Pour gérer vos consentements :
Categories: Régulations

Sécurité IT : les antivirus sont aussi vulnérables

Il y a quelques mois, un dirigeant de Symantec avait expliqué que l’antivirus était mort. Une phrase aussitôt modérée en expliquant qu’un antivirus seul ne pouvait pas lutter efficacement contre les  menaces. Le chercheur Joxean Koret, de la société Coesinc basée à Singapour, en rajoute une couche en concluant que la majorité des antivirus comporte des vulnérabilités plus ou moins importantes.

Sa démonstration a été faite lors de Syscan 360, une conférence sur la sécurité à Pékin au début du mois de juillet. Il a passé au crible 17 antivirus et leurs moteurs et a découvert des failles importantes dans 14 d’entre eux.

Parmi les produits mis en avant, il y a Avast, Bitdefender, Avira, Panda, AVG, Comodo, ClamAV, DrWeb, ESET, F-Prot, F-Secure et eScan. Une mention spéciale est accordée pour les 4 premiers qui comprennent plusieurs failles locales et exploitables à distance importantes.

Dans la plupart des cas, le chercheur a informé les éditeurs pour qu’ils corrigent les différents bugs trouvés. Il salue les initiatives de certains comme Avast qui a un programme (Bug Bounty) pour traquer les vulnérabilités.

Cependant, Joxean Koret développe son analyse et pointe du doigt les différentes faiblesses des antivirus. Leur installation accorde des privilèges administrateurs aux utilisateurs et les pilotes accèdent au noyau du système d’exploitation. Il poursuit en expliquant que les mises à jour des produits ne sont pas signées et leur téléchargement s’effectue en http. Une attaque de type Man in the Middle peut dès lors être possible en HTTPS et donner la possibilité aux attaquants de prendre le contrôle des machines.

Par ailleurs, la majorité des antivirus sont codés en C, un langage jugé obsolète par l’expert et soumis à des attaques en corruption de mémoire (débordement de tampon mémoire).

Il constate aussi que la plupart des antivirus embarquent certes des mesures défensives comme ASLR (Address Space Layout Randomisation), mais d’autres fonctions comme DEP (Data Execution Prevention) pour empêcher l’exécution de code se retrouvent parfois désactivées ou invisibles pour l’utilisateur, souligne Silicon.fr.

En conséquence, Joxean Koret souligne que « si ces applications s’exécutent avec des privilèges les plus élevés, installe des pilotes dans le noyau de l’OS, filtre les paquets et gère tout ce qu’un ordinateur doit faire, la surface d’attaque augmente de manière spectaculaire ».

Dans sa présentation, il donne quelques pistes de réflexion pour améliorer la sécurité des antivirus, comme de faire tourner du code jugé dangereux dans un émulateur ou une machine virtuelle.

Il préconise aussi l’audit des antivirus sur le code des moteurs, ainsi qu’en utilisant le fuzzing, un test de données aléatoires pour vérifier les logiciels. Il rappelle de ne pas utiliser les élévations de privilèges pour scanner des paquets ou vérifier des fichiers. Il conclut en s’interrogeant : « Pourquoi est-il plus difficile de mener des exploits sur les navigateurs que sur les produits de sécurité ? »

Quizz ITespresso.fr : Connaissez-vous la technologie OLED ?

Crédit image : rvlsoft-Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

16 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago