OH MY GOD.

Des chercheurs en sécurité informatique sont parvenus à bidouiller un système qui permet de contourner les antivirus.

J'explique le principe (c'est un chouilla technique): Les antivirus détournent des fonctions du système d'exploitation pour vous "protéger": Chaque fois qu'un virus ou programme veut effectuer un appel à une fonction système (écriture disque, accès mémoire...), l'antivirus va l'intercepter et le vérifier. Si l'appel système est "correcte", l'antivirus le passe au système d'exploitation.

L'attaque KHOBE (Kernel HOok Bypassing Engine) utilise deux threads (disons, en quelques sorte deux programmes qui tournent en même temps). Le premier fait un appel système anodin (que l'antivirus laissera passer), et le second modifie les arguments de l'appel juste avant que l'antivirus le passe au système d'exploitation.

Et pouf... vous passez alors immédiatement au travers de la totalité des antivirus existants, c'est open-bar. Vous avez bien lu. Avast, AVG, AntiVir, DrWeb, McAfee, BitDefender, F-Secure, Kaspersky, Norton, Panda, Sophos, TrendMicro... aucun n'a résisté à leur attaque. J'en connais qui vont mouiller leur slip.

[TROLL categorie="velu"] Bon.. je vous laisse à vos machines Windows, j'ai des trucs à faire sous Linux, moi. [/TROLL]

PS: Tiens j'entends déjà les gugus habituels m'asséner leur «Ben tu vois un antivirus ça sert à rien.». Là j'avoue, je ne sais pas quoi leur répondre.

Mise à jour 11 mai 2010: Mikko Hyppönen, un chercheur en sécurité réputé qui travaille chez F-Secure minimise l'impact de KHOBE. Malgré l'immense respect que j'ai pour lui, je ne suis pas d'accord. Pour lui, ce n'est pas un problème puisqu'il suffit d'ajouter le malware aux signatures. Bien sûr qu'il sera détecté dans ce cas ! Mais tout le problème vient des malware non identifiés qui auront la possibilité, avec l'attaque KHOBE, de contourner les protections heuristiques. Et c'est là le cœur du problème: Je ne suis pas du tout certain que les autres couches de protection des AV suffisent à contrer ce genre d'attaque. L'autre argument de Mikko, c'est qu'on a pas encore vu de virus ou site malveillant utiliser ce genre d'attaque. C'est décevant: C'est le genre d'argument à la Microsoft pour ne pas corriger certaines failles. J'espère qu'il a raison et que les AV actuels ont de quoi mitiger cette attaque. Vraiment.

PS: En dehors de l'attaque KHOBE, on notera également le résultat du concours PWN2KILL s'attaquant à 15 antivirus du marché en utilisant différentes attaques (résultats ici en PDF). Aucun antivirus n'a résisté.

Ça fait toujours drôle quand vous écrivez un article (ou deux) de le voir apparaître trois jours plus tard ré-écrit sur un autre site sans mentionner la source.

Ils semblent être abonnés à au flux RSS de Kioskea (qui est la version anglophone de CCM, mes articles y sont donc traduits en anglais là et là). Certes ils ont complété avec des captures d'écran et explications plus détaillées, mais quand même.

Ils écrivent eux-même tous les articles de leur site ou ils ne font que repomper ré-écrire les articles des autres ?

Ou alors c'est juste une grosse coïncidence et je vois le mal partout ?

Mise à jour 19 mai 2010: Réponse: Je vois le mal partout. L'auteur de l'article de howtogeek.com est venu sur le forum de WOT clarifier la situation. C'est bien une pure coïncidence s'il a écrit son article 3 jours après la parution du mien.

Voici les nominés aux Big Brother Awards. Et on peut dire que cette année ils ont fait très fort. (Je vous laissez lire la liste sur le site, c'est assez impressionnant.)

Les gagnants seront annoncés le 12 mai et les prix remis le 29 mai. Mais comme d'habitude je présume que peu de gagnants viendront réceptionner leur prix.

Les Big Brother Awards fêtent cette année leur 10 ans d'existence, et l'amère constatation est qu'on ne peut pas dire que tout ait évolué dans le bon sens.

Rien à faire: Malgré l'excellence des navigateurs Opera et Chrome, je n'arrive toujours pas à décrocher de Firefox.
Voici mes extensions préférées (si ça peut aussi vous rendre service). Elles me rendent la vie bien plus facile sur le web.

• AdBlock Plus: Indispensable, cette extension supprime totalement la publicité des pages web. C'est simple et radicale. J'ai réactivé sélectivement la publicité sur certains sites pour leur permettre de vivre. Voir cet article. C'est tellement simple que ça ne vaut pas le coup de s'en passer.
  
