Sécurité : Périmétrique empoisonné et ruse d’anti-antivirus

Depuis le début du mois d’août, LeMagIT vous propose de découvrir des extraits de CNIS Mag. Ce magazine sur la sécurité des systèmes d’information a ouvert ses portes le 16 septembre à l'occasion des Assises de la sécurité. Dans cet article, un point sur la récente prolifération des faux antivirus

cnis logoLa guerre contre les antivirus douteux et les « paniquiciels » (cousin gaulois du Scareware) est loin d’être gagnée. Tous les chevaux du roi, Microsoft et l’Etat de Washington, avaient bien, il y a deux semaines, condamné un vendeur d’antivirus frelaté. Mais pour un aigrefin mis sous les verrous, il en apparaît vingt autres. L’un des derniers recensements de Dancho Danchev –ce ne sera jamais que la neuvième liste de ce genre - en dénombre 38, certains même avec leurs adresses IP associées appartenant manifestement au même bloc. La disparition des Atrivos et autres fantômes du RBN n’ont rien, strictement rien changé. Mais peut-être ces statistiques sur les faux antivirus dépassent-elles l’entendement : il en va toujours ainsi avec les chiffres de la sinistralité. Sorti du cadre individuel et du pathos qui se dégagent d’un drame particulier, les grands massacres laissent indifférents. Plutôt la mort de l’orpheline que la boucherie du Chemin des Dames, plutôt le dramatique fauchage d’un Vélib que les statistiques d’un week-end du 15 août. 


C’est en partie pour cette raison que notre éminent confrère du Register, John Leyden, ne rapporte qu’un chiffre : 15 millions de dollars par mois. C’est ce que rapporterait à chaque vendeur la distribution de ces faux antivirus. Une statistique très hypothétique émise par un éditeur d’A.V., et dont le sérieux est fortement discuté par Graham Clueley, porte-parole de Sophos, société concurrente de la première et vieux briscard du monde des vaccins informatiques. Mais le « buzz » est lancé. Plutôt que 40 réelles nouvelles tentatives d’escroqueries chaque quinzaine, l’on préfère monter en épingle un hypothétique chiffre d’affaires catastrophiste qui frappera mieux les idées.

Même réaction du côté de Computer Associates, qui s’émeut d’une forfaiture… pis encore, d’un crime de lèse-majesté : d’infâmes auteurs de « scarewares » se sont permis de substituer au centre de sécurité Vista une imitation presque aussi vraie que nature. Ensuite, nous explique Security News qui reprend l’information, l’imitation en question détecte de dangereux virus que seul un prétendu Windefender 2008 saura éradiquer. Le pseudo-centre de sécurité contrôlant la quasi-totalité des moyens de communication de Windows, toute navigation sur le web, tout téléchargement d’un antivirus légitime est impossible… exception faite du Windefender dontauquel dusujet koncausait. Lequel, on s’en doute, n’est pas plus gratuit qu’il n’est efficace. Au passage, quelques backdoors s’installent, entre le premier et le second acte. Deux sécurités –pour les pirates – valent mieux qu’une.

Que peut-on, que doit-on retirer de ce triple éclairage sur les véritables « faux antivirus » ? Qu’il est plus simple, pour un éditeur d’A.V., de parler au cas par cas, de mettre en relief les aspects effrayant d’une seule menace à la fois. C’est Fabrice Del Dongo à Waterloo, le journaliste de CNN sur les balcons d’un hôtel de Bagdad : une vision parcellaire du théâtre d’opération, à l’échelle humaine, à l’échelle des sentiments… parfaitement « étudiée pour » que les internautes comprennent le message et achètent un « véritable, efficace, légitime antivirus ». L’expert, quand à lui, trace de grandes lignes précises, reflet des métriques qu’il accumule quotidiennement. C’est tout Waterloo, c’est l’opération Desert Storm en quelques lignes. Dépassionnée, certes, moins impressionnante, mais capable de donner une idée précise de l’ampleur des dégâts, des contre-mesures envisageables –ou de l’aspect imparable de la menace-.

[Retrouvez toute l'actualité de Cnis Mag' sur son site web : http://www.cnis-mag.com]

Pour approfondir sur Protection du terminal et EDR