Anti-Virus : iAwacs, Matousec, les « signés » sont furax

Actualités - Hack - Posté on 19 Mai 2010 at 3:31 par Solange Belkhayat-Fuchs

Le récent challenge iAwacs ou le dernier exploit Matousec ont ceci de commun : avec deux doigts d’ingéniosité, une « charge » peut franchir sans problème (ou presque) la barrière des antivirus sans réveiller le plus petit octet de ces enceintes numériques. Ceci pour peu que le moyen de poser cette charge ne soit pas « connu des services compétents », en d’autres termes, qu’il ne possède de « signature » répertoriée.

Et c’est précisément sur cet argument que contre-attaquent les éditeurs d’A.V.. Adrian Kingsley-Hughes, dans une colonne rédigée pour le compte de ZD Net, se fait l’écho de leurs propos… lesquels, sans surprise, reposent sur des arguments très discutables. Ainsi, le fait de signaler qu’un « virus en chambre » peut tromper « tous les antivirus » est une façon de voir les choses excessivement alarmiste … dans la bouche d’un vendeur de produits de sécurité qui abreuve régulièrement le public de statistiques dramatiquement montées en épingle et de « bilan de sinistralité mensuel », voilà qui est savoureux. S’il était diffusé « in the wild », l’on en posséderait immédiatement une signature et serions à même de le combattre insiste Graham Clueley. Est-ce en fonction d’un tel principe que l’on se défausse du problème des attaques ciblées ? Si l’on pousse la logique à son comble, il serait donc nécessaire que les éditeurs d’A.V. précisent sur leur publicité « capable de vous protéger contre tous les virus connus, pour les autres, Dieu s’en charge ».

Seules les machines Windows XP sont affectées par le virus Matousec… à l’heure de Windows 7, la belle affaire, semble dire en substance Paul Ducklin, le « Sophos’s Head of Technology ». Est-ce avec ces mêmes arguments invoquant la vétusté et l’obsolescence technologique que ces mêmes éditeurs sont immédiatement parvenus à commercialiser des solutions de protection compatibles Vista 64 dès le lancement de ce noyau ? Pas franchement. Au gré de l’actualité, le « trop vieux » l’oppose au « trop moderne », et le lamentoso des éditeurs trouve toujours une source de malheur dans la conception du système d’exploitation.

Chez F-Secure, l’on insiste sur le fait que la menace Matousec n’était pas « connue » des antivirus. « if we would see such an attack, we would simply add signature detection for it, stopping it in its tracks ». Oui, mais zunpeutard.

Pourquoi de telles réactions défensives ? Probablement parce que les éditeurs d’A.V., dont le business-model est en train d’être sérieusement bousculé par l’apparition d’outils « gratuits » de renom, craignent précisément un mouvement de rejet généralisé, une « simplification réductrice » qui pourrait détourner les utilisateurs de leurs logiciels. Rassurons-les : en premier lieu, les virus « en chambre » ne sont qu’une poignée à être connus des médias… les autres ne sont employés que par les blackhats spécialistes des attaques en « spear intrusion » ou par les fonctionnaires des mille et une officines étatiques de barbouzes. Pas de quoi s’inquiéter, donc, car ces personnes-là se confient rarement à la presse, et les victimes ne se rendent compte de rien. Le business-model est donc préservé. Ensuite, à l’exception de quelques spécialistes du sujet, ce genre de révélation n’a que très peu d’influence à moyen terme. Dans moins de deux ou trois semaines, le monde entier aura oublié Matousec et les antivirus poreux. Dans le cas contraire, les éditeurs pourront même modifier leurs accroches et retourner la situation à leur profit : « protège de tous les virus connus, y compris ceux de Matousec que même les « mécréants » n’utilisent pas ! ». Rien de nouveau sous le soleil, donc. Les techniques utilisées par les concepteurs d’A.V. sont et seront encore régies par un système de « blacklist ». Les exploits d’un Matousec ou d’un concours iAwacs ne semblent pas pouvoir infléchir la position de ces marchands de sécurité ou les inciter à réfléchir à de nouveaux modes de fonctionnement.

Par le plus grand des hasards, une association « indépendante », l’Amtso (Antimalware Testing Standard Organisation) publie cette semaine un communiqué condamnant les auteurs qui créent et publient des « échantillons de virus destinés aux tests ». Un morceau de bravoure qui, si l’on sait lire entre les lignes, laisse clairement entendre que seuls ceux qui « savent » peuvent probablement se livrer à ce petit jeu. Les « bench », c’est une histoire de pros. Le directoire, ainsi que la liste des membres laissent planer quelques doutes quand à l’objectivité de l’étude. Mais reste que tous les arguments avancés dans cet article ne sont pas à ignorer.

Laisser une réponse