Les solutions d'anti-virus ne sont pas épargnées
par les failles et autres vulnérabilités critiques.
Une récente étude du cabinet Yankee Group, a par
ailleurs révélé que la croissance de la
découverte de failles et de vulnérabilités
au sein des logiciels anti-virus est plus grande que dans d'autres
environnements informatiques.
Comme l'explique Philippe Bourgeois, expert sécurité au Cert-IST,
centre d'alerte et de réaction aux attaques informatiques destiné
aux entreprises françaises : "les failles et les vulnérabilités
surviennent de façon régulière et ont récemment concerné les
attachements de mail zip, rar, bz2
il existe cependant une
particularité des logiciels anti-virus, en ce sens qu'ils doivent
analyser les pièces jointes et, possèdent donc plus de
risques potentiels d'avoir des failles que d'autres types de
logiciels".
Les
principaux acteurs du marché de la sécurité
ont d'ores et déjà été touchés
comme F-Secure, Kaspersky, Sophos, Symantec et Trend Micro,
sans compter d'autres, de taille plus modeste, comme Alwil Software.
Le secteur Open-Source est également atteint, comme le
prouve les récentes vulnérabilités découvertes
au sein de la solution ClamAV.
"il existe principalement 2 sortes de vulnérabilité, l'attaque
par deni de service (DoS), pouvant saturer l'espace disque de
l'antivirus et l'empêcher de fonctionner comme cela a été le
cas avec les attaques de type zip of death, et celle
du débordement de mémoire tampon ou buffer overflow,
qui permet d'exécuter des commandes arbitraires", précise
Philippe Bourgeois.
F-Secure et Trend Micro ont fait état en février
dernier de vulnérabilités similaires, n'ayant
pour seul point commun le fait que les risques provenaient d'une
malformation d'entêtes des archives permettant d'être
exploitée à distance par une personne malveillante.
L'éditeur Sophos a, de son côté, été
touché à deux reprises au courant du mois de juillet,
par une vulnérabilité de type deni de service
(DoS) d'une part, et de buffer overflow d'autre part.
Elles ont notamment concerné Sophos Anti-virus (Windows
et Mac) ; l'éditeur a par ailleurs recommandé
de passer à la version supérieure, notamment la
4.5.4, exempte de failles de sécurité à
ce jour.
De
marché ou Open-Source, toutes les solutions anti-virus
sont en proie aux failles de sécurité |
La vulnérabilité identifiée dans Kaspersky AntiVirus, dans sa
version pour Windows 2000 en mai dernier, résidait, elle,
dans un code défaillant au niveau du pilote "klif.sys",
offrant la possibilité d'exécuter des commandes non autorisées,
tandis que Mc Afee a aussi été en proie à
une faille critique, découverte par l'institut de veille
spécialisé iDefense, basée sur la technique
de buffer overflow. Elle a concerné le produit
McAfee Internet Security Suite 2005.
Du côté de Symantec, une vulnérabilité critique
a été identifiée en tout début d'année 2005 dans
plusieurs produits de l'éditeur. La faiblesse issue de
la librairie DEC2EXE, a provoqué des anomalies ayant
un impact lors de la décompression de fichiers, donnant
une nouvelle fois la possibilité à un utilisateur
distant d'exécuter des commandes non autorisées.
Les vulnérabilités ne concernent pas uniquement
les grands éditeurs du marché. Alwil Software,
éditeur tchèque de l'anti-virus Avast!, a découvert
deux vulnérabilités dans son logiciel. La 1ère,
dite directory traversal, est occasionnée lors
du processus de décompression d'un fichier attaché,
alors que la seconde est, tout comme celle de Sophos, de type
buffer overflow.
Les solutions du marché ne sont cependant pas les seules
à être atteintes. Plusieurs vulnérabilités
ont en effet été découvertes fin juillet
dans le logiciel ClamAV, anti-virus Open-Source. Là encore,
la technique de buffer overflow permet à une personne
malveillante d'infecter la machine de l'utilisateur ayant installé
le logiciel dans sa version 0.86.1.
La recrudescence actuelle en matière de failles et de
vulnérabilités critiques découvertes dans
les solutions anti-virus semble toutefois concerner qu'une partie
des machines équipées d'anti-virus, comme le fait
remarquer Philippe Bourgeois :
"Une des tendances actuelles identifiées par le
cert-IST réside dans le fait que les attaques concernent
davantage les utilisateurs finaux, plutôt que les serveurs
d'entreprise par la multiplication des chevaux de troie et des
key loggers". |