Pour accélérer le développement de ses voitures connectées, Renault-Nissan annonce un accord avec Microsoft pour exploiter les capacités de traitement d'Azure.

L'Image du jour

Pour accélérer le développement de ses voitures connectées, Renault-Nissan annonce un accord avec Microsoft pour exploiter les capacités de traitement...

Les Fintech bousculent la finance

Dernier Dossier

Les Fintech bousculent la finance

Quelque 4 000 Fintechs existeraient dans le monde, sûrement une faible minorité d'entre elles subsistera dans les trois ans. Une chose est sûre, depui...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

Les antivirus Eset touchés par une grosse faille de sécurité

NOD32 Business Edition fait partie des antivirus Eset touchée par la faille de sécurité découverte par un ingénieur de Google. (crédit : D.R.)

NOD32 Business Edition fait partie des antivirus Eset touchée par la faille de sécurité découverte par un ingénieur de Google. (crédit : D.R.)

Une faille critique a récemment été découverte dans de nombreux produits antivirus Eset. La vulnérabilité, corrigée en début de semaine, pourrait permettre à des attaquants de compromettre tout un tas de systèmes complets mais aussi des sites web, courriels, clés USB et autres.

Plusieurs produits antivirus de la firme de sécurité Eset ont été affectés par une vulnérabilité critique facile à exploiter, pouvant compromettre l’ensemble d’un système informatique. La découverte de la faille, qui a été corrigée, est intervenue juste après la publication d’un rapport indiquant que les agences de renseignement du Royaume-Uni et des États-Unis avaient pratiqué du reverse engineering sur des produits antivirus pour débusquer des vulnérabilités et trouver des solutions pour contourner les systèmes de détection.

Découverte par Tavis Ormandy, un ingénieur en sécurité de Google, la vulnérabilité était située dans l’émulateur des produits Eset. Ce composant antivirus est chargé de déballer et d'exécuter le code potentiellement malveillant dans un environnement sécurisé afin de l’analyser. Les produits de cet éditeur surveillent les données entrantes et les opérations sortantes au niveau des disques et s’ils détectent un code exécutable, ils le font tourner dans l'émulateur pour marquer le code par une signature qui permettra ensuite de le détecter. « Des attaquants peuvent très facilement déclencher une émulation de code, et il est extrêmement important d’avoir un émulateur robuste et bien isolé », a déclaré l’ingénieur de Google dans blog. « Malheureusement, l'analyse de l'émulation Eset a montré que ce n’était pas le cas et que l’émulateur pouvait être facilement détourné ».

NOD32 Business Edition également concerné

La vulnérabilité trouvée par Tavis Ormandy permettait à un attaquant distant d'exécuter des commandes arbitraires en disposant des privilèges système les plus élevés. La faille est particulièrement dangereuse car elle peut être exploitée de nombreuses manières, y compris en se connectant simplement à un site Web à partir d’un navigateur, ou en téléchargeant un message dans un client de messagerie local, ou encore en branchant une clé USB dans un ordinateur, plus d’autres méthodes pouvant déclencher des opérations sur le disque. « Parce qu'elle est tellement facile à exploiter, la faille peut être utilisée pour créer un ver informatique qui se propage d'un ordinateur à un autre, y compris en passant par des clés USB, selon l’ingénieur. La vulnérabilité affecte les solutions Smart Security pour Windows, NOD32 Antivirus pour Windows, Cyber Security Pro pour Mac OS X, NOD32 pour Linux Desktop, Endpoint Security pour Windows et OS X et NOD32 Business Edition.

En début de semaine, l’entreprise de sécurité a livré une mise à jour de son moteur de balayage pour corriger la faille, et les utilisateurs sont invités à mettre à jour leurs produits. « La vulnérabilité a été découverte dans la routine d'émulation utilisée par un scanner particulier pour une famille spécifique de logiciels malveillants et n'a pas eu d'incidence sur le moteur d'émulation principal », a précisé Eset dans un communiqué envoyé par courriel.

Le monde de la sécurité en alerte

Ce n’est pas la première fois que les chercheurs en sécurité trouvent de graves vulnérabilités dans les produits antivirus. En 2012, Tavis Ormandy avait déjà trouvé des vulnérabilités critiques dans Sophos Antivirus et l’an dernier il a trouvé une faille pouvant être exploitée pour désactiver à distance le moteur de protection utilisé par de nombreux produits antimalwares de Microsoft. L'an dernier également, Joxean Koret, chercheur pour l’entreprise privée Coseinc basée à Singapour, qui fournit des services de sécurité très spécialisés, a trouvé des dizaines de vulnérabilités exploitables localement et à distance dans 14 moteurs antivirus.

En début de semaine également, le site The Intercept a rapporté qu’en 2008, le Government Communications Headquarters (GCHQ), le service de renseignements électronique du gouvernement britannique, avait déposé une demande de renouvèlement de mandat l’autorisant à faire de l’ingénierie inverse sur les produits antivirus de Kaspersky Lab afin d’y chercher des failles. The Intercept indique par ailleurs que, selon les documents secrets divulgués par l'ancien consultant de la NSA Edward Snowden, l’agence de sécurité nationale américaine s’est également intéressée aux produits antivirus pour contourner leur détection.

Plus tôt ce mois-ci, Kaspersky Lab avait déclaré que certains de ses systèmes internes avaient été infectés avec une nouvelle version d'un outil de cyberespionnage sophistiqué, Duqu 2.0. Les assaillants, que l’éditeur soupçonne fortement d’être soutenus par un État, ont essayé de voler la propriété intellectuelle de Kaspersky, y compris des informations sur ses dernières technologies et sur ses enquêtes en cours. « Ce n’est ni nouveau ni surprenant que les agences de renseignement pratiquent l’ingénierie inverse sur les produits de sécurité pour y trouver des vulnérabilités, et des moyens pour contourner leurs mécanismes de protection », a déclaré le chercheur en vulnérabilité Carsten Eiram. « Cependant, il est assez préoccupant de voir qu’elles visent également les entreprises de sécurité pour voler leur propriété intellectuelle ».

MAJ : Selon un communiqué de presse d'Eset, la vulnérabilité a été corrigée. Reste à télécharger la mise à jour.

COMMENTAIRES de l'ARTICLE1

le 01/07/2015 à 10h26 par ESET_France (Membre) :

Bonjour,

Le 22 Juin 2015, ESET a publié une mise à jour qui corrige une vulnérabilité dans le moteur d’analyse liée à l'émulation de code. Cette dernière n'a pas affecté le noyau du moteur d'émulation.
Au moment de la notification, ce code n’était déjà plus présent dans notre moteur beta (pré
-version). Depuis, le correctif est distribué à travers des mises à jour automatiques régulières.
Veuillez donc vous assurer que votre base de données de signatures de virus est à jour. Tous les produits, dont la version de base de données de signatures de virus est
supérieure à 11824, ne contiennent pas la vulnérabilité.

Plus d’infos sur : http://kb.eset.com/esetkb/index?page=content&id=SOLN3739&viewlocale=fr_FR

Merci,

L'équipe ESET France

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
16 Septembre 1985 n°202
Publicité
Publicité