Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



IoT : comment j'ai piraté ma maison



Baromètre de Kaspersky sur la cybercriminalité. Courrier indésirable en 2008



Courrier indésirable et phishing au deuxième trimestre 2014



Courrier indésirable en juillet 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos
 
 

  Page d'accueil / Analyses

Vista : trop de sécurité tue la sécurité

25.01.2007   |   comment

Alisa Shevchenko
Expert Antivirus, Kaspersky Lab

Windows Vista, le dernier-né de Microsoft, se présente comme un système dont la sécurité a été renforcée. A l'heure où nous écrivons ces lignes, la sortie officielle du nouveau système d'exploitation est prévue pour le 30 janvier 2007 mais la communauté informatique s'est penchée sur la question de la sécurité bien avant la diffusion de la version bêta. Quelles sont exactement les fonctions prévues pour protéger l'utilisateur ? Quelle va être leur efficacité dans le monde réel ? Est-ce vrai que la sortie de Vista marque la fin des antivirus ? Cet article tente d'apporter des réponses à la plupart des questions que se pose la communauté.

On ne peut que se réjouir de l'intérêt porté par l'éditeur du système d'exploitation pour PC numéro un, à la problématique de la sécurité de l'utilisateur. En choisissant Vista, vous optez pour un système dont les développeurs ont joints leurs efforts pour inclure des moyens de protection contre les menaces informatiques et pour lesquels la sécurité continuera d'être une priorité. Toutefois, les fonctions de sécurité intégrées proposées par la version actuelle de Vista ne veulent pas dire pour autant qu'il est possible de faire l'impasse sur des moyens de protection complémentaires (lire sur le même sujet l'article de Natalia Kaspersky intitulé "Une sécurité offerte par Microsoft : en route vers un monde nouveau ?").

Au rang des principales nouveautés en matière de sécurité proposées par Vista figurent:

  • Le système de restriction des privilèges des utilisateurs baptisé User Account Control (technologie UAC, contrôle de compte utilisateur)
  • Le système de protection PatchGuard
  • Les fonctions de sécurité d'Internet Explorer 7

Cet article n'abordera pas les technologies secondaires telles qu’Address Space Layer Randomization (ASLR), Network Access Protection, Windows Service Hardening et la protection contre le débordement de tampon.

Les composants complémentaires tels que le pare-feu et la solution contre les logiciels espions (Windows Defender) ne sera pas non plus abordée ici : il s'agit de solutions typiques et les questions sur leur utilité dans le cadre de la protection du système se réfèrent à des comparaisons avec des solutions analogues d'autres éditeurs.

Contrôle de compte utilisateur (UAC)

Le contrôle de compte utilisateur est un système de contrôle des droits de l'utilisateur. Il fonctionne selon le principe de la restriction des privilèges :

  1. tout utilisateur (y compris un "administrateur") qui ouvre une session jouit d'un ensemble minimum de droits qui correspondent à ceux du compte "utilisateur standard".
  2. Les privilèges du compte "utilisateur standard" sont un peu plus importants que ceux des comptes similaires dans les versions précédentes de Windows.
  3. Lorsque l'utilisateur ou une application exécutée par ce dernier est sur le point de réaliser une action qui n'est pas reprise dans la liste des privilèges de l'utilisateur standard, le système demande à l'utilisateur de confirmer l'action (si l'utilisateur est un "administrateur") ou de saisir le mot de passe d'administrateur (si l'utilisateur est un utilisateur standard).

L'installation d'applications et de pilotes, la création de fichiers dans les répertoires système, les modifications de paramètres quelconques du système, etc. figurent parmi les actions nécessitant des privilèges supérieurs à ceux du compte "utilisateur standard".

Tout éditeur de solution de protection contre les codes malveillants est confronté à des situations où l'action exécutée dans le système semble suspecte tandis que rien ne permet d'affirmer qu'elle est dangereuse. Dans certains cas définis par des facteurs et des actions connexes, elle est néfaste et elle est interdite et signalée. Dans d'autres situations, il peut s'agir d'une action tout à fait normale d'une application autorisée. Ces situations sont fréquentes : il existe un certain nombre d'applications inoffensives qui exécutent des actions suspectes du point de vue de la protection. Si l'utilisateur est invité à confirmer chacune de ces actions ou à saisir un mot de passe, il est certain qu’il va s’impatienter et désactiver la protection.