  
  
  
  
• WOT: Web Of Trust, indispensable à mes yeux pour éviter les sites douteux (phishing, arnaques, sites malveillants...). Voir cet article.
  
  
  
  
  
• ScrapBook, un outils formidablement efficace pour garder des copies de pages web ou de simples fragments de pages. Il peut également télécharger des sites entiers ou des groupes de pages. Je peux même annoter ou surligner des passages et consulter les articles hors connexion. On peut aussi exporter les pages récupérées. On peut également prendre des notes. C'est mon petit archiviste du web. Garder une copie d'une page ne prend que deux clics. Voir cet article.
  Installé dans PortableFirefox, je peux embarquer mes articles à lire sur clé USB.
  
  
  
• ChromaTabs: C'est simple mais plus utile qu'il n'y paraît. Cette extension colore les onglets en se basant sur l'icône du site ou le nom de domaine. Cela permet de repérer d'un coup d'œil les onglets et de les retrouver plus rapidement.
  
  
  
  
  
• Lazarus m'évite bien des frustrations: Il m'arrive de perdre un long article rédigé dans une page web à cause d'une session expirée, d'une faute de frappe (backspace ou un CTRL+W au lieu du CTRL+X), ou d'un oubli de clic sur le bouton "publier", ou d'un plantage du navigateur. Lazarus me permet de récupérer tout le texte que j'avais tapé, même si je n'avais pas validé le formulaire. Plus jamais je ne perdrai ce que je tape dans Firefox.
  
  
  
• FlashBlock : Mon PC n'est pas une bête de course, et les pages web remplies de Flash ralentissent mon ordinateur à mort (Sans compter les publicité flashy et bruyantes). FlashBlock désactive tout Flash par défaut. Il me suffit de cliquer sur une zone flash pour la voir. Je peux aussi activer sélectivement Flash pour certains sites. Les sites web ont fini de m'imposer leurs trucs clignotants ou leurs vidéos qui démarrent automatiquement.
  
  
  
  
  
• DownloadStatusbar me permet de suivre mes téléchargements sans subir la fenêtre de téléchargement de Firefox. Ça occupe peu de place à l'écran et je vois d'un coup d'œil où ça en est (avec affichage de l'avancement, débit et temps restant).
  
  
  
  
  
• OptimizeGoogle me permet de customiser Google. Quelques exemples: Recherche en une seule page (plus besoin de passer aux pages 2,3,4...), anonymisation de mon cookie google quand je fais des recherches (tout en restant connecté à GMail), lien direct vers les images dans la recherche d'image, liens vers Wikipedia/archive.org dans les résultats de recherche, forçage en HTTPS des applications Google, etc. (Notez quand même que Google change beaucoup ses pages et certaines fonctionnalités de cette extension ne fonctionne pas).

D'autres extensions que j'utilise moins souvent, mais qui sont bien utiles également:

• Video DownloadHelper: Quand je veux occasionnellement récupérer une vidéo de YouTube (ou autres sites), un clic me suffit pour récupérer la vidéo dans sa qualité maximale disponible.
  
  
  
  
  
• FireShot ou Shooter pour faire une capture d'écran d'une page web, même si elle dépasse de l'écran.
  
  
  
• FireGPG pour chiffrer mes emails dans GMail avec GPG.
  Mise à jour 8 juin 2010: Le projet FireGPG s'arrête. Dommage.
  
  
  
• FlagFox me permet d'obtenir des informations sur les serveurs sur lesquels je suis (localisation géographique, propriétaire du domaine, autres sites hébergé sur la même IP...). Petite surprise: Allez sur http://impots.gouv.fr et regardez dans quel pays est situé le serveur.
  
  
  
  
  
• TamperData me permet de voir toutes les requêtes HTTP envoyées par le navigateur, y compris les requêtes envoyées par les applets Flash ou les applications Ajax/XmlHttpRequest. Pratique pour voir où vont se balader les applications web et mettre son nez dedans.
  
  
  
• WebDeveloper est excellent pour examiner le contenu et la structure des pages web. Vous pouvez bien sûr aussi utiliser l'excellent FireBug si vous avez des besoins un peu plus poussés.

Si vous deviez n'en prendre que deux, choisissez AdBlockPlus et WOT.

N'oubliez pas que plus vous avez d'extensions installées, plus Firefox sera lent. Pensez à désactiver les extensions que vous utilisez rarement, votre navigateur ne s'en portera que mieux.

Mise à jour 26 mai 2010: J'ajoute BetterPrivacy qui permet de supprimer les cookies Flash (merci à Richard C. et Jocelyn H.).

Mise à jour 19 août 2010: J'ajoute CertWatch et CertPatrol pour contrôler les certificats SSL.