Quand les antivirus se transforment en arme fatale

Des scientifiques allemands démontrent comment un logiciel antivirus peut se tromper de cible en se retournant contre les fichiers sains des systèmes.

Transformer son antivirus en arme d’attaque. Telle est l’idée qui a traversé l’esprit de quatre scientifiques allemands. Et qui n’ont pas manqué de la mettre en œuvre… pour mieux démontrer le potentiel de dangerosité pour une organisation de ce qu’ils appellent les « attaques assistées par antivirus ».

Christian Wressnegger, Fabian Yamaguchi et Konrad Rieck, chercheurs à l’Institut des systèmes de sécurité de Brunswick, et Kevin Freeman de l’Institut des sciences informatiques de l’université de Göttingen, ont mis au point une méthodologie pour détourner les signatures antivirales de leur objectif premier, à savoir protéger l’intégrité des systèmes informatiques de l’organisation, afin de les intégrer dans des fichiers légitimes.

Une signature virale sur des fichiers sains

Concrètement, lorsqu’un logiciel antivirus trouve la signature d’un agent malveillant dans le contenu d’un fichier qu’il analyse, l’application détruit ou met en quarantaine le document potentiellement infectieux. Or, si cette signature est injectée sur des fichiers légitimes et parfaitement sains, le filtre de sécurité risque de se transformer en véritable machine destructrice pour les documents de l’entreprise.

Pour démontrer la paradoxale dangerosité des antivirus, les scientifiques déclarent avoir mis au point une méthode pour détourner automatiquement les signatures des moteurs antiviraux de quatre logiciels commerciaux (mais non dévoilés) et de l’offre Open Source ClamAV sans avoir accès à la base de signature ou à effectuer un travail d’ingénierie inversée. «  Avec ces séries en main, l’attaquant peut dessiner un virus, attirer l’attention du scanner vers des données bénignes et marquer des contenus sélectionnés comme malveillants et en bloquer ou supprimer les fichiers, indiquent les universitaires dans leur rapport. Qui plus est, nous montrons que ces marqueurs malveillants n’ont pas besoin d’être injectés directement mais peuvent s’infiltrer par l’intermédiaire d’utilisateurs sans privilèges [administrateur] de manière qu’ils restent stockés localement afin d’être repérés par les scanners des antivirus. »

Travaux contredits

Mais l’analyse des scientifiques n’est pas partagée par tout le monde. L’expert en sécurité Vesselin Bontchev, qui a travaillé à la conception du moteur de scan de l’antivirus F-PROT, considère que les méthodes d’analyse des scanner vont au-delà de la seule signature virale du fichier pour en déterminer son intégrité. « L’auteur semble […] penser que les scanners utilisent toujours des « signatures » (c’est-à-dire des séquences d’octets) pour détecter les logiciels malveillants. Cela n’est plus le cas pour les solutions d’anti-virus reconnus depuis le début des années 90, lorsque les virus fortement polymorphes se sont répandus », a-t-il déclaré à nos confrères de Bleeping Computer. « En outre, le document ne décrit pas vraiment comment déterminer « quelle chaîne d’analyse un scanner utilise pour un logiciel malveillant particulier », même si son auteur croit probablement qu’il le fait », ajoute-t-il.

Selon lui, la menace pointée par les scientifiques allemands n’en est donc pas une. Sauf à utiliser un moteur d’analyse particulièrement inefficace. En revanche, il déclare plutôt avoir vu des méthodes pour cacher des agents viraux dans des fichiers légitimes afin de les masquer des antivirus et passer les barrières de sécurité. Dans un cas comme dans l’autre, ces approchent démontrent que les antivirus ne suffisent pas pour assurer l’intégrité des données.


Lire également
Une faille zero day repérée dans l’antivirus de Microsoft
Les antivirus, un poison pour l’écosystème logiciel
DoubleAgent détourne les antivirus pour pirater les PC Windows

Crédit photo © dgmata – Fotolia.com