Nous ne pouvons dès lors admettre que la technologie UAC constitue une protection sérieuse contre les programmes malveillants. Une fonction qui irrite l'utilisateur sera plus que probablement désactivée par celui-ci. L'autre issue possible est que l'utilisateur autorise l'action ou saisisse le mot de passe sans prêter attention au message.

Cela dit, la technologie UAC offre un certain degré de protection complémentaire pour les "administrateurs". Ainsi, lorsqu'une application ne requiert pas des privilèges élevés, elle sera exécutée avec des droits restreints, même en mode "administrateur". Une vulnérabilité éventuelle dans une application de ce type sera moins grave qu'une vulnérabilité dans une application possédant des privilèges plus importants.

Il existe un autre argument en faveur de la technologie UAC. Un certain nombre de virus court-circuitent l'affichage des fenêtres d'avertissements du pare-feu ou d'autres moyens de protection contre les actions suspectes en "cliquant" sur le bouton autorisant l'action. La fenêtre a à peine le temps de s'afficher. Microsoft a prévu une protection contre ce phénomène sous la forme du système Secure Desktop : la fenêtre d'autorisation accepte uniquement la saisie de l'utilisateur.

Il ne faut toutefois pas oublier que n'importe quelle protection peut être contournée. Autrement dit, cette nouvelle couche de "blindage" est conventionnelle et, comme le montre la pratique, temporaire. Il existe d'ores et déjà quelques concepts relativement dangereux pour déjouer la technologie UAC. Nous ne les aborderons pas ici afin de ne pas accélérer la "course à l'armement".

Protection du noyau de Vista

1. PatchGuard

Le noyau de Vista, uniquement pour la plate-forme 64 bits, devrait être protégé contre les modifications, ce qui est de bon augure vu la récente diffusion de rootkit au niveau du noyau.

Ces outils sont des programmes malveillants qui dissimulent leur présence dans le système en modifiant les données du noyau, ou un ensemble d'utilitaires permettant une telle dissimulation.

PatchGuard prévoit la surveillance des modifications des tables de services, des descripteurs du noyau. A première vue, cela va résoudre tous les problèmes liés aux chevaux de Troie dissimulés. Toutefois, PatchGuard ne peut pas vraiment être considéré comme une défense efficace contre les outils de dissimulation de l'activité. Il est vulnérable. Il existe déjà des moyens documentés pour désactiver la protection. Mais la principale vulnérabilité de PatchGuard se situe au niveau de l'architecture : le code de protection est exécuté au même niveau que le code contre lequel il est censé protéger (et se protéger). La protection possède donc des droits identiques à ceux des "agresseurs" éventuels et peut dès lors être contournée ou désactivée. Les techniques d'exploitation et de désactivation de PatchGuard sont déjà connues.

PatchGuard offre une protection douteuse face aux rootkits qui s'en prennent au noyau et qui plus est, il existe d'autres rootkits pour lesquels ce type de protection est tout à fait inefficace. La surveillance de PatchGuard s'opère sur les structures statiques du noyau avec un contenu connu au préalable (SST, IDT, GDT). Il ne peut protéger les structures dynamiques et tout ce qui se situe en dehors du noyau. Le célèbre outil de dissimulation de l'activité FU est un exemple de rootkit qui fonctionne grâce à la modification des structures dynamiques. Les outils de dissimulation de l'activité qui reposent sur la virtualisation se trouvent dans les "profondeurs" du noyau et pour cette raison, sont hors de portée de PatchGuard.

La vulnérabilité principale de PatchGuard réside dans son mode de fonctionnement au même niveau que ce qu’'il est censé protéger.

Cela signifie qu’une application malveillante parvient à charger son pilote, elle pourra désactiver PG. Cela se vérifie évidemment si l'emplacement de la fonction de surveillance correspondante est connu, mais comme nous le savons depuis longtemps "obscurité" n'a pas grand chose à voir avec sécurité.

Un des avantages incontestables de la protection du noyau est qu'une application légitime ne pourra pas modifier le noyau à ses propres fins, ce qui aura un effet positif sur la stabilité et la protection du système.

Signalons que la volonté manifestée par Microsoft d'augmenter la stabilité globale du système a entraîné des effets secondaires. En interdisant à tout le monde l'accès au noyau, Microsoft a privé les éditeurs de logiciels de sécurité informatique de la possibilité d'exploiter certaines fonctions. Par conséquent, il n'est pas possible à l'heure actuelle d'utiliser en intégralité tous les outils efficaces des éditeurs de logiciels antivirus en matière de protection, non seulement ceux en rapport avec les rootkits, mais également les technologies proactives de protection contre les menaces inconnues exploitées dans les logiciels pour les versions antérieures du système d'exploitation. D'une certaine manière, les auteurs de virus sont dans une situation plus avantageuse : ils ne sont pas obligés de travailler avec PatchGuard et les rootkits peuvent tout simplement le désactiver.

