8 replies to this topic

[Txon]

Salut !

Comme le savent certains membres d'Infomars, je n'ai jamais eu qu'une confiance très limitée dans les antivirus.

Y a-t-il des raisons de prétendre qu'un antivirus est peut-être indispensable mais certainement insuffisant ?

J'attendais depuis un bon moment le genre de démonstration faite par des informaticiens indépendants et que vient de réaliser l'iAWACS ( International Alternative Workshop on Aggressive Computing and Security ).
En 2009, un concours avait été organisé dans le cadre de l'iAWACS à l'initiative de l'école d'ingénieurs ESIEA de Laval. Les tests effectués avaient montré les faiblesses de plusieurs antivirus grand public dont six sur sept avaient été désactivés en moins d'une heure suite à une attaque. Kaspersky faisait partie du lot, mais s'était défendu en prétendant que l'épreuve avait été biaisée et que ceci ne constituait pas une menace dans la mesure ou cette technique n'était pas utilisée par les cybercriminels [ndlr ... Cause toujours !]

Cette année l'iAWACS a fait évaluer quatorze antivirus dans leur version commerciale à l'exception d'Avast : Avast (version gratuite)- Kasperky - AVG- McAfee - Avira- Microsoft AV - BitDefender- NOD 32 - DrWeb- Norton Symantec - F-Secure- Trend Micro - GData- Safe 'n" Sec

Il fallait que les participants réussissent à infecter des ordinateurs équipés de Windows 7 et à partir d'un compte utilisateur ordinaire. Aucune vulnérabilité récente du système d'exploitation ou de l'environnement n'a été exploitée.

« Nous voulons mettre les participants dans une situation similaire à n'importe quel utilisateur » [...] « Chaque code de contournement présenté devra passer la barrière de l'antivirus, en mode non exécuté (scan à la demande), puis exécuté (scan à l'accès) et permettre ensuite une attaque affectant durablement le système »

Conclusion

• Any AV can be bypassed…
• but a few can be bypassed TOO easily!
• It is no longer admissible from a user/decision-maker perspective!
• No differences between products.
  • The problem lies in the technological and economic models of AV industry!
  • They have to understand that they have to change.
• Marketing and events budgets should be replaced by R&D budgets for a few vendors.

Plutôt qu'une traduction en français ...

« Tous les antivirus sont à égalité dans la nullité. Ces résultats prouvent que la détection de signatures virales n'est plus suffisante. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux. Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus ! »

Document de synthèse de l'IAWACS 2010 -> PWN2KILL Debrief <- (anglais, format .pdf)

Communiqué de presse -> ESIEA <- (français, format .pdf)

Reportage de ZDNet.fr -> Le marketing des antivirus contesté lors du concours Pwn2kill

@+

[noisette]

Si les retombées de telles épreuves de hacking ne sont guère flatteuses pour les éditeurs d’antivirus, la motivation n’est pas d’encourager les utilisateurs à s’en détourner. Le Pwn2kill vise certes à remettre en cause certaines assertions marketing des éditeurs (comme la protection contre toutes les menaces, mêmes inconnues), mais surtout à sensibiliser les utilisateurs qui pourraient entretenir un faux sentiment de sécurité.

http://www.zdnet.fr/...751554-3,00.htm

C'est exactement ce que tu mets en évidence ici depuis maintenant plusieurs années, et je ne dois pas être le seul à avoir attendu une telle mise en évidence pratique pour suivre tes conseils.

Cependant, même prévenu, de tels résultats restent très impressionnants.

Or, un utilisateur qui se pense protégé fait n’importe quoi »

...

Il faut un antivirus, mais il ne faut pas lui attribuer plus de vertus qu’il n’a réellement ou n’est capable d’en avoir. La sécurité passe déjà par choisir le moins mauvais. Mais la sécurité est avant tout apportée par l’internaute.

[Neuromancien]

Bonjour,

une analyse de magsecurs: http://www.magsecurs...hp?article15466

Morceau choisi:

Les attaques menées lors du challenge iAWACS 2010 ont été très simples et peuvent même être qualifiées de « bas de gamme ». Ce qualificatif n’est pas péjoratif : seul le résultat des attaques est important. Celles-ci ont abouti dans environ 90 % des cas.

Pas de découverte de nouvelles vulnérabilités. Pas d’attaque sur le système d’exploitation, en l’occurrence Windows 7, encore moins de l’environnement virtuel VM monté pour faciliter l’exercice. Cela signifie d’ailleurs que les attaques auraient probablement pu aboutir sur d’autres systèmes d’exploitation et que le débat n’est pas autour du système d’exploitation : Windows, Linux, Unix, Mac OS, voire divers systèmes d’exploitation de systèmes industriels

[khuylkhor]

...Et ,en plus, avec la faille "KHOBE "qui exploite les appels faits au kernel que les antivirus surveillent.
ces memes antivirus seraient TOUS débordés!

voir le post de Korben:

http://www.korben.in...ows-kernel.html

@=+

[Txon]

Cependant, même prévenu, de tels résultats restent très impressionnants.

Or, un utilisateur qui se pense protégé fait n'importe quoi »
...
Il faut un antivirus, mais il ne faut pas lui attribuer plus de vertus qu'il n'a réellement ou n'est capable d'en avoir. La sécurité passe déjà par choisir le moins mauvais. Mais la sécurité est avant tout apportée par l'internaute.

L'interface chaise-clavier !
Y a-t-il quelque chose à faire pour ceux qui ont pris des habitudes et ne veulent surtout pas en changer ?

une analyse de magsecurs: http://www.magsecurs...hp?article15466

Excellent ! A lire surtout, le chapitre Les solutions pour se protéger.

@+

[Txon]

J'ai plus qu'à effacer mon blog et à mettre : Tous les antivirus sont nuls

Ils sont nuls en effet si on considère à tord qu'ils protègent efficacement contre tout et n'importe quoi. Je préfère dire qu'ils sont tout à fait insuffisants.
Pour ce qui est de tes tests et de ton blog, ce serait dommage qu'il disparaisse car il est utile lui aussi, surtout dans tes démonstration de "porosité" lors des attaques que tu fais subir aux "antivirus".

@+

[Txon]

Athena Global Services, distributeur exclusif en France des solutions ESET, lance un grand jeu-concours gratuit et sans obligation d'achat pour les étudiants qui réussiraient à « cracker » un logiciel.

Le défi à relever est d'analyser le plus rapidement possible le code source, trouver les failles, déjouer les pièges et être le premier à dévoiler l'ultime message caché afin de tenter de gagner : · 2 voyages à Bratislava en Slovaquie pour 1 personne d'une valeur de 850 € + visite en exclusivité du VirusLab d'ESET · 2 Chèques-cadeaux d'une valeur de 150 euros · 100 licences ESET Smart Security 1 an/1PC · 1 licence ESET Smart Security 3 mois/1PC pour chaque participant

« La vivacité avec laquelle se développent les menaces sur le net nous a incité à lancer ce jeu, notamment pour faire prendre conscience aux internautes que la lutte contre les logiciels malveillants représente un défi permanent pour tous ceux qui souhaitent naviguer en toute sécurité sur la toile. ESET récolte deux cent mille nouveaux fichiers malveillants par jour ! Ce qui montre à quel point la tâche des éditeurs d'antivirus est rude et réclame des compétences de haut niveau pour lutter contre ce fléau »

Tout l'article sur -> Mag Securs.

@+