C’est les résultats d’un challenge organisé par l’ESIEA, une école d’ingénieurs française, en marge d’un colloque sur la sécurité, qui s’est tenu du 23 au 25 octobre dernier.
Les participants du challenge devaient désactiver les antivirus à leur
insu, sans redémarrer l’ordinateur. Et les résultats sont accablants,
puisque six des sept antivirus testés ont été désactivés en moins de 40 minutes (et le 7ème aurait été désactivé au bout d’un certain temps).
En clair, en visitant un site web capable de déclencher certaines
opérations, ou si vous autorisez l’opération, voici en combien de temps votre ordinateur peut être à la merci des intrus, en fonction de l’éditeur de votre antivirus:
- McAfee : 1 min 56
- Norton : 4 min
- GDATA : 5 min
- AVG : 15 min
- NOD32 : 33 min
- Kaspersky : 40 min
- Dr Web : non contourné dans le temps imparti par le challenge
Pour autant, les méthodes pour atteindre ces résultats sont variées et ont demandé beaucoup de créativité chez les participants au challenge:
- Arrêt de l’antivirus via la commande Net Stop, après acquisition des droits administrateur via la commande AT (McAfee)
- Désactivation de l’antivirus en détruisant ses fichiers de signatures, en créant un point de montage en écriture et effacement (Norton)
- Désactivation de l’antivirus via le gestionnaire de périphérique, en stoppant le pilote associé (G-Data)
- Désactivation de l’antivirus par corruption de mémoire DevicePhysicalMemory (NOD32,Kaspersky, AVG)
D’après ECO89, la réaction des éditeurs de ces antivirus a été pour le moins contrastée: depuis GDATA qui dénonce un « protocole de test spécifique » passant par des « manipulations physiques sur la machine » à l’éditeur qui tire immédiatement des leçons de l’exercice, comme AVG.
Gageons toutefois que la prochaine version de ces logiciels seront plus résistants a des attaques sommes toutes plausibles.
W. Klinger,
Ingénieur conseil NTIC – NeoDiffusion.