S'agissant à nouveau de la protection du noyau de Vista, soulignons que PatchGuard et la vérification de la signature des pilotes sont des fonctions disponibles uniquement sur les systèmes 64 bits. Il faudra attendre un certain temps avant que la diffusion de ces systèmes soit comparable à celle des systèmes 32 bits. Vista x86 ne prévoit pas de protection particulière contre les rootkits.

2. Mode noyau obligatoire et signature des pilotes (Driver Signing)

Le deuxième composant de la protection du noyau de Windows Vista pour les plates-formes 64 bits est l'existence d'une signature numérique pour chaque module ou pilote au niveau du noyau.

Il existe quelques moyens connus pour désactiver la vérification des signatures, et notamment pour faciliter le développement et les essais des pilotes. C'est une question importante dans la mesure où il est impossible pour les éditeurs de pilotes de demander une signature électronique pour chaque construction avant les essais. Pour cette raison, il existe plusieurs méthodes permettant de désactiver la vérification des signatures :

  1. Connexion d'un débogueur de système ;
  2. Sélection dans le menu de chargement du mode sans contrôle des pilotes (notamment via la modification de boot.ini) ;
  3. Désactivation dans les paramètres de sécurité du mode de prise en charge des signatures d'essai. Il existe un utilitaire pour la création de signatures d'essai.

Trois modes documentés de désactivation de la protection laissent beaucoup de place à l'expérimentation. Et on peut supposer qu'une recherche des vulnérabilités est réalisée en parallèle. Il y a six mois, Joanna Rutkowska (spécialiste en sécurité informatique travaillant pour la société Singapourienne « Coseinc ») a démontré sa propre version d'un code d'exploitation. La faille a été comblée dans Vista RC2 mais les faits sont là.

On peut s'attendre à une multitude de moyens de contournement de la protection du noyau contre le chargement de composants dépourvus de signatures : exploitation des moyens documentés de désactivation de la protection, mise au point de codes d'exploitation semblables à l'exemple cité, obtention de privilèges au niveau du noyau sans l'utilisation d'un pilote, et exploitation d'un piloté signé d'une application légitime quelconque à des fins malveillantes (à l'instar des composants des utilitaires de récupération de mots de passe qui sont utilisés par certains virus pour le vol de données confidentielles).

La même conclusion peut être posée : oui, cette fonction protège le système d'exploitation contre les codes malveillants mais elle n'est pas aussi efficace que l'affirment l’éditeur du système d'exploitation et elle n'assure pas non plus la protection complète du système d'exploitation.

Fonctions de protection d'Internet Explorer 7

Les fonctions de protection d'IE7 devraient théoriquement débarrasser les utilisateurs du risque d'exécution d'un code d'exploitation sur une page Web qui entraînera l'exécution d'un code malveillant ou l'installation d'un cheval de Troie dans le système.

  1. Le mode protégé correspond à l'exécution du code du navigateur avec les privilèges les plus faibles, ce qui limite l'accès au système de fichiers, à la base de registre système, etc.

L'utilisateur peut activer ou désactiver le mode protégé pour chaque zone. Il est désactivé par défaut pour les nœuds de confiance (faisant partie de la catégorie Zone de confiance). De plus, Microsoft propose Protection Mode API pour la création d'éléments d'administration compatibles avec le mode protégé1. Il s'agit d'une toute nouvelle fonction qui n'a pas encore subi l'épreuve du feu et qui présentera plus que probablement des vulnérabilités.

  1. ActiveX Opt-in est une fonction d'interdiction forcée de tous les éléments de commande ActiveX, à l'exception de ceux ouvertement autorisés par l'utilisateur.

L'avantage de cette fonction n'est pas clair : la possibilité de désactiver Active X a toujours existé dans IE, la seule différence étant que dans IE7, cette fonction est activée par défaut. De plus, l'expérience fournie par les versions antérieures d'IE nous montre que l'utilisateur n'est pas disposé à désactiver ActiveX et à se priver de la possibilité de regarder des animations Flash sur les pages qu'il visite, et qu'il n'a pas envie d'être confronté non plus à une boîte de dialogue du système de protection chaque fois qu'il veut regarder ce genre d’animation. Nous pouvons affirmer que de ce point de vue, l'utilisation d'IE7 en a pâti (l'exécution d'ActiveX inconnus était et sera autorisée).

