Les virus ? Mettez-les en quarantaine !

Une fois encore, la manière même de fonctionner d’un logiciel Microsoft devient le centre d’un débat sur la sécurité. Selon nos confrères de VNUnet.com, un « chasseur de bugs » bulgare, Georgi Guninski, affirme avoir découvert une faille de sécurité qui ferait que la simple ouverture d’un document Office pourrait entraîner le lancement d’un programme nuisible au système.

Dans une alerte publiée sur le site BugTraq spécialisé dans les problèmes de sécurité, Georgi Guninski expose :« Si certaines DLL sont présentes dans le répertoire courant et que l’utilisateur double-clique sur un document Office, ou qu’il le lance par l’intermédiaire de la commande ‘Exécuter’, alors les DLL sont également lancées. Ce qui permet conséquemment le lancement d’un programme non voulu qui pourrait, par exemple, prendre le contrôle de l’ordinateur de l’utilisateur ». Et de citer « riched20.dll » et « msi.dll » comme deux fichiers particulièrement vulnérables.

Microsoft cherche à minimiser le risque en expliquant notamment qu’il faudrait piéger l’utilisateur en lui faisant lancer une « DLL » non valide dans le même répertoire qu’un document Office. « Ce qui est tout de même très difficile » a indiqué un des responsables du Microsoft’s Security Response Center à nos confrères anglais.

Pourtant, les experts en sécurité ne sont pas aussi optimistes. Et l’un d’eux conseille de mettre en place un système de quarantaine, pour isoler tous les fichiers DLL qui pourraient arriver dans l’entreprise par l’intermédiaire de fichiers joints de courrier électronique. En effet, rien n’empêche un pirate d’envoyer un document Office quelconque en même temps qu’une DLL « cheval de Troie ». Les deux éléments se retrouvent donc liés et potentiellement dangereux.

Ce système de quarantaine est l’un des principes de base de la dernière version de ViGuard, l’antivirus du Français Tegam. C’est d’ailleurs une fonction « qui nous a été demandée par beaucoup d’administrateurs », nous a indiqué Eyal Dotan, le concepteur de ViGuard. Très différent des antivirus classiques, qui reconnaissent les virus en les comparant à une base de signature, ViGuard effectue une analyse « comportementale » qui, sans identifier formellement le virus, est tout de même capable de reconnaître un danger potentiel. Résultat, ViGuard n’a pas besoin de mise à jour.

En cas de danger potentiel, le fichier est mis en quarantaine, c’est-à-dire qu’il est isolé du système et ne peut donc l’attaquer. Et l’un des réglages par défaut de ViGuard 9, que certains trouvent d’ailleurs trop strict, est de mettre en quarantaine tout fichier en pièce jointe. « Le système est avant tout destiné à procurer une sécurité maximale », explique encore Eyal Dotan. « Il est très facile de désactiver certaines protections, si on le souhaite. ViGuard est également conçu pour fonctionner en réseau de telle façon que, par exemple, l’administrateur de l’entreprise soit prévenu de l’arrivée d’un mail suspect, sans laisser à l’utilisateur le loisir d’en ouvrir la pièce jointe ». Il faut rappeler que la version précédente de ViGuard a été la seule à être capable de stopper le fameux « I love you » (voir édition du 9 mai 2000). ViGuard 9 est vendu 490 francs TTC en version monoposte et Tegam propose des prix dégressifs en fonction de la quantité souhaitée.

Pour en savoir plus :

Tegam