Symantec épinglé pour n'avoir pas assez communiqué... dans l'urgence
Par JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0306/030630_symantec.shtml
Lancer l'impression

Lundi 30 juin 2003

En savoir plus
Quand un éditeur d'anti-virus comme Symantec est épinglé pour cause de faille dans son propre système, experts en sécurité et analystes spécialisés le vouent aux gémonies si toutes les dispositions ne sont pas prises pour réparer rapidement et exhaustivement l'erreur commise.

Lundi dernier, le leader mondial des anti-virus a diffusé une alerte destinée à la communauté des professionnels de la sécurité sur la très célèbre liste Budtraq, indiquant que le problème constaté était corrigé. Mais la polémique enfle car Symantec se voit reprocher de ne pas avoir suffisamment communiqué auprès de ses utilisateurs sur ce point.
L'éternel dépassement de buffer en cause
C'est un des composants ActiveX utilisés par le module de Symantec appelé "Security Check" qui est en cause. La faille provoquée par cet élément défaillant peut permettre à un attaquant de générer un dépassement de tampon (buffer overflow) dans une des classes du système (Symantec RuFSI Utility Class) et par là même de prendre le contrôle d'un ordinateur à distance tout en y exécutant n'importe quel logiciel.
Le ver Sobig.e se propage
La version "e" du ver Sobig se propage actuellement. D'un niveau de danger moyen, le ver se sert de son propre moteur SMTP pour envoyer aux destinataires du carnet d'adresses du poste infecté une copie de lui-même. Il se diffuse sous forme de pièce attachée "zipée".
Même si la faille a été réparée et même si les utilisateurs du module Security Check sont désormais hors de danger - à partir du moment où ils déclenchent la vérification de leur poste (le scan) -, il n'en reste pas moins vrai que ceux qui n'ont pas effectué cette dernière opération restent vulnérables à une attaque potentielle, quand bien même ils disposeraient du nouveau composant ActiveX. Les internautes ont donc été invités par l'éditeur à réaliser le plus rapidement possible une nouvelle vérification de leur système à l'aide de Security Check.

Communication insuffisante ou absence de temps de réaction ?
Ce qui énerve passablement nombre de spécialistes de la sécurité, c'est que parmi les millions d'utilisateurs du service de Symantec, tous ne vont pas réaliser un scan de leur poste rapidement, prolongeant d'autant leur période de vulnérabilité. Des attaques en masse sont donc virtuellement possibles, par le biais de virus ou de vers spécialement conçus pour cela, ou même à partir de simples sites Web. Ces spécialistes auraient souhaité que Symantec diffuse de manière beaucoup plus large l'information relative à la faille.
En savoir plus
Mais les règles généralement pratiquées dans le milieu de la sécurité ne semblent pas avoir été respectées. Il est en effet d'usage, quand on découvre une faille, de prévenir directement l'éditeur d'anti-virus incriminé et de lui laisser une période de 30 jours avant que l'information ne soit publiquement diffusée. Ce délai n'a purement et simplement pas été accordé par Cesar Cerrudo, le chercheur ayant mis à jour la faille, ce qui aurait pu permettre à Symantec de réparer l'erreur sans que quiconque ne soit au courant - clients comme pirates...

 [Fabrice Deblock, JDNet]

Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
 Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE