Visite chez Avast : la communauté au premier plan

image dediée
Logiciel AVAST LOCAUX PRODUITS COMMUNAUTÉ
La sécurité actuelle selon Avast

L'éditeur tenait à nous faire faire le tour de la sécurité actuelle, vue à travers ses propres yeux. L'occasion de confirmer certaines évolutions ou de donner quelques coups de pied dans la fourmilière.

 

Le tout-puissant Flame

 

Avast est d'abord revenu sur le malware Flame. Nommé aussi Flamer et Skywiper, il a été trouvé par hasard dans un premier temps par l’Iran CERT puis par Crysys et Kaspersky. Pour Avast, Flame est une menace particulière car elle n’est pas considérée comme générale, bien que puissante en elle-même. Très ciblée, elle se signalait notamment par une taille très importante (20 Mo) et sa capacité à se suicider.

 

L’éditeur s’est par ailleurs copieusement moqué de la couverture médiatique, ou même celle de Kaspersky qui le présentait comme le plus puissant malware jamais découvert par ses services. Cependant, Avast confirme certaines informations précédemment données, justement par Kaspersky : la connexion historique à Stuxnet et le probable soutien par un ou plusieurs gouvernements. A été relevée également la capacité de Flame à se servir d’un vrai-faux certificat Microsoft pour s'intercaler entre un parc informatique et les serveurs de Windows Update, afin de se faire passer pour ce dernier (MitM, Man in the Midle).

 

Avast estime que l’une des caractéristiques les plus intéressantes de Flame est justement sa façon de se placer « au milieu ». Il peut ainsi « spoofer » les requêtes de configuration proxy puis rediriger le trafic vers ses propres serveurs. À partir de là, les auteurs de Flame peuvent diffuser des exécutables « signés » par Microsoft pour qu’ils puissent s’installer sur des machines Windows 7, même à jour. Avast confirme en outre l’extrême degré de sophistication de l’attaque permettant de générer un certificat authentique (attaque par collision). Flame est à ce jour le seul malware à procéder ainsi.

 

Mais Avast tenait à marteler son message : en dépit des annonces cataclysmiques entourant Flame, « le ciel n’est pas en train de s’écouler ». Traduction : l’ère des antivirus n’est pas terminée.

 

En dehors du cas de Flame, l’évolution des méthodes d’infection des malware suit la même évolution : le web. Le grande majorité provient de pages web infectées, le plus souvent sans que les auteurs/détenteurs/hébergeurs soient au courant. Ces pages contiennent des méthodes d’exploitation de failles, qu’il s’agisse du système d’exploitation, du navigateur ou d’autres produits. Aujourd’hui, avec 2,75 millions de sites infectés, la Russie est clairement le pays le plus touché par le phénomène.

 

Des efforts à faire pour Apple et toujours plus de malwares pour Android

 

Le Mac a eu ensuite son encarté durant la présentation. Avast est particulièrement revenu sur le cas de Flashback. Ce malware, qui a touché plus de 600 000 machines, a mis en avant des faiblesses du côté d’Apple dans la gestion de la sécurité. Ainsi, la faille Java qui était exploitée était en fait corrigée par Oracle depuis des mois, mais pas répercutée. Avast déplore l’attitude globale des utilisateurs Mac vivant dans le « déni », mais note qu’Apple prépare plusieurs modifications intéressantes, notamment pour les mises à jour de sécurité.

 

Android, enfin, vit une recrudescence du nombre de malwares le visant lui ou ses applications. Les sas de validation permettent facilement à un auteur de virus de distribuer une application malveillante sur Google Play (boutique officielle d’Android). Les boutiques tierces jouent en outre une part non négligeable dans le phénomène. Aujourd’hui, un total de 25 000 samples (échantillons) a été découvert.

 

Avast note tout de même que la propagation des virus sur Android ne vient pas de choix techniques, mais de l’ouverture de la plateforme. Comme dans le cas des Mac, la perception du matériel influe notoirement l’attitude des utilisateurs. En l'occurrence, les smartphones ne sont as encore considérés pour ce qu’ils sont : des petits ordinateurs. Pourtant, et toujours selon l’éditeur, les malwares pour Android reprennent le plus souvent des méthodes éprouvées sur ordinateur.

 

Avast note particulièrement le cas des faux logiciels sur Android. Cela touche notamment les produits de sécurité, qui se font passer pour des antivirus ou des suites complètes. Dans la plupart des cas, ces applications volent des données. Ces « fakes » se retrouvent souvent sur les boutiques tierces et il peut s’agir d’éléments aussi triviaux que des thèmes pour le Launcher.

 

Navigateurs

 

Avast constate que la sécurité des navigateurs est globalement exécrable. L’éditeur n’a pas pour l’instant constaté que Chrome était passé en tête : Internet Explorer est toujours le premier (35 % contre 31). 

 

Cela étant, et même si Internet Explorer aurait toujours des failles non corrigées exploitables à distance, les plus graves soucis de sécurité ne résident pas forcément dans les navigateurs eux-mêmes. Ainsi, seul un tiers des utilisateurs disposent de la dernière version de Flash, et moins de 20 % le dernier Java. Il s’agit de vecteurs importants d’attaques (comme Flashback).

 

Bien évidemment, la pornographie est un autre vecteur très puissant d’insécurité. De nombreux liens auto-publiés sur Twitter et Facebook mènent vers des sites malveillants. L’une des méthodes d'attaques les plus courantes est de demander à l'utilisateur d’installer un lecteur Flash spécifique pour lire des « sextapes » d’actrices connues. Il s’agit alors d’un fichier XPI pour Firefox, CRX pour Chrome ou BHO pour Internet Explorer.

 

avast

 

Enfin, la sécurité sur le web ne dépend en outre pas forcément du navigateur ou même de l’attitude des utilisateurs. Avast note la recrudescence actuelle de larges fuites de mots de passe : LinkedIn, eHarmony ou encore last.fm. L’éditeur se montre particulièrement acide sur le peu de cas fait par certains sites des règles élémentaires de sécurité, comme un véritable chiffrement des données.

 

L’occasion de rappeler quelques conseils de base : la force d’un mot de passe repose davantage sur la longueur que sur son apparente complexité, les informations personnelles sont à proscrire (date de naissance, nom de jeune fille, mots du dictionnaire, etc.), et il ne faut surtout jamais réutiliser les mêmes mots de passe pour plusieurs sites.

par Vincent Hermann Publiée le 02/07/2012 à 12:42