Des antivirus K.O. en quelques minutes

Un concours organisé par l'ESIEA de Laval a montré que les logiciels de sécurité étaient dangereusement vulnérables. Sur 7 antivirus attaqués, un seul a résisté vraiment.

Les antivirus servent à protéger un ordinateur contre des virus connus. En revanche, ils ont le plus grand mal à résister à une attaque visant à prendre leur contrôle. En quelques minutes, un pirate peut en effet désactiver un antivirus installé sur un PC et placer ensuite tous les codes malveillants qu'il souhaite.

C'est ce qu'a démontré un concours organisé le week-end dernier par le Laboratoire de cryptologie et virologie opérationnelles de l'Ecole supérieure d'informatique électronique automatique (ESIEA) de Laval. Une première mondiale. L'objectif était de désactiver l'antivirus protégeant le système  - un PC avec une version classique de Windows - en moins d'une heure.

Le plus vulnérable dans ce cas de figure a été l'antivirus de McAfee. En une minute et 56 secondes, un expert a réussi à le mettre à genoux en le rendant inopérant. Mais il n'est pas le seul antivirus à avoir passé un sale moment.

Un bilan inquiétant

L'antivirus de Symantec, Norton, a quant à lui été désactivé au bout de quatre minutes et celui de GData après cinq minutes. La résistance a été un peu plus efficace avec AVG (un quart d'heure), ESET/NOD32 (33 minutes) et Kaspersky (40 minutes). Seul DrWeb n'a pas pu être contrôlé. Mais selon les organisateurs, il a été suffisamment affaibli pour penser qu'avec un peu plus de temps (plus d'une heure), les candidats seraient parvenus à désactiver un septième antivirus.

« DrWeb s'est bien protégé contre les tentatives de désactivation depuis l'espace utilisateur : désactivation de services, suppression des bases de signatures, tentative de terminaison de processus... Cela étant, nous avons constaté des manques au niveau de la protection du noyau, mais que nous n'avons pas eu le temps d'exploiter dans les temps impartis », indique Christophe Devine, un expert en sécurité travaillant pour la société Sogeti/ESEC, et gagnant du concours.

Les résultats de ce concours confirment « qu'un virus bien conçu peut lancer une charge de désactivation visant les produits antivirus majeurs du marché. Le poste de l'utilisateur devient alors vulnérable à toutes sortes de menaces », déclare-t-il.

Les éditeurs informés des vulnérabilités découvertes

Comme tous les logiciels, les antivirus présentent des failles. « Il s'agissait de repérer les faiblesses dans la cuirasse de ces produits. Il existe en effet de nombreuses fonctions dans Windows (dites « API »). Or, à l'heure actuelle aucun antivirus n'assure un couverture parfaite de toute les fonctions utilisables par un code malveillant. Certains détectent correctement l'accès à la mémoire physique, mais pas à la base de registre, et inversement », explique Christophe Devine.

Présents à Laval, des représentants d'AVG ont contacté aussitôt leurs développeurs en Ukraine pour qu'ils corrigent les failles repérées et exploitées lors du concours. D'ailleurs, pour que les éditeurs améliorent la protection de leur logiciel, les organisateurs leur ont révélé les techniques employées et les failles repérées.

Le concours de l'ESIEA n'a réuni que deux participants, Christophe Devine et Samir Megueddem, un étudiant à l'Université de Valenciennes et Hainaut-Cambrésis. Les organisateurs ont en effet eu du mal à convaincre d'autres spécialistes de participer à ce concours.

« La loi de 2004 sur la confiance dans l'économie numérique est trop floue sur ce point. Une personne peut être potentiellement poursuivie si elle parvient à désactiver un antivirus », précise Eric Filiol, directeur de la recherche de l'ESIEA et du laboratoire de cryptologie et virologie opérationnelles. De quoi refroidir les ardeurs...

Comments

[Philippe F]

<br /> Quand on voit la facilité de s'introduire sur un systèeme windows, les utilisateurs seront-ils séduit par la nouvelle ubuntu 9.10 ?<br /> <br /> <br />

[Jean Michel]

<br /> Possible !! pour Ubuntu 9.10 Phillipe à savoir que ce dernier n'est pas tout à fait inviolable aussi passe une bonne fin de soirée <br /> <br /> <br />

[VIENS]

<br /> Ouf, j'ai eu du mal à pouvoir afficher le pavé commentaire.<br /> C'est effrayant ce qu tu dis au sujet des anti virus. Moi j'ai Norton, et je me fais du soucis...<br /> Bon week-end!<br /> <br /> <br />

[Jean Michel]

<br /> Bonjour VIENS c'est vrai que l'article ne rassure pas... avoir un anti virus à jour limite,retarde mais ne bloque pas tous les virus. faire attention être prudent sur l'ouverture de certains sites<br /> web ou email douteux est certainement la meilleure solution passe un bon dimanche <br /> <br /> <br />

[treintafouire]

<br /> Suis je le seul à avoir un problème d'affichage avec cette article ( sous Vista Firefox 3.5.4 ) ?<br /> <br /> Sinon à propos de DrWeb , ce logiciel a l'air tres bon !! on en entend peut parler , et pourtant<br /> <br /> <br />

[condor79]

<br />                                   <br /> Pourquoi acheter des antivirus qui coutent très chères.....?<br /> C' est qu' il y a un énorme marché à protéger.......<br />                                     <br /> Salutations<br />                                              <br /> condor79<br /> <br /> <br />

[Jean Michel]

<br /> C'est un vrai Condor 79 passe une bonne soirée <br /> <br /> <br />

[dede]

<br /> Bonjour Jean Michel,<br /> <br />      Avec cette information que tu apportes, je pense qu'il n'y a pas grand chose à faire pour se protéger des pirates.<br />      A part avoir la chance de passer à travers les mailles du filet...!<br />      Bonne fin de journée.<br />      Amitiés.<br />      dédé. <br /> <br /> <br />

[Jean Michel]

<br /> Salut Dédé même si c'est pas parfait il vaut mieu avoir un antivirus bonne fin de soirée <br /> <br /> <br />