D'un côté, les quinze antivirus les plus vendus dans le monde, installés sur d'innocents ordinateurs qui n'avaient rien demandé à personne. De l'autre, sept hackers pour la plupart étudiants en informatique, chargés d'attaquer les machines à coups de lignes de code. Bilan de la bataille ? Les PC sont K.O., les antivirus n'ont rien vu passer, et les meilleurs attaquants ont été récompensés.
C'est la deuxième année consécutive que le colloque sur la sécurité informatique iAWACS, organisée par l'école d'ingénieurs Esiea, organise le concours «PWN2KILL». Son but est de mettre à l'épreuve les logiciels de sécurité les plus couramment installés sur les ordinateurs des particuliers et entreprises -- l'édition du mois d'avril teste les antivirus, celle qui aura lieu à la fin de l'année se chargera des pare-feux. Et le résultat ( PDF ) est édifiant. Avast, AVG, McAfee, BitDefender, Norton, Kaspersky... Gratuits ou payants, plus ou moins complets, et quel que soit leur poids sur le marché de la sécurité, tous se sont laissés avoir comme des bleus par les attaques des étudiants.
«Tous les antivirus sont à égalité dans la nullité , constate Eric Filiol, co-organisateur du concours. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux...» Une seule attaque a été correctement reconnue et bloquée par tous les logiciels, sur les sept auxquelles ils ont été confrontés. Plus inquiétant encore, l'une des attaques victorieuses reposait sur un minuscule bout de code (trois lignes) en circulation sur Internet depuis dix ans -- des explications et démonstrations de ce «piège» sont même disponibles en vidéo sur YouTube . La fork bomb se contente d'ordonner à l'ordinateur d'ouvrir une infinité de fenêtres : après quelques secondes, la mémoire vive est saturée et le PC plante.
Les éditeurs d'antivirus avaient largement critiqué les conditions dans lesquelles s'était déroulée l'édition 2009 du concours, et notamment le fait que les hackers disposaient des «droits administrateur» qui leur donnaient trop de pouvoir et ne reproduisaient pas un environnement réaliste. L'entreprise slovaque ESET défendait ainsi son antivirus NOD32 : «Même si certains internautes utilisent régulièrement le compte administrateur de leur système, cette configuration n'est pas recommandée et n'offre aucune garantie de sécurité. Les résultats du test auraient été très différents si une configuration adéquate, à travers une politique de sécurité strictement appliquée, avait été utilisée. C'est‐à‐dire, un utilisateur avec des droits limités s'attaquant à un antivirus s'exécutant avec les privilèges système.» Cette année, Windows 7 était configuré en mode «utilisateur» et non «administrateur» pour compliquer la tâche des attaquants en interdisant l'exécution de certaines opérations. On se rapproche donc des conditions d'infection par un virus sur clé USB, mais pas encore d'une injection depuis Internet, sans accès physique à l'ordinateur cible.
Les attaquants étaient également autorisés ( PDF ) à imiter le comportement d'un utilisateur lambda, qui ne comprend pas toujours les avertissements des antivirus, en répondant «Accepter» aux messages du type : «Cette application essaie de modifier une clé du registre.»
La majorité des attaques testées n'étaient pas inédites et inventées pour l'occasion. Elles reposaient en réalité sur des procédés connus depuis longtemps dans le milieu de la sécurité informatique -- que ce soit des techniques de cryptage, les blindages de protection des virus tels qu'on les construisait en 2005, ou encore la famille de codes « k-ary » datant de 2007. Faut-il voir dans ces constatations alarmantes une négligence des éditeurs d'antivirus, qui ne prennent pas la peine d'intégrer les menaces passées à leur base de données ou de diversifier leurs méthodes de détection ? Pire : Eric Filiol les accuse d'entente et de vénalité. «Les antivirus n'offrent pratiquement pas de protection si ce n'est que contre des attaques génériques connues et choisies par les éditeurs (la Wild List). Cette uniformité prouve que le modèle économique (gagner facilement de l'argent pour certains) et surtout technique (recherche de signatures ou équivalent, qui date de 20 ans) n'est plus acceptable. Le pire c'est que les "grands éditeurs" qui sont de véritables rouleaux compresseurs marketing imposent aux petits éditeurs sérieux de suivre ce modèle sous peine de disparaitre. Dépenser des fortunes en R&D; quand les autres se contentent de faire du marketing condamne celui qui fera ce choix.»
Les antivirus ne sont pas à jeter (ou à désinstaller) pour autant, et constituent la base d'une protection efficace contre les virus les plus communs. Tout repose ensuite sur les épaules de l'utilisateur, qui doit adopter un comportement prudent sur Internet : ne pas ouvrir les pièces jointes d'e-mails suspects, ne visiter que des sites de confiance, mettre à jour régulièrement le système d'exploitation et les logiciels... Pour les ordinateurs d'entreprise les plus sensibles, les organisateurs du concours conseillent une déconnexion du réseau Internet et, pour contrer les attaques en interne, un contrôle physique de l'utilisation de périphériques USB.