  1. La fonction Cross-Domain Scripting Attack Protection est censée interdire l'interaction de scripts entre différents domaines, et protéger ainsi l'utilisateur contre les tentatives d'hameçonnage.

Il convient de noter que les attaques d'hameçonnage qui utilisent le mécanisme du cross-domain scripting, ne représentent qu'un faible pourcentage des attaques que nous connaissons.

La liste complète des améliorations de la sécurité dans IE7 ne se limite pas à ces trois fonctions. Elle propose également un filtre contre l'hameçonnage (Phishing Filter), un tableau de sécurité (Security Status Bar) et d'autres fonctions.

Quels sont les points faibles des protections du type UAC, PatchGuard ou du mode protégé d'IE ?

Prenons un pare-feu fictif à titre d'exemple d'une protection par "barrière". Ce pare-feu est "intelligent" : il fonctionne non seulement sur la base d'une liste de programmes autorisés et non autorisés mais également avec les événements du système.

Lorsqu'un programme quelconque tente de transmettre des informations sur le réseau, cela représente une menace pour la sécurité. Le pare-feu peut réagir de deux manières :

  1. bloquer l'action sur la base des stratégies de sécurité (configurées peut-être par l'utilisateur)
  2. ou demander la confirmation de l'utilisateur.

Dans le premier cas de figure, il peut arriver que des applications tout à fait légitimes soient bloquées, ce qui est désagréable. L'utilisateur doit tenter de comprendre pourquoi le programme ne fonctionne pas, puis l'ajouter à la liste blanche du pare-feu. Dans le deuxième cas, l'utilisateur va devoir faire face à un volume important de fenêtres (notre pare-feu est de bonne qualité) auxquelles il devra réagir. Il est difficile de dire lequel de ces deux scénarios est le plus optimal.

Mais alors que le pare-feu qui suit l'activité des applications nous permet de réduire les alertes au fil du temps grâce à la liste blanche qui s'enrichit, une protection plus générale nous prive d'une telle option. Les menaces sont imprévisibles et diverses. La réaction face à celles-ci ne doit pas être stricte, autrement nous retombons dans le scénario "a" et ses limitations. Et si elle n'est pas stricte, elle est énervante.

La sécurité offerte par le biais de restrictions est une sécurité offerte au détriment de la convivialité.

Et qu'en sera-t-il des virus ?

Dans la version 64 bits de Vista, ce sont les chevaux de Troie qui utilisent les pilotes et les modifications des données du noyau qui vont rencontrer les plus grandes difficultés, du moins jusqu'au moment où les auteurs de ces programmes auront trouvé le moyen de contourner ces obstacles. Cette catégorie de chevaux de Troie n'est pas très peuplée et ne représente peut-être que moins de 5% de la masse globale de virus pour Windows. Vista pour les plates-formes plus répandues de 32 bits n'offre aucune protection du noyau et par conséquent aucune protection contre ce type de cheval de Troie.

Le contrôle du compte utilisateur est intégré à Vista quelle que soit la plateforme. Un pourcentage sensible de chevaux de Troie devrait être affecté par cette technologie, à savoir les chevaux de Troie qui exécutent des actions requérant les privilèges d'administrateur (création de fichiers dans le répertoire système, modification de la base de registre système, configuration du démarrage automatique, etc.). Nous employons le conditionnel "devrait" car tout d'abord nous ne pensons pas que la technologie UAC soit une protection sérieuse contre les virus (cf. ci-dessus) et ensuite parce qu‘un programme malveillant a toujours la possibilité de faire des dégâts dans un cadre donné, même si ce dernier est très étroit. Par exemple, les vers qui se diffusent dans les réseaux P2P n'exécutent aucune action interdite. Ils créent simplement leur copie dans les répertoires utilisés pour l'échange de fichiers. Un exemple plus dangereux, malgré sa simplicité conceptuelle, est Virus.Win32.Gpcode qui crypte les documents de l'utilisateur et qui exigent le versement d'une rançon en échange du décryptage.

Il est difficile de dire quelle sera l'influence de la protection offerte par IE7 sur les catégories de virus qui s'installent via les pages Internet. Plus que probablement, l'effet sera nul, surtout d'un point de vue élargi et en tenant compte du fait que peu de gens accepteront d'utiliser un navigateur qui interdit tout.

Conclusion. MS Vista est-il sûr ?

