Ça buzze de l’autre côté de l’ex-rideau de fer. Il y a quelques jours déjà, un article de l’agence Reuters accusait Kaspersky d’avoir trompé certains de ses concurrents en faisant en sorte que leurs outils détectent des virus là où il n’y en avait pas. Lorsqu’un antivirus provoque un « faux positif », cela se fait en général au détriment de quelques fichiers placés, au mieux, en quarantaine, au pire, détruits, selon les réglages du logiciel de protection périmétrique. Déjà, dans les années 80, des tentatives d’injection de signatures (sans la moindre charge destructrice) avaient fait l’objet de diffusions sauvages, sans que l’on n’ait jamais très bien pu situer la source. Mais de là à imaginer un acte de sabotage délibéré dans le but d’éliminer ou affaiblir la concurrence, il y a une certaine marge.
Piqué au vif, Kaspersky nie énergiquement au fil d’un long billet de blog, faisant remarquer que les seules sources dont Reuters peut se prévaloir sont, d’une part, un « informateur anonyme » qui n’apporte pas franchement de preuves directes, et une expérience effectivement conduite par les laboratoires de Kaspersky et portant sur l’influence mutuelle d’une détection de signature dans le cadre d’un moteur « multi-AV » tel que Virus-Total. Expérience qui n’a effectivement que valeur de test et non d’attaque en règle. D’ailleurs, la pratique est assez répandue, confirme Boris Sharov, patron de DrWeb, le principal concurrent de Kaspersky en Russie. Fabriquer du « faux positif », explique-t-il à Brian Krebs, a permis de comprendre comment certains concurrents enrichissent leurs bases de signatures en se reposant en partie sur la réaction des produits concurrents. A ce jeu de l’imitation, le moindre défaut d’un des joueurs entraîne tous ses partenaires à commettre la même erreur.
A l’exception des fameux fichiers « Eicar » spécifiquement destinés à vérifier le bon fonctionnement d’un logiciel de filtrage, il ne devrait exister aucun autre « faux positif intentionnel diffusé dans la nature ». Et c’est en se reposant sur cet axiome que quelques éditeurs préfèrent « suivre » le travail de leurs concurrents, économisant ainsi une certaine dose d’énergie dans la recherche et l’analyse de charges de destruction logicielles.
Cette histoire rappelle un peu l’affaire des commandes « AT » destinées à paramétrer les modems dans les années 80. Ce préfixe AT avait pour but de prévenir l’équipement de communication que tout ce qui allait suivre s’adressait à lui à des fins de réglage et ne devait pas être transmis. Certains fichiers de commandes AT facilitaient d’ailleurs plusieurs opérations de tests et de contrôle de bon fonctionnement. Or, l’inventeur de ce jeu de commandes, Denis Hayes, constatant que beaucoup de ses concurrents ne versaient pas les droits de propriété intellectuelle liés à son dépôt de brevets, a discrètement diffusé un jour un « fichier de test » destiné à bloquer le fonctionnement de l’équipement si celui-ci n’intégrait pas le jeu d’instruction original. Les clones en furent pour leurs frais.
Mais l’image de marque de Denis Hayes a irrémédiablement été ternie par ce qui a été considéré comme un véritable acte de cyber-vandalisme. Destruction relative, car un simple « reset » suffisait à rétablir le fonctionnement des modems « ATéifiés ». Pourrait-on imaginer qu’un éditeur, d’antivirus ou autre programme de sécurité, puisse commettre un impair comparable ? En Europe, c’est peu probable. Il n’en demeure pas moins que cette aventure replace sous les feux de la rampe l’absence de confiance mutuelle dont peuvent parfois faire preuve les éditeurs dans ce secteur, et le fait que les antivirus « intelligents » (heuristiques disent les savants) qui ne reposeraient plus du tout sur de simples fichiers de signatures appartiennent encore au domaine du rêve technologique.
Mais l’histoire ne s’arrête pas là. En début de semaine, Tavis Ormandy, chercheur réputé chez Google, affirmait avoir découvert une faille autorisant un accès distant/exécution à distance… dans le code des antivirus Kasperky. Affirmation clamée sur Twitter et adressée à Ryan Naraine (lequel travaille précisément pour le compte de Kaspersky). Certains commentateurs s’en offusquent, ainsi Graham Clueley, qui, durant les quelques 3 dernières décennies, a émargé chez les principaux éditeurs d’antivirus britanniques (Dr Solomon, Sophos). Reste qu’Ormandy a mis le doigt sur un défaut quasi mythique, le fameux « trou généralisé » qui pourrait transformer un antivirus en un formidable botnet. Et ça, ça peut faire fantasmer toute la planète SSI et décrocher la première page des journaux. Ne paniquons pas pour autant, car si Ormandy a clamé sa découverte publiquement, les détails techniques n’ont pas été dévoilés.
Kaspersky n’est probablement pas le pire des éditeurs en matière de code sécurisé. Ce que Tavis Ormandy a découvert pourrait bien inspirer d’autres chercheurs, sur d’autres moteurs d’AV. La perfection n’étant certainement pas du monde de l’écriture de code, l’on pourrait bien assister dans les mois qui suivent à un petit festival de trous critiques, tous liés à des outils de défense périmétrique.