iawacs-2010 Pour la deuxième année consécutive vient de se dérouler le congrès iAWACS ( International Alternative Workshop on Aggressive Computing and Security ) à l'initiative de l'école d'ingénieurs ESIEA à Laval. En 2009, un concours organisé dans le cadre de cette conférence avait pointé du doigt les faiblesses de plusieurs antivirus grand public dont six avaient été désactivés en moins d'une heure suite à une attaque. Les résultats de ce concours avaient fait vertement réagir quelques grands noms de la sécurité informatique dont Kaspersky Lab qui avait dénoncé un test biaisé. Pour 2010, le concours PWN2KILL risque aussi de susciter quelques remous.

Cette fois-ci, il s'agissait d'évaluer quinze antivirus* dans des versions commerciales à l'exception d'Avast. En dépit des défenses érigées par ses solutions de sécurité, le but était l'infection d'un ordinateur fonctionnant sous Windows 7 avec un compte utilisateur. Pour plus de commodité, ce sont quinze machines virtuelles avec chacune un antivirus qui ont été proposées aux concurrents ( principalement des étudiants en  informatique ). Lors du concours, aucune nouvelle vulnérabilité du système d'exploitation ou de l'environnement n'a été exploitée.

Les participants ont apporté leur programmes malveillants dans une clé USB afin de les copier sur chacune des machines virtuelles. Ils ont alors lancé l'exécution du programme comme pourrait le faire par exemple un utilisateur, il est vrai peu prudent et trompé par un fichier qui se révèle ne pas être ce qu'il prétend. Le scénario a mis à contribution un panel de sept attaques ( sept concurrents ). Résultat : aucun antivirus n'a été en mesure de détecter plus de deux attaques, alors qu'une même attaque a été détecté par tous les antivirus.

Dans le document de synthèse de ce concours, la conclusion est sans appel. N'importe quel antivirus peut être outrepassé, et quelques-uns peuvent l'être trop facilement. Les arguments marketing des éditeurs d'antivirus sont dénoncés avec des budgets qui devraient plutôt être alloués à la Recherche & Développement.

Notre confrère 01net rapporte les propos d'Éric Filiol, directeur du centre de recherche de l'ESIEA et organisateur du concours. L'homme qui est également lieutenant-colonnel dans l'armée de Terre, fait preuve de son habituel franc-parler, ne se souciant guère de considérations marketing :

" Tous les antivirus sont à égalité dans la nullité. Ces résultats prouvent que la détection de signatures virales n'est plus suffisante. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux. Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus ! "

Tout n'est peut être pas aussi noir que le laisse entendre Éric Filol, puisqu'avec le concours PW2KILL, la capacité de réaction des éditeurs à proposer rapidement un remède face à une nouvelle menace n'a pas été évaluée. La notion de temps réel en a toutefois pris un sacré coup derrière la tête.

Pour autant, il est toujours conseillé d'avoir recours à un antivirus qui écarte nombre de menaces et de tenir à jour son système d'exploitation et ses applications. La responsabilité de la sécurité informatique est néanmoins surtout mise dans les mains de l'utilisateur qui doit adopter un comportement raisonné en ayant conscience que des menaces guettent, antivirus ou pas... Il ne faut pas accorder pour l'heure une confiance aveugle à un antivirus.

Membre du jury de l'iAWACS 2010, Le magazine spécialisé Mag Securs propose son analyse des résultats du concours PWN2KILL.


* Avast (gratuit), AVG, Avira, BitDefender, Dr.Web, F-Secure, G-Data, Kaspersky, McAfee, Microsoft AV, Nod 32, Norton, Sophos, Safe 'N' Sec  et Trend Micro.