Une épreuve de création de virus divise la communauté sécurité

Créer un code malveillant capable d'échapper à la vigilance de plusieurs antivirus : tel est l'objectif de la Race to Zero. Editeurs d'antivirus et experts en sécurité s'opposent à son sujet.

Jamais le fossé n'aura semblé aussi large entre, d'un côté, les éditeurs d'antivirus et, de l'autre, des chercheurs en sécurité bien décidés à employer des méthodes qui démangent.

Les différents mois du bug (navigateur, noyau, PHP, etc.) avaient déjà en leur temps suscité l'irritation des éditeurs de logiciels. Les partisans de la formule défendaient, eux, une volonté de souligner l'existence de vulnérabilités et entendaient donc encourager les éditeurs à s'attacher plus à la robustesse de leurs applications et à leur correction. La médiatisation jouant alors le rôle de stimulant.

L'objet de la discorde s'appelle cette fois-ci "Race to Zero". L'épreuve, qui aura lieu lors de la conférence Defcon en août prochain, consistera pour les participants, à partir de codes malveillants connus, à exploiter les techniques de leur choix pour échapper à la détection des moteurs antivirus. Les créations seront soumises, sur un portail, à un scan par l'ensemble des moteurs. Le gagnant sera celui capable d'esquiver toute détection.

Le programme créé devra toutefois respecter certaines conditions. Même si la souche d'origine peut être modifiée, la vulnérabilité pour laquelle il aura à l'origine été conçu devra toujours s'appliquer. Il devra fonctionnellement demeurer le même. L'accent est donc avant tout mis sur les techniques dites d'obfuscation.

"Cela ne servira qu'à démontrer une chose que tout le monde sait déjà" (F.Paget - McAfee)

Sur le site consacré à la Race to Zero, les organisateurs exposent leurs motivations. Ils rappellent en guise de préambule que la sécurité repose sur des processus en constante évolution. Quant à leurs buts, il s'agit de rassembler des données sur la difficulté pour les attaquants à éviter la détection, les coûts associés en termes de temps et d'argent (selon les techniques employées), le niveau de compétence requis et les techniques efficaces. Grâce à ces informations, il serait selon eux alors possible d'évaluer les domaines de défense sur lesquels investir prioritairement pour plus d'efficacité.

Les intentions ainsi annoncées par les organisateurs ne convainquent toutefois pas toutes les parties. Nombre de représentants d'antivirus sont d'ores et déjà montés au créneau. Il est vrai que l'épreuve semble a priori dirigée contre eux et non destinée à profiter à la recherche en faveur de la lutte antivirale. Pour le dirigeant de Kaspersky, Eugene Kaspersky, ce type de compétition ne fera même qu'encourager les créateurs de virus à développer les techniques d'obfuscation. Manifestement très remonté, il rappelle également qu'écrire des malwares est un délit.

François Paget, chercheur chez McAfee, se dit lui "plus étonné qu'embarrassé par la Race to Zero. Les Editeurs sont avant tout déçus que certaines personnes, soi-disant spécialistes de la sécurité, préfèrent jouer avec le feu et attaquent le problème par le mauvais bout. Depuis que la lutte existe, nous avons toujours fait passer le message selon lequel il était possible d'établir des défenses sans créer soi-même des virus".

"C'est un peu triste et finalement inutile puisque cela ne servira qu'à démontrer une chose que tout le monde sait déjà. La recherche virale par signature est loin d'être suffisante lorsqu'on souhaite mener une politique de protection du poste de travail. Nul besoin de concours pour démontrer que la détection par signature est faillible", poursuit le chercheur.

Il rappelle également que les logiciels se sont progressivement dotés de nouveaux modules de détection complémentaires, parmi lesquels l'analyse heuristique, comportementale, puis de type prévention d'intrusion. Mais malgré tout, aucun éditeur ne revendiquerait l'immunité absolue. Selon François Paget, le scan de souches modifiées lors de la Race to Zero ne testera que l'alerte par signature, et non les autres modes de contrôle des logiciels pourtant susceptibles d'informer un utilisateur d'un risque.

La Race to Zero semble donc cristalliser certaines critiques récurrentes à l'encontre des éditeurs d'antivirus, dont la porosité des protections. L'épreuve apparaît ainsi comme l'opportunité de mettre en demeure ces acteurs, à qui il est peut-être aussi reproché de vouloir trop souvent monopoliser la recherche sur les programmes malveillants. Pour certains chercheurs, cette pratique pourrait s'apparenter à de la sécurité par l'obscurité, pratique qui en matière de vulnérabilité a déjà démontré ses limites.

La question de la divulgation des failles continue d'ailleurs toujours de diviser, même si la divulgation responsable est un concept désormais répandu, reposant sur un accord entre éditeurs et chercheurs. La recherche en sécurité suscite néanmoins régulièrement des inquiétudes, notamment chez les offreurs de solutions qui peuvent parfois considérer que la publication de certains travaux et découvertes met en péril leurs utilisateurs et par ricochet leur image.