Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Quand une faille dans des antivirus permettait de contourner les défenses de Windows

Quis custodiet ipsos custodes?
Logiciel 3 min
Quand une faille dans des antivirus permettait de contourner les défenses de Windows
Crédits : billyfoto/iStock

Plus tôt dans l’année, une faille a été détectée par la société de sécurité enSilo dans plusieurs antivirus. Avertis, les éditeurs concernés ont tous corrigé la brèche depuis plusieurs mois. Cependant, le type de vulnérabilité est intéressant et montre comment certains mécanismes de sécurité de Windows peuvent être contournés.

La société israélienne enSilo, qui produit des outils de prévention contre les attaques informatiques, a repéré au printemps dernier une faille pratiquement commune à trois antivirus parmi les plus connus : AVG, McAfee et Kaspersky. Selon enSilo, la faille était critique : elle permettait à un pirate de viser une zone précise de la mémoire pour y retrouver à coup sûr des informations qui, une fois exploitée, pouvaient permettre de contourner certains mécanismes de défense intégrés à Windows.

Une même faille dans trois antivirus différents, tous mis à jour

La faille a été découverte en mars dernier quand l’un des produits de l’éditeur a détecté un souci dans une installation de la suite AVG Internet Security 2015. Un peu plus tard, le même problème a été trouvé dans les versions 2015 MR2 de Kaspersky Antivirus et Internet Security, ainsi que dans la version 8.8 de McAfee VirusScan Enterprise, d’Intel Security. À chaque fois, les produits se servaient d’une plage mémoire fixe – et donc prévisible – avec les permissions RWX (Read, Write, Execute).

Or, placer certaines informations sur une plage fixe casse l’une des protections les plus importantes dans Windows depuis Vista, à savoir l’ASLR (Address Space Layout Randomization). Ce mécanisme permet de placer en mémoire des éléments importants à des adresses choisies au hasard pour que les malwares ne sachent pas où chercher. Une autre protection, la DEP (Data Execution Prevention), empêche également l’exécution de code depuis des plages mémoires contenant des données. Là encore, la faille dans les produits de sécurité permettait de la contourner.

Dans tous les cas, cette brèche de sécurité a déjà été corrigée. AVG l’avait colmatée deux jours après avoir été averti par enSilo, tandis qu’Intel Security a diffusé un correctif le 26 août. Kaspersky a pris plus de temps et a mis à jour ses produits en septembre, mais non sans remercier copieusement enSilo, en particulier son attitude jugée « responsable ». Les détails de la faille ont en effet été transmis de manière discrète et n’ont jamais été révélés au public.

Windows, ses défenses et les logiciels tiers

La faille est en tout cas intéressante car elle illustre une situation connue depuis longtemps sous Windows : l’augmentation du nombre de mécanismes de sécurité ne peut compenser les libertés que prennent parfois les entreprises qui décident de développer leurs produits d’une manière dommageable pour l’utilisateur. C’est un constat valable par tous les éléments qui obtiennent des droits importants sous Windows, comme les antivirus justement, ainsi que les pilotes résidant (au moins partiellement) en espace noyau, comme les pilotes graphiques.

C’est d’ailleurs l’avis d’enSilo : « Ce type de vulnérabilité démontre clairement les problèmes dans l’écosystème de la sécurité. D’un côté, Microsoft investit lourdement dans des défenses, protections et améliorations pour renforcer son système contre les dangers. De l’autre, il y aura toujours une certaine forme de supervision dans les applications. Malheureusement, ce sont précisément les applications tierces vulnérables qui peuvent compromettre ces mêmes défenses ».

Ce sujet de réflexion est déjà ancien, mais explique les tentations des éditeurs de certains systèmes d’exploitation vers des environnements beaucoup plus contrôlés, comme ceux permis par les boutiques d’applications. Il existe de fait un curseur délicat entre la sécurité d’un côté, et le foisonnement applicatif de l’autre. Apple fait ainsi le forcing sur de nombreux points pour intégrer le Mac App Store, notamment l’utilisation obligatoire de la sandbox. Au risque finalement de provoquer la frustration et de faire fuire certains éditeurs, comme MacG l’analysait déjà en juin dernier.

