A qui peut-on encore se fier ? Tavis Ormandy, un ingénieur de l’équipe de sécurité du Projet Zero, de Google a publié le 23 juin une analyse sur des vulnérabilités du logiciel antimalware de Eset, qui a immédiatement mis à jour son application.
Le chercheur rappellait que les softs antivirus embarquent des capacités d’émulation permettant aux exécutables compressés d’être lancés avant que les signatures ne soient appliquées. « Des attaquants peuvent provoquer des E / S via navigateur web, Email, Messagerie Instantanée, partage de fichier, stockage sur le réseau, USB ou des centaines d’autres vecteurs. Certaines données non fiables peuvent entrer dans le disque dur. Parce qu’il est facile pour les cyber-attaquants de déclencher une émulation du code non fiable, il il est critique que l’émulateur soit robuste et isolé. Malheureusement, l’analyse de l’émulation d’ESET révèle que ce n’est pas le cas et qu’il peut être trivialement compromis »
http://googleprojectzero.blogspot.ro/2015/06/analysis-and-exploitation-of-eset.html
Dans la foulée, ESET a livré une mise à jour de son application, pour corriger la faille mise en lumière par Tavis Ormandy. « La vulnérabilité a été découverte dans la routine d’émulation utilisée par un scanner spécifique pour une catégorie de malwares et n’a pas eu d’incidence sur le moteur d’émulation principal », a indiqué l’éditeur.
Ce n’est pas la première fois que les antivirus sont montrés du doigt.
Joxean Koret, un chercheur de Coseinc, un cabinet de consultants en sécurité basé à Singapour, cité par le site The Intercept, estime que les antivirus sont moins évolués, en technologie que les applications grand public récentes : « Acrobat Reader, MS Word ou Google Chrome sont plus difficiles à attaquer « faire un exploit »), que 90% des logiciels antivirus »). Le même site révèle que la NSA et son alter ego britanniques ont décidé de s’attaquer aux anti-virus, coupables de détecter leur espionnage. Les espions ont donc espionné l’outil de contre-espionnage que représentent les antiv-malwares. Selon les auteurs du rapport cité par The Intercept, Kaspersky leur donnait en particulier du fil à retordre. En espionnant son code (reverse-engineering), ils ont découvert que la collecte d’information par Kaspersky pour envoi sur sa base de données peut être interceptée.
https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky/
