C’est en exploitant le système des liens symboliques entre fichiers que les antivirus se font berner et peuvent retourner leur protection pour endommager le système d’exploitation. © sarayut_sy, Fotolia

Tech

Une faille inquiétante dans presque tous les antivirus

ActualitéClassé sous :antivirus , malware , Kasperski

-

En raison d'une grosse vulnérabilité, 28 antivirus du marché peuvent être retournés pour détruire des fichiers essentiels au fonctionnement du système d'exploitation. Que ce soit avec Windows, macOS ou Linux, aucun OS n'est épargné.

Norton, McAfee, Eset, BitDefender, Kaspersky, Avira, F-Secure, Sophos, Microsoft, FireEye, Panda, Norton, Avast, WebRoot, Comodo, .... A trop avoir de privilèges, au moins 28 des solutions de sécurité du marché ne voient plus la menace et peuvent être retournées pour nuire à l'ordinateur. C'est en tout cas ce que révèle un rapport publié par les chercheurs en sécurité de Rack911, une société située à Las Vegas aux Etats-Unis. Même si elles ont pour la plupart corrigé le tir depuis la découverte, toutes ces solutions de sécurité souffraient d'une vulnérabilité qui pouvait conduire à la désactivation de l'antivirus ou à la suppression de fichiers essentiels au bon fonctionnement du système d'exploitation. Windows, macOS, Linux, aucun de ces systèmes ne sont épargnés par la vulnérabilité de leur antivirus lorsqu'il est présent.

Cette vidéo montre comment il est possible d’exploiter la vulnérabilité de l’antivirus BitDefender pour supprimer des fichiers essentiels sur un Mac. © Rack911 Labs

Des droits administrateur retournés contre le système

La faille est subtile et la dénicher était assez improbable. L'équipe a travaillé autour des liens existants entre différents fichiers. Le système porte le nom de « lien symbolique » et permet de faire pointer un fichier vers un autre. Si un pirate parvient à introduire un fichier jugé malveillant par l’antivirus, celui-ci va alors le supprimer où le mettre en quarantaine. Admettons que le fichier en question est parvenu juste avant sa neutralisation à créer des liens symboliques pointant vers des fichiers essentiels au fonctionnement du système et même de l'antivirus. Ce dernier va alors également les supprimer ou les isoler et ce, même s'il s'agit de fichiers dotés d'un haut niveau de protection. C'est en effet en raison de sa mission de protection que l'antivirus dispose de presque tous les droits pour déplacer ou supprimer les fichiers contaminés, même les plus essentiels.

Au final, au mieux, avec l'antivirus désactivé, il serait possible de laisser la porte ouverte à n'importe quel nuisible, ou bien de faire « planter » le système d'exploitation au point de le rendre inutilisable.

Cela vous intéressera aussi
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !