dimanche 25 octobre 2009

Les antivirus : faciles à attaquer

Les antivirus servent à protéger un ordinateur contre des attaques de virus. Pas toujours. Et surtout, ils ne savent pas se défendre contre des attaques visant à les empêcher de fonctionner !

Les désactiver est à la portée de spécialistes. Et pas besoin d'y passer la journée !

C'est ce que vient de démontrer le concours organisé ce week end à Laval. Réalisé dans le cadre du colloque iAWACS( International Alternative Workshop on Aggressive Computing and Security) et organisé par Eric Filiol, (Directeur de la recherche de l’ESIEA et du laboratoire de cryptologie et virologie opérationnelles) de l'ESIEA (Ecole Supérieure d’Informatique Electronique Automatique).

Il s'agissait d'un concours chronométré visant à vérifier les capacités de différents antivirus à se défendre. Une première mondiale !

Le résultat est inquiétant. L'antivirus de McAfee a été mis hors d'usage en 1 minute et 56 secondes ! Norton de Symantec a explosé au bout de 4 minutes et GData au bout de 5 minutes et 14 secondes. AVG a tenu un quart d'heure. NOD32 a craqué au bout de 33 minutes, Kaspersky n'a pas été au-delà de 40 minutes.

Le grand vainqueur est l'antivirus russe DrWeb qui n'a pas pu être désactivé. Coté expert, c'est le français Christophe Devine qui a révélé tout son talent en remportant à chaque fois le challenge.

Quelles conclusions en tirer ?

1-Les antivirus ne sont donc pas inviolables
2-Leur désactivation, aussi facile (tout est relatif bien sûr...), montre que les entreprises et les particuliers sont à la merci d'attaques virales alors qu'elles se croient protégées par ce logiciel.
3-DrWeb 5.0 n'est pas l'antivirus parfait. Ca n'existe pas et ca n'existera jamais. Mais, au moins, cet antivirus risque d'être moins facilement attaqué et donc désactivé. Un pirate mettra donc plus de temps pour en venir à bout afin de placer un code malveillant sur votre ordinateur ou votre réseau...
4-La protection à 100% n'existe pas. L'utilisateur doit rester vigilant et être un brin "parano" : changer régulièrement de mot de passe (qui doit être difficile à trouver), ne pas mettre ses yeux dans le même panier, multiplier les sauvegardes sur différents supports non connectés au web...

Pour Eric Filiol, "il faut montrer que ces produits ne tiennent pas très longtemps. La solution est ailleurs : choisir les produits les moins faibles, mettre l'homme au cœur de la politique AV et de sécurité. Bref, revenir à plus de raison et rejeter l'idée que la sécurité est juste une question de produits. C'est une question d'état d'esprit. A ce jour seul les hackers l'ont... malheureusement".

ACTUALISATION :
De retour de Chine, Boris Sharov, Pdg de Doctor Web, explique les spécificités de son antivirus : «Pour les développeurs de notre logiciel,  il a toujours été primordial de créer des mécanismes de protection de la mémoire. Nous y travaillons depuis plus de 10 ans. Résultat, notre technologie nous permet de résister aux attaques - ce qui a été prouvé par ce concours - mais aussi à détecter les virus qui  n'existent qu'en mémoire sans jamais prendre une forme de fichier. On reste toujours le seul produit capable de le faire ».

A suivre :

- 4 questions à Christophe Devine.

4 commentaires:

  1. je suis tout à fait d'accord avec vous bravo pour ce blog

    daz de Paris

    RépondreSupprimer
  2. Au final cet article flingue tous les comparateurs de test antivirus effectué par la plupart des sites web.............hum.
    Moi perso je le prendrais pas.

    RépondreSupprimer
  3. Et quel choix as tu ?
    Une googlisation nous retourne les comparatifs faits par des sites connus : 01net, clubic, commentcamarche et consors.
    Entre rien et quelque-chose, je préfère quelque chose même si l'utilisateur final est au coeur du système de sécurité.
    En tout cas, bravo pour un comparatif plus objectif. Mais je reviens quand même à l'idée que les comparatifs d'antivirus sont quand même valables pour le commun des mortels, pour l'utilisateur lamba que je côtoie régulièrement.

    RépondreSupprimer
  4. Le problème est les concours sérieux comme celui organisé par l’ESIEA sont peu ou pas repris par la presse informatique qui vit notamment grace aux éditeurs d'antivirus...

    Je vois mal la directrice de la pub de ces sites ou de ces journaux accepter un article important sur ce concours qui démontre SCIENTIFIQUEMENT (ce qui n'est pas le cas des comparatifs de la presse...) que les leaders de la sécurité sont loin d'être performants.

    Résultat : qui paie les conséquences de cette "censure" ? Justement l'utilisateur lambda !

    RépondreSupprimer