OH MY GOD.

Des chercheurs en sécurité informatique sont parvenus à bidouiller un système qui permet de contourner les antivirus.

J'explique le principe (c'est un chouilla technique): Les antivirus détournent des fonctions du système d'exploitation pour vous "protéger": Chaque fois qu'un virus ou programme veut effectuer un appel à une fonction système (écriture disque, accès mémoire...), l'antivirus va l'intercepter et le vérifier. Si l'appel système est "correcte", l'antivirus le passe au système d'exploitation.

L'attaque KHOBE (Kernel HOok Bypassing Engine) utilise deux threads (disons, en quelques sorte deux programmes qui tournent en même temps). Le premier fait un appel système anodin (que l'antivirus laissera passer), et le second modifie les arguments de l'appel juste avant que l'antivirus le passe au système d'exploitation.

Et pouf... vous passez alors immédiatement au travers de la totalité des antivirus existants, c'est open-bar. Vous avez bien lu. Avast, AVG, AntiVir, DrWeb, McAfee, BitDefender, F-Secure, Kaspersky, Norton, Panda, Sophos, TrendMicro... aucun n'a résisté à leur attaque. J'en connais qui vont mouiller leur slip.

[TROLL categorie="velu"] Bon.. je vous laisse à vos machines Windows, j'ai des trucs à faire sous Linux, moi. [/TROLL]

PS: Tiens j'entends déjà les gugus habituels m'asséner leur «Ben tu vois un antivirus ça sert à rien.». Là j'avoue, je ne sais pas quoi leur répondre.

Mise à jour 11 mai 2010: Mikko Hyppönen, un chercheur en sécurité réputé qui travaille chez F-Secure minimise l'impact de KHOBE. Malgré l'immense respect que j'ai pour lui, je ne suis pas d'accord. Pour lui, ce n'est pas un problème puisqu'il suffit d'ajouter le malware aux signatures. Bien sûr qu'il sera détecté dans ce cas ! Mais tout le problème vient des malware non identifiés qui auront la possibilité, avec l'attaque KHOBE, de contourner les protections heuristiques. Et c'est là le cœur du problème: Je ne suis pas du tout certain que les autres couches de protection des AV suffisent à contrer ce genre d'attaque. L'autre argument de Mikko, c'est qu'on a pas encore vu de virus ou site malveillant utiliser ce genre d'attaque. C'est décevant: C'est le genre d'argument à la Microsoft pour ne pas corriger certaines failles. J'espère qu'il a raison et que les AV actuels ont de quoi mitiger cette attaque. Vraiment.

PS: En dehors de l'attaque KHOBE, on notera également le résultat du concours PWN2KILL s'attaquant à 15 antivirus du marché en utilisant différentes attaques (résultats ici en PDF). Aucun antivirus n'a résisté.