Spécial sécurité : l'efficacité contestée des antivirus

Sommaire

- 1 - Les antivirus efficaces dans 3 % des cas ?

- 2 - Bluetooth, imparfaites bonnes pratiques

- 3 - 951306 sera absolu ou ne sera pas

- 4 - Routeurs Alice, ftp et telnet en libre service

1) Les antivirus efficaces dans 3 % des cas ?

Certaines interprétations statistiques peuvent conduire à de très intéressantes conclusions. Secunia s’est penché sur les principaux outils de « protection globale » et autres « intégrés de sécurité » portant étiquette McAfee, Norton, Microsoft, ZoneAlarm, AVG, Computer Associates, F-Secure, Trend Micro, BitDefender, Kaspersky et Norman. Non pas, comme il est d’usage, pour vérifier s’ils étaient capables de réagir à la présence d’une collection de virus connus, mais en les testant à l’aide d’exploits originaux reposant sur des failles publiées, connues et réputées dangereuses. 144 fichiers forgés ou intégrant un exploit, 156 pages Web franchement faisandées... somme toute, les mêmes armes que l’on rencontre du côté des inséminateurs de spywares et autres rootkits.

Le « meilleur de la classe », Norton réagit dans 21 % des cas. Les autres suivent loin derrière, capables de bloquer environ 2 à 3 % des attaques, certains mêmes ne réagissant dans aucun des cas.

Il ne s’agit pas, insistent les auteurs de cette étude, de considérer les antivirus comme d’inutiles extensions. Les virus à signatures « connues » existent bel et bien et constituent une véritable menace. Mais il est étrange que ces outils de protection périphériques présentés comme autant de « solutions de sécurité uniques et universelles » soient incapables de réagir face à l’exploitation d’une faille classée au hit-parade des CVE. « La meilleure des solutions est encore l’application attentive des rustines, correctifs et autres mesures de contournement. Au moins, c’est gratuit et, pour l’instant, plus efficace qu’un antivirus du commerce », conclut en substance et fielleusement le rapport danois.

Rappelons que Secunia « offre » un outil gratuit d’inventaire de failles assez complet. Le seul produit concurrent, longtemps en phase de pré-version et qui était accessible sur le site F-Secure, a disparu depuis peu des pages de cet éditeur. Microsoft, pour sa part, propose un outil d’origine Schavlik à qui il ne manque que la parole : hors des frontières des productions purement Microsoft, il est incapable de détecter une absence de mise à jour Adobe, un RealPlayer dépassé par les ans, ou un Firefox qui des ans a subi l’irréparable outrage.

2) Bluetooth, imparfaites bonnes pratiques

Le NIST vient d’éditer un livre blanc des bonnes pratiques intitulé «  Guide to Bluetooth Security ». Une série de conseils avisés concernant l’usage des oreillettes, liaisons séries et autres synchronisations utilisant ce genre de liaison radio. La totalité de ces préceptes sont sages… mais ne peuvent hélas pas toujours être respectés, voire prétendre à la moindre efficacité. « Tenez-vous éloigné des fenêtres, fuyez les lieux publics lorsque vous tentez d’appairer deux équipements Bluetooth, utilisez des « pin-codes » longs, inscrivez les équipements Bluetooth dans la stratégie sécurité de l’entreprise, diminuez la puissance d’émission lorsque cela s’impose… » Autant de bonnes pratiques parfois difficiles, parfois impossibles à tenir compte tenu des limitations de la norme, de l’ergonomie des périphériques… et du fait qu’il s’agit d’un équipement radio, avec ses défauts et ses qualités intrinsèques.

Thierry Zoller, le chercheur luxembourgeois et auteur de BTCrack, estime également que ce document comporte certaines lacunes et remarque qu’il ne s’est pas penché sur cette technologie depuis fort longtemps. « Peut-être serait-il temps que je me remette à creuser le sujet » conclut-il.

3) 951306 sera absolu ou ne sera pas

Rebondissement de l’affaire 951306, le bulletin de sécurité « revu et corrigé » qui a fait l’objet d’une publication d’exploit de la part de Cesare Cerrudo. Après la divulgation de cette preuve de faisabilité, « qui peut être contrée si l’on applique les conseils précisés dans la notice d’alerte » (dixit Bill Sisk du MS Response Team), on pouvait se poser la question : fera ou ne fera pas partie du prochain « patch Tuesday » attendu cette nuit. Tout bien considéré, ce sera « non ». Dustin, du MSRT, se fait le porte-parole de l’équipe et affirme que la correction propre et efficace de cette faille exige des reprises de code assez complexes, qui ne peuvent être effectuées dans les 24 heures qui suivent. La suite en novembre prochain… peut-être.

4) Routeurs Alice, ftp et telnet en libre service

Les routeurs AliceGate2plus (disponibles en France) sont, affirme drpepperONE sur la liste Full Disclosure, susceptibles d’être piratés via une backdoor pratiquée dans le firmware dudit équipement. Ce modèle de modems-routeur ADSL, simplifié à l’extrême pour ne pas trop compliquer la vie des usagers, n’offre aucun paramètre de verrouillage telnet/ftp/tftp depuis l’interface d’administration Web de l’appliance. Cette vulnérabilité n’est toutefois pas franchement alarmante, puisque l’activation de ces fonctions plus que dangereuses n’est possible qu’à partir du réseau local.