Les antivirus Windows ne seraient plus qu'une douce illusion...
Dans un rapport technique, la société Matousec (spécialisée dans la sécurité) présente un nouveau genre d’attaque baptisée KHOBE (Kernel Hook Bypassing Engine) qui permettrait à n’importe quel virus de tromper la vigilance de tous les antivirus Windows. Le fonctionnement est assez vicieux car, il exploite les appels faits au kernel que les antivirus surveillent.
En effet, lorsqu’un virus déboule sous votre ordi, il communique avec Windows au travers de ces appels kernel pour réaliser diverses opérations (lecture, écriture…etc. sur le disque ou en mémoire). Les antivirus du marché sont capables de détecter ces appels et de dégainer leur taser de virus dès que ces appels sont louches et/ou dangereux.
La méthode KHOBE utilise 2 processus pour tromper la vigilance de l’antivirus. Le premier processus lance un appel “sain” au kernel, montrant ainsi patte blanche. L’antivirus s’apprête alors à laisser passer cet appel, sauf que le second processus intervient pile poil à ce moment-là et modifie l’appel à la volée, découvrant ainsi son vrai visage diabolique. Sauf qu’il est trop tard, l’antivirus lui a déjà donné un laissez-passer…
Vous l’aurez compris, c’est chaud de chez chaud et avec cette technique, l’antivirus a autant d’effet qu’une passoire qui servirait à vider la piscine d’Eugène Kaspersky.
Matousec a effectué des tests uniquement sous Windows XP SP3 et Vista SP1 mais affirme que ça fonctionnerait de la même manière sous Windows 7. J’ai néanmoins un doute car pour tester si votre Windows est faillible ou pas à ces attaques, Matousec fournit un outil qui est censé simuler ces attaques sur le kernel (BSODhook) et qui n’a pas fonctionné sur mon Windows 7, qu’il soit ou non lancé en Administrateur. Du coup, si c’est ce que je crois, Windows 7 semble relativement sécurisé pour éviter cette catastrophe. J’attends quand même de voir les tests que fera Matousec sur Win7.
Voici la liste des antivirus testés… Et pas de bol, ils sont tous kaputs, même les plus sérieux !
[Photo]
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).