Un faux logiciel antivirus actuellement en circulation utilise une douzaine de certificats de signature de code volés, vient d'indiquer Microsoft. Cette découverte montre une recrudescence des vols au sein du réseau de développeurs, ajoute l'éditeur. Le logiciel est apparu en 2009 sous la marque « Antivirus Security Pro ». Il a évolué en prenant plusieurs noms, mais Microsoft l'a baptisé sous une appellation unique « Win32/Winwebsec ».

Les certificats numériques, émis par des autorités de certification, sont utilisés par les développeurs pour « signer » leurs logiciels. Ils peuvent ainsi chiffrer le code et vérifier que le programme n'a pas été modifié et authentifier l'identité du développeur. Si un cybercriminel obtient ce certificat, il peut signer ses propres programmes.

Les échantillons de « Antivirus Security Pro » analysés par Microsoft montrent le vol de plusieurs certificats émis par différentes autorités de certification pour les développeurs (VeriSign, Comodo, Thawte et DigiCert). Ces dernières sont situées aux Pays-Bas, Etats-Unis, Russie, Allemagne, Canada et Royaume-Uni. L'utilisation de certificats volés n'est pas nouvelle, mais la méthode est considérée comme difficile à réaliser, car les pirates doivent préalablement les voler à une organisation qui émet les certificats. Dans les échantillons observés, un des certificats avait été émis trois jours avant l'analyse. Microsoft reste néanmoins philosophe en indiquant que « les fournisseurs de malwares volent régulièrement de nouveaux certificats, plutôt que d'utiliser des certificats plus anciens ».

Un second faux antivirus touché

La firme de Redmond a trouvé également un autre antivirus bidon appelé « Win32/FakePav » qui fait tourner des certificats volés. Ce programme a été détecté en 2010 et s'est décliné en une trentaine de noms. Au départ, il n'utilisait pas de certificats, mais Microsoft a découvert un certificat volé qui a été remplacé par un autre deux jours après son analyse. Ces deux certificats ont été délivrés pour le même nom, mais par des autorités différentes.

Pour éviter les problèmes, les développeurs doivent s'assurer de la protection des clés privées des signatures de code en utilisant du matériel sécurisé comme des cartes à puce ou des tokens USB. L'autre option est de demander la révocation du certificat compromis par l'autorité de certification. Cependant, Microsoft constate que cette option « est gênante, coûteuse et peut également entraîner une perte de réputation de l'entreprise ».