Une énorme faille dans les antivirus ESET

Aïe… C'est toujours très embarrassant pour un éditeur de solutions de sécurité mais un antivirus est aussi un logiciel presque comme tous les autres. Les antivirus d'ESET, et ce quelle que soit la plateforme (Windows, OS X et Linux), ont été affectés par une très vilaine vulnérabilité de sécurité.

Pour la combler, ESET a publié une mise à jour en tout début de semaine. L'éditeur slovaque explique qu'elle corrige une vulnérabilité dans le moteur d'analyse et plus particulièrement dans une routine d'émulation utilisée pour scanner une famille spécifique de malware.

Le découvreur de ladite vulnérabilité est autrement plus alarmiste. Et ce n'est pas un peintre. Il s'agit de Tavis Ormandy, l'un des hackers d'élite du Project Zero de Google. En matière de failles dans les antivirus, il avait déjà taclé Sophos et les produits antimalware de Microsoft.

" Tout ordinateur connecté au réseau exécutant ESET peut être complètement compromis ". Le chercheur en sécurité énumère la compromission de tous les fichiers indépendamment des droits d'accès sur le système, l'installation d'un rootkit, l'accès à du matériel comme une caméra et un micro, ou encore l'enregistrement de toute l'activité système.

D'après lui, les scénarios pour les attaques sont multiples (clé USB, pièce jointe malveillante dans un email…) et l'exploitation de la vulnérabilité peut se faire sans l'interaction d'un utilisateur. De quoi favoriser l'émergence d'un ver informatique.

Tavis Ormandy explique en fait avoir découvert que l'émulateur dans ESET - pas seulement une routine manifestement - n'était pas bien isolé et pouvait être compromis de manière qu'il qualifie de " triviale " afin d'exécuter du code malveillant pouvant déborder sur l'ensemble du système pris pour cible.

Théoriquement, l'émulateur permet d'exécuter du code non vérifié dans un environnement isolé et séparé avant que des signatures ne puissent être appliquées pour du code malveillant.

Avec un certain sens de l'à-propos, Tavis Ormandy a publié ses explications au lendemain des révélations concernant les tentatives de hack des agences de sécurité américaine et britannique à l'encontre d'antivirus et sociétés de sécurité. ESET était sur la liste. Le chercheur en sécurité vient de prouver qu'en cherchant… on trouve.

Prévenu en amont par le Project Zero de Google, ESET a été très réactif en proposant une mise à jour correctrice en l'espace de trois jours. La politique de Project Zero est de divulguer publiquement une vulnérabilité après un délai de 90 jours. ESET avait donc encore 87 jours pour réagir.

Souvenez-vous, cette même politique de divulgation avait provoqué l'ire de Microsoft.