Technologies

Les anti-virus constituent une défense illusoire

En une après-midi, la réputation des éditeurs de logiciels anti-virus en a pris un sérieux coup : tous ont été largement pris en défaut. Une situation très inquiétante pour les entreprises clientes.

PublicitéLors du séminaire iAWACS (International Alternative Workshop on Aggressive Computing and Security) organisé du 7 au 9 mai 2010 par l'ESIEA (Ecole Supérieure d'Informatique Electronique Automatique, Paris XIII, Ivry-sur-Seine et Laval), des tests d'attaques visant à contourner les principaux anti-virus ont presque tous réussi, que ce soit en mode « scan à la demande » (lors de l'analyse volontaire du fichier infecté) ou en « scan à l'accès » (lors du lancement du programme infecté).

« Il aura fallu moins d'une après-midi aux spécialistes de la sécurité informatique -experts comme étudiants- réunis par l'ESIEA à l'occasion de la nouvelle édition d'iAWACS pour contourner les 15 antivirus les plus vendus dans le monde » mentionne l'école dans son communiqué.

Certaines techniques employées sont vieilles de dix ans et se sont révélées toujours efficaces. Les attaques ont été menées avec des « codes inconnus » et le but était donc de démontrer l'inefficacité des analyses comportementales mises en oeuvre par les logiciels du marché. Par contre, les analyses des signatures de virus connus n'étaient pas testées. Celles-ci sont habituellement bien reconnues. Les éditeurs de logiciels anti-virus mettent souvent en avant leur capacité à actualiser cette base de connaissance.

Il n'en demeure pas moins qu'une attaque avec un virus inédit est une agression classique dans le cas d'une tentative d'intrusion ciblée (contre une entreprise ou une administration données). La sécurité des organisations, notamment des entreprises ou des administrations sensibles, est donc fortement menacée par la piètre qualité des logiciels testés, d'autant plus que les DSI font confiance aux éditeurs des produits qu'ils achètent.
Précisons d'ailleurs que les anti-virus gratuits ne font pas plus pâle figure que les anti-virus payants.

Bien entendu, les modalités des attaques et les codes employés ne sont pas divulgués, chaque participant signant un engagement de non-divulgation, mais ont été communiqués au CERT-A (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques), organisme dépendant des services du Premier Ministre.

Les résultats du test

Le texte et le tableau ci-dessous ont été réalisés par l'ESIEA et sont extraits de son communiqué

Conditions de test :
Pour parer aux critiques des éditeurs, les conditions du test étaient particulièrement restrictives pour l'attaquant : les ordinateurs mis à disposition des participants étaient équipés de Windows 7 en mode utilisateur (pas de droit administrateur) avec les applications courantes installées (suite Microsoft, OpenOffice Suite, logiciel de lecture de PDF...). Chaque code de contournement présenté devait passer la barrière de l'antivirus, en mode non exécuté (scan à la demande), puis exécuté (scan à l'accès) et permettre ensuite une attaque affectant durablement le système.
Achetés de manière anonyme en magasin ou sur internet peu avant le test (ou directement téléchargé dans le cas d'Avast), tous les logiciels testés correspondent à ceux utilisés couramment par les particuliers et les professionnels.

Légende du tableau :
Détecté : le logiciel antivirus a détecté le programme malveillant et a empêché l'attaque.
Echec : le logiciel antivirus n'a pas détecté l'attaque. Le système informatique est durablement affecté.
* Le logiciel antivirus a détecté le programme malveillant mais a laissé le choix à l'utilisateur d'autoriser ou non la poursuite de son exécution.

(1) : 4 attaques ont été lancées :
- 1er : échec de l'antivirus
- 2e et 3e : programme malveillant détecté par l'antivirus
- 4e : échec de l'antivirus
(2) : 3 attaques ont été lancées :
- 1er et 2e : programme malveillant détecté par l'antivirus
- 3e : échec de l'antivirus