80 bugs dans les antivirus, et autant de portes d'entrée
Conçus pour inspecter nos courriers électroniques, analyser notre navigation sur le Web et de manière générale espionner tous les fichiers à la recherche du moindre indice qui laisserait entendre qu'on est victime d'une attaque, les anti-virus pourraient être la porte par laquelle entreraient les virus... C'est du moins les conclusions d'une enquête menée par la société de conseil allemande n.runs AG, spécialisée notamment dans la sécurité. D'après Thierry Zoller, consultant en sécurité de n.runs AG, les entreprises qui essaient de renforcer leur sécurité en multipliant les anti-virus ne font en fait qu'accroître les risques. Son enquête démontrerait en effet que les anti-virus contiennent des 'parseurs' (ou analyseurs de code), programmes indispensables pour ouvrir des fichiers de format, susceptibles de comporter des bugs, lesquels pourraient être facilement exploités par des programmes malveillants. Menée sur deux ans, l'enquête aurait démontré que la majorité des grands acteurs du marché de l'anti-virus sont touchés par ces bugs, Thierry Zoller affirmant avoir trouvé plus de 80 bugs différents dans les parseurs des logiciels d'anti-virus qui n'ont pas été corrigés. La plupart de ces bugs autoriserait l'exécution de code malveillant sur un système. De fait, l'information n'est pas vraiment nouvelle : les bugs de parseurs au sein des navigateurs, pour ouvrir des fichiers graphiques notamment, ont déjà fait couler beaucoup d'encre et laissé passer de nombreux virus. Mais c'est la première fois qu'on s'attaque réellement aux parseurs de logiciels supposés protéger l'entreprise et non ouvrir de nouvelles brèches dans leur politique de sécurité. Les éditeurs du marché de la sécurité n'ont bien entendu pas manquer de réagir à cette enquête. Ils estiment que les saboteurs ont d'autres chats à fouetter que de s'attaquer aux logiciels de sécurité et qu'il est beaucoup plus facile pour eux de continuer à faire circuler des virus dans les pièces jointes des courriers électroniques par exemple. Des arguments qui finalement laisseraient entendre qu'on a beaucoup de chance : les saboteurs n'ont pas encore pensé à attaquer les programmes de sécurité ! De quoi clairement défrayer la chronique surtout quand on tient compte de la réaction de Marc Maiffret, CTO de eEye digital security, éditeur de solutions de sécurité : « les logiciels de sécurité sont aussi vulnérables que n'importe quel autre logiciel. Nous employons tous les mêmes développeurs qui sont allés dans les mêmes écoles que celles des employés de Microsoft et ils y ont tous appris les mêmes choses. »