E. Filiol (ESIEA – iAWACS) : « Minimiser l’impact des résultats du test, c’est malhonnête »

ITespresso.fr : Néanmoins, dans les éléments fournis à la presse, il manquait des détails importants. En particulier le fait que « l’attaque conventionnelle » était réalisée au niveau local et non pas en réseau…
Eric Filiol : Cela ne change rien. Soit les éditeurs n’y connaissent rien dans le fonctionnement des virus soit ils font exprès de ne pas savoir. A croire qu’ils n’ont jamais analysé les virus. Ils nous serinent avec les menaces informatiques comme Conficker et après ils ont des arguments à trois sous. Nous disposions d’un temps limité pour réaliser ce test et on n’a pas eu le temps de monter une attaque par réseau. Maintenant, vous lancez un code. Tout ce qui a été fait est automatisable avec des codes. Il s’agit juste d’exploiter une vulnérabilité de type Zero Day permettant une escalade de privilège. Rien que pour les outils anti-virus, c’était 800 vulnérabilités critiques recensées en 2008. Vous faîtes un virus qui s’introduira dans la machine à distance avec des privilèges systèmes. Le fait que l’on soit physiquement assis devant la machine ne constituait qu’un aspect pratique. Mais n’importe quelle personne qui baigne dans l’écriture de shell code et en virologie informatique sait très bien que c’est automatisable et à distance. Mais il ne faut pas confondre la charge finale du code  et son utilisation dans un virus à distance. Ce sont deux choses différentes. De notre côté, nous nous sommes concentrés sur la charge finale : quand un code arrive dans la machine ou qu’une personne arrive devant la machine, il est capable de faire tout cela.

ITespresso.fr : Vous estimez donc que l’on aurait obtenu les mêmes résultats du test en menant une attaque par réseau ?
Eric Filiol : Oui. Via un réseau à distance en utilisant des shell codes et des vecteurs adaptés. Dans ce cas, on a choisi le vecteur humain mais on fait la même chose avec un code malveillant. C’est complètement automatisable. On ne va pas publier le code, ce serait irresponsable.

ITespresso.fr : Donc, de votre point de vue, il ne faut pas minimiser l’impact du test…
Eric Filiol : Pas du tout, pas du tout. Et c’est là où les éditeurs sont malhonnêtes car ils connaissent ces techniques.  Un ver comme Conficker utilise une vulnérabilité et arrive avec des privilèges systèmes. Certes, il fait autre chose en termes de charge finale mais il auraît très bien pu faire cela [désactiver les anti-virus, ndlr].

ITespresso.fr : Comment avez-vous établi votre panel d’outils anti-virus pour le test ?
Eric Filiol : On a choisi de réunir les outils qui constituent 95% du marché.

ITespresso.fr : pourquoi Microsoft Security Essentials n’y figure pas ?
Eric Filiol : La solution gratuite anti-virus de Microsoft vient tout juste d’être lancée. D’ailleurs, l’éditeur nous a contacté pour que leur outil soit testé dans les mêmes conditions. Nous avons des supers échanges avec Microsoft. Mais nous avons un problème avec la double casquette de Microsoft : éditeur de système d’exploitation et éditeur de solutions anti-virus. En attaquant ce produit, on ne voulait pas exploiter ce flou au profit des anti-Microsoft (« Windows, c’est nul »). On  fera le test avec Microsoft de toute manière. Il y a deux ans, nous avons publié un article sur OneCare et nous n’avions pas été tendre à l’époque. Je tiens à préciser que je ne suis pas un fana de Microsoft. Mais force est de reconnaître que ses équipes sont sérieuses et hyper-professionnelles.

(lire la fin de l’interview page 3)