie et virologie opérationnelles de l'Ecole supérieure d'informatique électronique automatique (ESIEA) de Laval. Une première mondiale, dans le cadre du congrès iAWACS 2009. L'objectif était de désactiver l'antivirus protégeant le système - un PC avec une version classique de Windows - en moins d'une heure.

Le plus vulnérable dans ce cas de figure a été l'antivirus de McAfee. En une minute et 56 secondes, un expert a réussi à le mettre à genoux en le rendant inopérant. Mais il n'est pas le seul antivirus à avoir passé un sale moment.


Un bilan inquiétant

L'antivirus de Symantec, Norton, a quant à lui été désactivé au bout de quatre minutes et celui de GData après cinq minutes. La résistance a été un peu plus efficace avec AVG (un quart d'heure), ESET/NOD32 (33 minutes) et Kaspersky (40 minutes). Seul DrWeb n'a pas pu être contrôlé. Mais selon les organisateurs, il a été suffisamment affaibli pour penser qu'avec un peu plus de temps (plus d'une heure), les candidats seraient parvenus à désactiver un septième antivirus.

« DrWeb s'est bien protégé contre les tentatives de désactivation depuis l'espace utilisateur : désactivation de services, suppression des bases de signatures, tentative de terminaison de processus... Cela étant, nous avons constaté des manques au niveau de la protection du noyau, mais que nous n'avons pas eu le temps d'exploiter dans les temps impartis », indique Christophe Devine, un expert en sécurité travaillant pour la société Sogeti/ESEC, et gagnant du concours.

Les résultats de ce concours confirment « qu'un virus bien conçu peut lancer une charge de désactivation visant les produits antivirus majeurs du marché. Le poste de l'utilisateur devient alors vulnérable à toutes sortes de menaces », déclare-t-il.

Les éditeurs informés des vulnérabilités découvertes

Comme tous les logiciels, les antivirus présentent des failles. « Il s'agissait de repérer les faiblesses dans la cuirasse de ces produits. Il existe en effet de nombreuses fonctions dans Windows (dites « API »). Or, à l'heure actuelle aucun antivirus n'assure un couverture parfaite de toute les fonctions utilisables par un code malveillant. Certains détectent correctement l'accès à la mémoire physique, mais pas à la base de registre, et inversement », explique Christophe Devine.

Présents à Laval, des représentants d'AVG ont contacté aussitôt leurs développeurs en Ukraine pour qu'ils corrigent les failles repérées et exploitées lors du concours. D'ailleurs, pour que les éditeurs améliorent la protection de leur logiciel, les organisateurs leur ont révélé les techniques employées et les failles repérées.

Le concours de l'ESIEA n'a réuni que deux participants, Christophe Devine et Samir Megueddem, un étudiant à l'Université de Valenciennes et Hainaut-Cambrésis. Les organisateurs ont en effet eu du mal à convaincre d'autres spécialistes de participer à ce concours.

« La loi de 2004 sur la confiance dans l'économie numérique est trop floue sur ce point. Une personne peut être potentiellement poursuivie si elle parvient à désactiver un antivirus », précise Eric Filiol, directeur de la recherche de l'ESIEA et du laboratoire de cryptologie et virologie opérationnelles. De quoi refroidir les ardeurs...

Mise à jour le 28 octobre 2009


[Vous devez être inscrit et connecté pour voir cette image]agrandir la photo



A la suite de certaines interventions sur le forum de cet article, mettant en doute l'intérêt de ce concours, Eric Filiol, directeur de la recherche et du Laboratoire de cryptologie et virologie opérationnelles de l'ESIEA, et un des organisateurs du concours, a tenu à apporter les précisions suivantes aux lecteurs de 01net.

« Les conditions du concours, contrairement à ce qui a pu être avancé par des internautes, mais aussi par GData [voir ici, NDLR] - qui semblent ignorer bien des aspects de la virologie informatique -, ne sont ni spécifiques ni décalées de la réalité opérationnelle. En effet, agir en tant qu'administrateur correspond malheureusement à ce qui se passe en permanence : un code malveillant efficace travaille toujours avec des privilèges système, se servant d'une vulnérabilité connue, notamment.

Or, l'utilisateur “grand public” travaille aussi en utilisateur avec pouvoir (mode administrateur), car c'est le seul moyen sous Windows de pouvoir travailler, en particulier sous Vista. Tout ce qui a été fait manuellement lors de concours peut donc être automatisé facilement par un code malveillant. Les éditeurs d'antivirus devraient le savoir.

Et pour couper court aux critiques, le prochain concours en mai 2010 visera le mode client seul en exploitant directement les vulnérabilités des AV et des techniques virales dédiées. »