Il y a quelques mois, un dirigeant de Symantec avait expliqué que l’antivirus était mort. Une phrase aussitôt modérée en expliquant qu’un antivirus seul ne pouvait pas lutter efficacement contre les menaces. Le chercheur Joxean Koret, de la société Coesinc basée à Singapour, en rajoute une couche en concluant que la majorité des antivirus comporte des vulnérabilités plus ou moins importantes.
Sa démonstration a été faite lors de Syscan 360, une conférence sur la sécurité à Pékin au début du mois de juillet. Il a passé au crible 17 antivirus et leurs moteurs et a découvert des failles importantes dans 14 d’entre eux.
Parmi les produits mis en avant, il y a Avast, Bitdefender, Avira, Panda, AVG, Comodo, ClamAV, DrWeb, ESET, F-Prot, F-Secure et eScan. Une mention spéciale est accordée pour les 4 premiers qui comprennent plusieurs failles locales et exploitables à distance importantes.
Dans la plupart des cas, le chercheur a informé les éditeurs pour qu’ils corrigent les différents bugs trouvés. Il salue les initiatives de certains comme Avast qui a un programme (Bug Bounty) pour traquer les vulnérabilités.
Cependant, Joxean Koret développe son analyse et pointe du doigt les différentes faiblesses des antivirus. Leur installation accorde des privilèges administrateurs aux utilisateurs et les pilotes accèdent au noyau du système d’exploitation. Il poursuit en expliquant que les mises à jour des produits ne sont pas signées et leur téléchargement s’effectue en http. Une attaque de type Man in the Middle peut dès lors être possible en HTTPS et donner la possibilité aux attaquants de prendre le contrôle des machines.
Par ailleurs, la majorité des antivirus sont codés en C, un langage jugé obsolète par l’expert et soumis à des attaques en corruption de mémoire (débordement de tampon mémoire).
Il constate aussi que la plupart des antivirus embarquent certes des mesures défensives comme ASLR (Address Space Layout Randomisation), mais d’autres fonctions comme DEP (Data Execution Prevention) pour empêcher l’exécution de code se retrouvent parfois désactivées ou invisibles pour l’utilisateur, souligne Silicon.fr.
En conséquence, Joxean Koret souligne que « si ces applications s’exécutent avec des privilèges les plus élevés, installe des pilotes dans le noyau de l’OS, filtre les paquets et gère tout ce qu’un ordinateur doit faire, la surface d’attaque augmente de manière spectaculaire ».
Dans sa présentation, il donne quelques pistes de réflexion pour améliorer la sécurité des antivirus, comme de faire tourner du code jugé dangereux dans un émulateur ou une machine virtuelle.
Il préconise aussi l’audit des antivirus sur le code des moteurs, ainsi qu’en utilisant le fuzzing, un test de données aléatoires pour vérifier les logiciels. Il rappelle de ne pas utiliser les élévations de privilèges pour scanner des paquets ou vérifier des fichiers. Il conclut en s’interrogeant : « Pourquoi est-il plus difficile de mener des exploits sur les navigateurs que sur les produits de sécurité ? »
Quizz ITespresso.fr : Connaissez-vous la technologie OLED ?
Crédit image : rvlsoft-Shutterstock.com
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…