Vista décortiqué et piraté durant la conférence Black Hat

Passez-moi la clef de 12 79
black hatComme prévu la conférence Black Hat est passée, et comme prévu Vista a été ausculté par tout un ensemble de personnes qu'intéresse la sécurité du nouveau système d’exploitation. L’impression a été globalement bonne même si certains points ont été relevés et si, toujours comme prévu, une démonstration de la fameuse Blue Pill a été effectuée avec les résultats avancés par son auteur, Joanna Rutkowska.

L’avis qui revenait le plus souvent était effectivement que Microsoft avait clairement amélioré la sécurité de son système. Mais comme Joanna Rutkowska l’avait promis, une démonstration a été faite de son rootkit exploitant la technologie de virtualisation Pacifica d’AMD. Elle a donc prouvé devant une salle très bien remplie qu’elle ne mentait pas puisque l’ensemble de sa démonstration fut concluant.

Pour rappel, Blue Pill est un genre nouveau de rootkit qui utilise Pacifica pour se cacher au fin fond du système. Il n’y a là aucune exploitation de bug, mais un cas de figure qui n’a, a priori, pas été prévu par le géant du logiciel. Le tout se passe sous la version 64 bits de Vista qui inclut un mécanisme interdisant aux pilotes non signés de fonctionner. La démonstration de Joanna Rutkowska consistait donc à passer outre cette protection et à montrer qu’il était possible de créer des pilotes malveillants.

L’experte en sécurité polonaise, travaillant pour la société Singapourienne Coseinc a expliqué : « Le fait que le mécanisme de sécurité ait été dépassé ne signifie pas que Vista soit totalement insécurisé. Il n’est simplement pas aussi sécurisé que ce que Microsoft le dit. Il est très difficile de concevoir une protection du noyau 100% efficace. »

L’ensemble de la manipulation implique cependant l’utilisation d’un compte administrateur. En d’autres termes, la démonstration est plus difficile à réaliser sous un compte normal protégé par l’UAC (User Account Control). Cependant, comme le précise Joanna Rutkowska, il n’est finalement demandé que de cliquer sur « Accepter » quand la boite de dialogue apparaît pour demander si l’action peut être exécutée.

Ce mécanisme de l’UAC, tant critiqué jusqu’à présent, a fait revoir ses plans à Microsoft qui travaille actuellement à rendre le mécanisme beaucoup plus transparent pour la sortie de la Release Candidate qui doit arriver durant ce trimestre. Le danger inhérent à la multitude de fenêtres apparaissant pour confirmer les actions est lié à la lassitude que pourrait ressentir l’utilisateur. Si ces fenêtres sont trop fréquentes, l’utilisateur finira en effet par cliquer sur « Accepter » sans même se poser plus de questions.

Joanna Rutkowska a rappelé que si elle a utilisé l’édition 64 bits de Vista et Pacifica pour les besoins de sa démonstration, elle aurait pu tout aussi bien prendre n’importe quel système d’exploitation utilisant l’architecture AMD64. Il n’y a de faille ni dans Vista ni même dans Pacifica, mais Microsoft a annoncé travailler avec les fabricants de matériel pour ne pas être confronté au problème lors de la sortie de la version finale.
Par Vincent Hermann Publiée le 07/08/2006 à 09:34 - Source : CNet
Publicité