Vista est-il aussi sûr que l'affirme la campagne publicitaire ? Oui, Vista est sans aucun doute plus sûr que les versions antérieures du système d'exploitation de Microsoft. Et le système est configuré de telle sorte que tout est interdit à l'exception de l'accès à des sites déterminés, ce qui peut donner l'illusion d'une "sécurité absolue".

Toutefois, la majorité des utilisateurs n'est pas prête d'accepter toutes les limitations qui rendent le système stérile, ni les demandes incessantes de confirmation de l'action ou de saisie du mot de passe pour des actions qui, d'après le système, représentent "un risque potentiel". Et c'est à ce niveau que le système "qui est presqu'entièrement sûr" se transforme en système "le plus vulnérable".

N'oublions pas que l'utilisateur est le point faible de n'importe quel système de protection. Les vers de messagerie existent toujours et continuent à se diffuser malgré les nombreux avertissements des experts en sécurité qui déconseillent l'exécution de pièces jointes suspectes. Et si ces avertissements n'empêchent pas la majorité des utilisateurs d'ouvrir ces pièces jointes, qui nous dit qu'ils ne vont pas adopter la même attitude face aux alertes du système de sécurité, par exemple saisir le mot de passe de l'administrateur à la demande ? De plus, comme nous l'avons écrit ci-dessus, un système de protection qui inonde l'utilisateur de boîtes de dialogue, risque d'être désactivé ou de ne pas être pris au sérieux.

De plus, étant donné que les systèmes de Microsoft sont populaires, les individus mal intentionnés sont à la recherche de toutes les vulnérabilités. Etant donné notre optimisme impartial, nous n'estimons pas que les logiciels de Microsoft se soient distingués du point de vue de la sécurité au cours des nombreuses années de leur utilisation élevée. Le fait est que la quantité ou la qualité des barrières dressées contre les pirates ne joue pas de rôle particulier. Au contraire, elles ne font que renforcer la curiosité d'une branche déterminée des milieux informatiques criminels. Le seul élément est que les pirates et les auteurs de virus vont rechercher les vulnérabilités. Cette perspective est claire. Et une fois qu'ils auront commencé à chercher, ils vont trouver.

Conclusion philosophique

Il y a toujours un revers de la médaille lorsque la sécurité repose sur des restrictions : les restrictions en tant que telles. Elles peuvent rendre le système inutilisable.

Finalement, qu'est ce qui est préférable : un système "globalement sûr" qui ne permet pas à l'utilisateur de faire ce qu'il veut ou un système vulnérable mais convivial et ouvert à l'interaction avec des services ultra spécialisés dans la protection contre un type particulier de menace ?

La liberté s'accompagne de menaces mais les restrictions réduisent la flexibilité. Plus le nombre de restrictions augmente, plus la convivialité du système recule.

Si vous êtes jaloux, vous pouvez interdire à votre partenaire de se déplacer seul ou vous pouvez même l'enfermer entre quatre murs. Plus les restrictions sont importantes, plus la probabilité d'une incursion est réduite. Plus les restrictions imposées sont nombreuses, plus malheureux sera le partenaire privé ainsi de sa liberté. La question est de savoir si vous avez besoin d'un partenaire malheureux

Même si l'équilibre parfait entre restrictions et confort d'utilisation était atteint, il ne faut pas perdre de vue le fait que dans l'histoire mondiale de la sécurité, n'importe quelle barrière de protection a été surmontée ou contournée selon le principe que ces barrières dissimulent quelque chose d'intéressant.

Quand le rôle des restrictions est réévaluer, nous obtenons la situation suivante : Les "gentils" (utilisateurs et développeurs) sont confrontés à de nombreux maux de tête et à une multitude de fenêtres dans lesquelles il faut cliquer tandis que les "méchants" (pirates et auteur de virus) apprécient les nombreux casse-têtes et l'absence de maux de tête. Pour l'instant.

Sources :

  1. Authentium blog, Microsoft Patchguard
  2. Joanna Rutkowska, “Introducing Stealth Malware Taxonomy”
  3. Joanna Rutkowska, “Subverting Vista Kernel for Fun and Profit”
  4. Guide de la sécurité sous Windows Vista

1Grâce au Protected Mode API, les éditeurs de logiciels peuvent développer des extensions et des modules pour Internet Explorer qui permettront à Internet Explorer d'interagir avec le système de fichiers et la base de registres système lorsque le navigateur est en mode protégé. (Guide de la sécurité sous Windows Vista.)

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com