Que de Buzz autour du dernier challenge iAWACS ! « Les antivirus laissent passer presque toutes les attaques » selon mag-securs, il est vrai que cela peut faire frémir le néophyte.
Vous êtes nombreux à nous demander notre avis sur le résultat de ce challenge, nos commentaires et nos réactions, et c’est légitime. Nous nous attachons quotidiennement à vous protéger contre tout un panel de codes malveillants qui couteau entre les dents partent à l’assaut de vos machines afin de les compromettre, et apprendre par voie de presse et un titre très accrocheur que la protection apportée n’est en fait que peu efficace peut faire frémir ou tout au moins réagir.
J’ai pour ma part une opinion mitigée sur ce challenge, est-ce une bonne chose ou une mauvaise ?
Parmi les points positifs, on peut noter qu’il permet de rappeler à tout un chacun que les outils de protection n’apportent pas et n’apporteront probablement jamais à eux-seuls une protection 100% efficace et que croire qu’installer une protection sur tous les postes clients et serveurs suffit à rendre invulnérable une machine est à mon sens une mauvaise approche de la sécurité.
Le fait de rappeler à chacun qu’il faut être vigilent lorsqu’on utilise un ordinateur, qu’il est essentiel de se rappeler les règles de base de la sécurité informatique avant d’exécuter un programme inconnu, d’ouvrir une pièce jointe, d’échanger une clé USB est une bonne chose. L’éducation de l’utilisateur est un pré-requis essentiel à la construction d’une politique de sécurité viable. Vous pouvez d’ailleurs trouver beaucoup d’outils d’aide à l’éducation des utilisateurs ici.
Parmi les points négatifs, on peut noter l’effet d’annonce qui est quelque peu réducteur, et en mettant en avant quelques attaques ciblées ayant réussi et en ne rappelant pas que plusieurs dizaines de milliers de nouveaux codes malveillants sont découverts quotidiennement peut effrayer inutilement, ou même laisser penser à quelques-uns qu’installer une protection sur sa machine est inutile, laissant ainsi peu de chances à l’utilisateur de conserver sa machine exempte de codes malveillants pendant plus de quelques minutes (source : SANS.org ).
Laurent Gentil's blog 
Bonjour
Le problème n’est pas d’avoir contourné les AV : c’est une réalité omniprésente. Le but du concours était de montrer que des attaques relativement simples (sur une échelle de 1 à 10, le niveau des attaques se situait à 3/4) et utilisaient des techniques connues et publiées. Il n’est pas normal qu’une fork bomb de 3 lignes, technologie vieille de 10 ans mette au tapis tous les AV. Les utilisateurs ont le droit d’avoir des produits un peu plus sérieux. Maintenant ce que nous savons de l’activité des codes malveillants c’est que la plupart ne sont pas très évolués. La simple loi du nombre (près de 40000 codes par jour selon les chiffres donnés par les éditeurs lors de la conférence EICAR) suffit à les mettre en déroute. Pourquoi ? Parce justement pour faire une énorme marge, ils se limitent — quoi que le marketing peut leur faire prétendre — essentiellement à de la recherche de signatures plus ou moins élaborée.
Voila iAWACS voulait juste rappeler tout cela. Non les AV ne détectent pas 100 % des codes connus et inconnus ! Comme on peut le lire sur la boite de certains AV
Eric Filiol
Bonjour Eric et merci pour votre commentaire.
Bien que je sois partiellement en accord avec vous, et que nous apprécions les découvertes de nouveaux vecteurs d’infection afin d’améliorer les solutions, je me dois néanmoins de nuancer en partie vos propos. En effet, même si les technologies employées dans la lutte anti-virale sont par définition réactives, elles se doivent d’être de plus en plus pro-actives afin de répondre aux menaces d’aujourd’hui.
Comme je l’ai mentionné dans un billet précédent, au début des années 2000, nos laboratoires délivraient à nos clients des signatures unitaires, ayant pour rôle d’identifier un virus/ver/cheval de troie donné, ayant éventuellement des capacités polymorphiques. Cette ère est aujourd’hui révolue comme vous le mentionnez avec le chiffre de 40.000 codes malveillants (ce chiffre est évidemment quotidien et en hausse exponentielle).
Afin de répondre aux menaces d’aujourd’hui, il est essentiel que le moteur de l’outil de protection (communément nommé anti-virus, mais qui finalement a un rôle plus large) intègre des capacités de protection pro-active, avec la recherche de caractéristiques permettant l’identification de comportements malveillants en plus de la recherche de signatures.
Concernant la « fork-bomb » utilisée, je ne peux toutefois pas être en accord avec vous. Même si le code fourni a effectivement pour conséquence immédiate de rendre la machine indisponible (DoS), il n’y a aucune autre charge dans ce code. Un simple redémarrage de la machine résoud le problème et n’importe quel utilisateur même néophyte n’exécutera pas à nouveau un code ayant pour but de planter une machine. Le comportement aurait probablement été différent si ce même code avait tenté de se stocker sur le disque et de s’exécuter automatiquement au boot de la machine ou de s’attacher à une application …
Pour les autres codes, il n’est malheureusement pas possible d’apporter plus de commentaires, étant donné que ces derniers ne sont à ce jour qu’en votre possession et n’ont pu de fait être analysés. Si leur nature est toutefois similaire à la « fork bomb », mon raisonnement restera toutefois probablement le même.
Laurent Gentil.