187 commentaires
Avatar de KaKi87 Abonné
Avatar de KaKi87KaKi87- 15/12/15 à 07:38:36

Et c'est là que des commentaires vont surgir de partout :
« Windows c'est nul, lourd et plein de failles, vive Linux ! »

Comme toujours.

Avatar de NeoYoH INpactien
Avatar de NeoYoHNeoYoH- 15/12/15 à 07:39:54

Windows c'est nul, lourd et plein de failles, vive Linux !

Ah mince... ^^"

Mais bon on était déjà au courant que ce genre de faille pouvait exister, pas pour rien qu'il ne faut jamais considérer un système comme 100% sur.

Édité par NeoYoH le 15/12/2015 à 07:41
Avatar de Bill2 INpactien
Avatar de Bill2Bill2- 15/12/15 à 07:40:56

"Qui va regarder les observateurs ?"
Ça c'est une bonne question ...

Avatar de Ultramachin INpactien
Avatar de UltramachinUltramachin- 15/12/15 à 07:41:20

Windows c'est cool, optimisé et plein de ... (ho wait)

Avatar de Sheepux Abonné
Avatar de SheepuxSheepux- 15/12/15 à 07:42:58

Cela fait "assez longtemps" que ce genre de comportement n'est plus trop présent  ... m'enfin à s'en focaliser dessus c'est une longue histoire de frustration ? :roll:

Les AV ne sont ils pas signés numériquement ? Il me semblait que Ms avait mis en place un test automatique pour avoir la signature pour justement vérifier ce genre de ratés.

Édité par Sheepux le 15/12/2015 à 07:46
Avatar de Konrad INpactien
Avatar de KonradKonrad- 15/12/15 à 07:43:52

KaKi87 a écrit :

« Windows Les antivirus c'est nul, lourd et plein de failles »

:cap:

Avatar de Konrad INpactien
Avatar de KonradKonrad- 15/12/15 à 07:46:57

Sheepux a écrit :

Les AV ne sont ils pas signés numériquement ? Il me semblait que Ms avait mis en place un test automatique pour avoir la signature pour justement vérifier ce genre d'oublis.

Qu'est-ce que tu veux dire ?

Les drivers graphiques aussi sont vérifiés et signés numériquement, et ça ne les empêche pas de provoquer des écrans bleus quand ils sont foireux.

Une signature numérique ça confirme juste que c'est la bonne version du bon logiciel, qui provient de l'éditeur légitime (et pas un .exe chopé sur le Web qui ressemble à l'original). Mais ça ne vérifie pas l'absence de failles dans le logiciel...

Avatar de KaKi87 Abonné
Avatar de KaKi87KaKi87- 15/12/15 à 07:47:08

Les antivirus ça sert à rien, ça c'est sûr.

Avatar de Sheepux Abonné
Avatar de SheepuxSheepux- 15/12/15 à 07:52:49

Les écrans bleu sont liés à un problème de gestion d'exceptions c'est souvent au niveau relation proco./carte. On parle ici pas de plantage mais d'accès à la mémoire, ne pas confondre les problématiques :chinois:
Pour le cas de non gestion de l'ASLR + DEP, il me semblait que Microsoft avait mis en place un test automatique lors d'une demande de signature qui vérifie que le processus gère bien ces méthodes. Donc en gros test qualité (limité forcément...) en échange de signature pour une exécution avec droits plus élevés.

Avatar de KaKi87 Abonné
Avatar de KaKi87KaKi87- 15/12/15 à 07:53:35

Sheepux a écrit :

Cela fait "assez longtemps" que ce genre de comportement n'est plus trop présent  ... m'enfin à s'en focaliser dessus c'est une longue histoire de frustration ? :roll:

Il y a une grande partie des INpactiens qui sont fans de Linux et défenseurs du logiciel libre et je le respecte. Mais ces gens-là ont beaucoup tendance à rire de Windows quand ils entendent parler de failles de sécurité.

Windows (surtout 7) est un très bon OS et s'il plait à beaucoup de monde ce n'est pas que parce-qu'il est vendu avec la quasi-totalité des PC du marché, mais aussi parce-qu'il est plus orienté grand public que Linux.

Et certains devraient arrêter de râler un peu.

Il n'est plus possible de commenter cette actualité.
Page 1 / 19