Les logiciels antivirus arrivent-ils à se protéger eux-mêmes ?
Le laboratoire AV-TEST a testé 32 suites antivirus afin de vérifier qu’elles utilisaient bien des techniques de protection comme l’ASLR et la DEP. Bilan… mitigé.
Pour la troisième fois déjà, les experts d’AV-TEST ont contrôlé l’autoprotection d’une grande partie des logiciels antivirus disponibles sur le marché. Ce faisant, ils se sont concentrés sur la protection des fichiers avec l’ASLR (Address Space Layout Randomization) et la DEP (Data Execution Prevention) que tous les programmeurs peuvent facilement utiliser, mais que certains ont parfois l’imprudence… d’oublier. Les testeurs ont également vérifié si des canaux sécurisés étaient utilisés pour distribuer les versions d’essai ce qui permet d’éviter que les attaquants puissent répandre des suites logicielles manipulées. La technique «Forced Integrity Checking» (Vérification d’identité forcée) permet de protéger les fichiers exécutables par le biais de certificats. L’utilisation de cette mesure a également été vérifiée.
En novembre 2014, la publication des premiers résultats sur l’autoprotection des antivirus avec l’ASLR et la DEP avait asséné un verdict impitoyable à certains fabricants. Seuls, alors, deux fabricants utilisaient continuellement cette technique ! Le plus mauvais taux était alors inférieur à 20%. La frayeur causée par le test s’est révélée efficace : la lanterne rouge de 2014, dont le taux n’avait atteignait que 18,7%, affichait tout à coup un résultat dépassant… 95% !
Le test actuel compte désormais 19 suites de sécurité pour particuliers et 13 solutions pour entreprises. Pas moins de 16 solutions se protègent en utilisant toujours l’ASLR et la DEP. Ainsi, même les fabricants peuvent tirer la leçon de leurs erreurs. Les experts de l’institut estiment que certains produits peuvent encore s’améliorer. La lanterne rouge de cette année affiche un taux d’utilisation de l’ASLR et de la DEP de 36,3%.
Suite aux tests précédents, certains fabricants avaient annoncé au laboratoire que leurs fichiers n’atteindraient jamais un taux de 100% lors du test. En effet, ils disent utiliser leurs propres techniques de protection qui seraient incompatibles avec l’ASLR et la DEP. Ces fabricants ne souhaitent toutefois pas divulguer quelles techniques précises ils emploient.
1er test de sécurité : 16 des 32 suites emploient toujours l’ASLR et la DEP
De nombreux produits utilisent la technique de l’ASLR et de la DEP pour leurs fichiers de programmes, et ce dans les versions 32 et 64 bits. La répartition des produits pour particuliers et entreprises est précisée ci-dessous.
Dans les produits pour entreprises, les fabricants utilisent les techniques de protection ASLR et DEP avec bien plus de rigueur. Ainsi, les produits d’AVG, Bitdefender, ESET, F-Secure, Kaspersky Lab et Symantec emploient toujours cette technique. Les suites de Trend Micro, McAfee, G Data et Sophos ne doivent plus que régler quelques détails puisqu’elles atteignent 98,1 et 99%. Les développeurs de Seqrite ont encore beaucoup à faire. Le taux d’utilisation de 77,1% est en effet bien trop faible.
2e test de sécurité : les fichiers de programmes sont-ils signés ?
Certes, la signature de fichiers par le biais de certificats est une vieille connaissance des programmeurs, mais elle représente une valeur sûre. Les signatures et les certificats de fichiers sont essentiels car ils aident à identifier le fabricant dont ils proviennent. Les fichiers non signés constituent toujours une vulnérabilité éventuelle. Pour se protéger, un logiciel doit pouvoir vérifier l’authenticité et l’intégrité de ses propres fichiers. Pour cela, les signatures numériques avec des certificats valables et des valeurs de hachage fournissent une aide précieuse. Voilà pourquoi le laboratoire a également testé l’utilisation d’un certificat et sa validité concernant tous les fichiers PE en mode utilisateur (Portable Executable) pour 32 et 64 bits. Ici aussi, certains fabricants ont fait preuve d’une très bonne performance tandis que d’autres doivent rapidement corriger leurs certificats de fichiers.
Les fabricants ont accordé bien plus d’attention aux solutions pour entreprises pour ce qui est de la signature correcte des fichiers. Parmi les 13 produits examinés, 8 avaient parfaitement signé tous leurs fichiers : Bitdefender, ESET, F-Secure, G Data, Kaspersky Lab (les deux versions), Symantec (la version cloud) et Trend Micro. AVG, Sophos et Symantec Endpoint Security ne présentent qu’un seul fichier non signé. McAfee compte 4 fichiers sans signature tandis que sur les 256 fichiers PE de Seqrite, 42 n’étaient pas signés ce qui représente plus de 16%.
3e test de sécurité : distribution du logiciel par des canaux sécurisés
En principe, chaque fournisseur devrait utiliser le protocole de transfert HTTPS pour distribuer son logiciel sur son propre site Internet. Même les navigateurs tels que Chrome avertissent les utilisateurs que le protocole utilisé n’est pas sécurisé par le biais d’une écriture rouge dans la barre d’adresse. Il s’agit en effet du seul moyen d’établir une communication sûre avec le serveur. HTTP laisse la porte ouverte aux attaques de l’homme du milieu (MITM). Un téléchargement peut alors être manipulé et un fichier d’installation falsifié peut être transmis au visiteur du site. En général, l’utilisateur ne s’en aperçoit pas. S’il exécute le fichier manipulé, ce dernier ne sera pas signé et Windows le signalera. Mais qui va faire preuve de méfiance lors de l’installation d’un logiciel de sécurité ?
Tandis qu’il n’existe quasiment pas de téléchargements directs pour les solutions professionnelles, presque tous les fabricants proposent leurs versions d’essai aux particuliers. Ce contrôle rapide des téléchargements fait l’effet d’une douche froide : 13 des 19 fabricants proposent leurs versions d’essai avec un protocole HTPP non sécurisé. Seuls Avira, Bitdefender, ESET, F-Secure, G Data et Kaspersky Lab ont recours au protocole sécurisé HTTPS.
Les antivirus se doivent de montrer l’exemple
Les fabricants de logiciels de sécurité devraient être les premiers à utiliser toutes les mesures possibles pour sécuriser leur produit. En effet, ils ont un rôle exemplaire dans ce secteur. Certains fabricants assument pleinement cette responsabilité : Bitdefender, ESET et Kaspersky Lab utilisent l’ASLR et la DEP dans tous les cas, ils signent tous les fichiers PE avec des certificats valables et proposent des téléchargements sûrs.
De nombreux fabricants ne doivent plus que régler quelques détails pour atteindre à leur tour une performance irréprochable. Ils devraient et vont sans doute y arriver sans problème. AV-TEST vérifiera bientôt leurs progrès lors du prochain test.
