Symantec admet l’utilisation d’un rootkit dans Norton SystemsWorks

Cloud

L’application crée un répertoire caché qui pourrait être utilisé par des hackers pour dissimuler du code malveillant. Une mise à jour est disponible.

Le spécialiste de la sécurité Symantec a admis avoir utilisé une technologie de type rootkit dans son logiciel Norton SystemsWorks. Cette technologie permet de rendre un répertoire invisible à l’utilisateur et au système d’exploitation, a indiqué l’éditeur dans un bulletin de sécurité.

« Des fichiers présents dans ce répertoire pourraient ne pas être scannés lors d’une recherche programmée ou manuelle de virus. Il constitue un emplacement dans lequel un attaquant pourrait cacher un code malveillant », explique Symantec. La technologie est utilisée par l’éditeur pour aider les utilisateurs à récupérer des fichiers sans risque d’effacement accidentel.

Pas d’exploitation de la vulnérabilité à ce jour

« Au vu des techniques actuellement employées par les pirates informatiques, Symantec a reconsidéré l’intérêt de ce répertoire caché », poursuit le bulletin de sécurité. L’éditeur d’antivirus a publié une mise à jour téléchargeable via le service Symantec LiveUpdate. Un redémarrage de l’ordinateur est requis après son installation. Le spécialiste de la sécurité a insisté sur le fait qu’il n’avait connaissance d’aucune tentative d’exploitation par des hackers ou auteurs de virus.

Symantec a attribué la découverte de cette vulnérabilité à l’éditeur F-Secure et au développeur Mark Russinovich, tous deux engagés récemment dans une affaire de rootkit similaire à celle de Symantec (voir notamment édition du 3 novembre 2005). Mark Russinovich avait ainsi révélé que Sony BMG avait utilisé un rootkit pour dissimuler la technologie XCP, le système anticopie de ses CD audio. Après le tollé provoqué par cette affaire auprès des consommateurs et des spécialistes de la sécurité, Sony, qui fait l’objet de poursuites judiciaires (voir édition du 10 janvier 2006), a dû se résoudre à retirer ses CD de la vente.

Des circonstances atténuantes pour Symantec

Dissimuler des logiciels derrière un rootkit est une technique très utilisée par les pirates informatiques, c’est pourquoi les affaires de Sony BMG et Symantec ont été associées à ces outils de hackers. Cependant, un rootkit ne se contente généralement pas de cacher des fichiers, étant utilisé en premier lieu pour fournir au hacker une porte dérobée (backdoor) lui donnant un accès à l’ordinateur attaqué.

Si Sony BMG et Symantec ont tous deux dissimulé des fichiers, le cas de Norton est beaucoup moins grave que celui de la technologie XCP, a précisé Mikko Hyppönen, directeur de la recherche de F-Secure. « La principale différence entre le rootkit de Sony et celui de Symantec n’est pas technique mais idéologique. Le rootkit de Symantec fait partie d’une fonctionnalité utile et documentée ; il peut être facilement activé, désactivé ou désinstallé par l’utilisateur. Ce qui n’est pas le cas du rootkit de Sony », écrit-il sur le blog de F-Secure. (Traduction d’un article de VNunet.com en date du 13 janvier 2006)