Des centaines de bugs dans les antivirus
Lorsque l'on parle de failles propres aux antivirus, l'on ne peut s'empêcher de penser immédiatement à Thierry Zoller, l'homme qui découvrit la plupart des trous de sécurité liés à un mauvais traitement des fichiers « compressés » (arj, zip et autres congénères). En souhaitant accélérer les procédures de « scan », certaines passerelles ne font que regarder les entêtes de certains fichiers. De là, pour les Black Hats, la tentation par exemple de changer un PK en MZ et faire ainsi passer un Zip en EXE, il n'y a qu'un pas. Surtout si le Zip en question est porteur d'une charge destructrice. Et ce n'est là qu'un exemple parmi quelques dizaines de variations sur le thème « mon document n'est pas celui que tu penses voir ». Et c'est une fois de plus Thierry Zoller, accompagné cette fois de Sergio Alvarez, tous deux sous la bannière NRuns, qui viennent de publier le résultat d'une étude technique sur la vulnérabilité des antivirus. Ou, pour être plus exact, la combinaison de deux problèmes majeurs : D'un coté, souhaitant en faire «beaucoup », les antivirus en font « trop », autrement dit doivent être capables de reconnaître un nombre de plus en plus élevé de formats de fichiers, de langages, d'interprète, afin de filtrer les bons documents de l'ivraie. Et comme le récent passé nous l'apprend, les « parsing engines » ne sont pas infaillibles. D'autant moins infaillibles qu'en empiétant dans des domaines autres que la chasse à l'infection (spywares, addwares, spam, filtrages divers des IM...), le nombre de protocoles à « connaître » sur le bout du « sensor » se multiplient d'autant. Plus une passerelle de filtrage est perfectionnée, plus son « parsing engine » est lourd, plus les chances d'y découvrir une faille sont élevée. C'est le « principe de la dangerosité des bimoteurs » d'IBM. Ce qui fait dire aux auteurs « The more you protect yourself the more vulnerable you become ». D'autre part, la façon dont s'exécutent ces programmes de protection donnent à une éventuelle charge utile un privilège au moins équivalent au contexte dans lequel la faille d'origine est située. Or, les antivirus ne travaillent pas franchement avec des droits de lampistes. Plus grave encore, ces antivirus agissent à tous les niveaux, se retrouvent partout : poste de travail, passerelle général d'entrée (souvent au sein même de l'IPS), sur certains serveurs -messagerie notamment-. Et l'accès à l'un de ces serveurs ouvre la voie à l'ensemble du réseau local. Et ce n'est pas en multipliant l'usage de plusieurs A.V. concurrents, nous expliquent les deux chercheurs, que l'on limitera les risques... bien au contraire. En pratique, NRuns devrait prochainement sortir une solution de son chapeau, désigné sous le nom de code « Parsing Safe ». Ce n'est probablement pas là une panacée digne du Sirop-Typhon, à moins que ledit Parsing Safe soit licencié à de plus grandes marques, et plus précisément les F-Secure, les Avast, les Eset, les C.A. et consorts. En attendant ce jour béni, il serait sage de considérer l'antivirus comme un « mal indispensable », une cuirasse nécessaire qui, comme toute cuirasse, a son défaut.
