Les antivirus servent à protéger un ordinateur contre des virus connus. En revanche, ils ont le plus grand mal à résister à une attaque visant à prendre leur contrôle. En quelques minutes, un pirate peut en effet désactiver un antivirus installé sur un PC et placer ensuite tous les codes malveillants qu’il souhaite.
C’est ce qu’a démontré un concours organisé le week-end dernier par le Laboratoire de cryptologie et virologie opérationnelles de l’Ecole supérieure d’informatique électronique automatique (ESIEA) de Laval. Une première mondiale, dans le cadre du congrès iAWACS 2009. L’objectif était de désactiver l’antivirus protégeant le système – un PC avec une version classique de Windows – en moins d’une heure.
Le plus vulnérable dans ce cas de figure a été l’antivirus de McAfee. En une minute et 56 secondes, un expert a réussi à le mettre à genoux en le rendant inopérant. Mais il n’est pas le seul antivirus à avoir passé un sale moment.
Un bilan inquiétant
L’antivirus de Symantec, Norton, a quant à lui été désactivé au bout de quatre minutes et celui de GData après cinq minutes. La résistance a été un peu plus efficace avec AVG (un quart d’heure), ESET/NOD32 (33 minutes) et Kaspersky (40 minutes). Seul DrWeb n’a pas pu être contrôlé. Mais selon les organisateurs, il a été suffisamment affaibli pour penser qu’avec un peu plus de temps (plus d’une heure), les candidats seraient parvenus à désactiver un septième antivirus.
« DrWeb s’est bien protégé contre les tentatives de désactivation depuis l’espace utilisateur : désactivation de services, suppression des bases de signatures, tentative de terminaison de processus… Cela étant, nous avons constaté des manques au niveau de la protection du noyau, mais que nous n’avons pas eu le temps d’exploiter dans les temps impartis », indique Christophe Devine, un expert en sécurité travaillant pour la société Sogeti/ESEC, et gagnant du concours.
Les résultats de ce concours confirment « qu’un virus bien conçu peut lancer une charge de désactivation visant les produits antivirus majeurs du marché. Le poste de l’utilisateur devient alors vulnérable à toutes sortes de menaces », déclare-t-il.
Les éditeurs informés des vulnérabilités découvertes
Comme tous les logiciels, les antivirus présentent des failles. « Il s’agissait de repérer les faiblesses dans la cuirasse de ces produits. Il existe en effet de nombreuses fonctions dans Windows (dites « API »). Or, à l’heure actuelle aucun antivirus n’assure un couverture parfaite de toute les fonctions utilisables par un code malveillant. Certains détectent correctement l’accès à la mémoire physique, mais pas à la base de registre, et inversement », explique Christophe Devine.
Présents à Laval, des représentants d’AVG ont contacté aussitôt leurs développeurs en Ukraine pour qu’ils corrigent les failles repérées et exploitées lors du concours. D’ailleurs, pour que les éditeurs améliorent la protection de leur logiciel, les organisateurs leur ont révélé les techniques employées et les failles repérées.
Le concours de l’ESIEA n’a réuni que deux participants, Christophe Devine et Samir Megueddem, un étudiant à l’Université de Valenciennes et Hainaut-Cambrésis. Les organisateurs ont en effet eu du mal à convaincre d’autres spécialistes de participer à ce concours.
« La loi de 2004 sur la confiance dans l’économie numérique est trop floue sur ce point. Une personne peut être potentiellement poursuivie si elle parvient à désactiver un antivirus », précise Eric Filiol, directeur de la recherche de l’ESIEA et du laboratoire de cryptologie et virologie opérationnelles. De quoi refroidir les ardeurs…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.