Kaspersky s’attaque aux rootkits

Attendue depuis plusieurs mois maintenant, la version 6 de Kaspersky Antivirus (KAV) pour les particuliers devrait sortir d’ici la fin du mois d’avril ou début mai. « Nous avons pris énormément de retard car la sortie des produits est dictée par les ingénieurs », justifie Stéphane Le Hir, directeur général de Kaspersky Lab France, « ils ont préféré retarder la sortie pour proposer un meilleur produit malgré la possibilité de mettre à jour l’application à distance. » Le dirigeant ne dira pas quel module a donné du fil à retordre aux ingénieurs de l’entreprise mais cette nouvelle version se distingue notamment de la précédente par la prise en charge des rootkit.

Rappelons que les rootkits ne sont pas des virus ou des programmes espions en soi mais un procédé qui permet de dissimuler l’exécution d’applications sur une machine. Concrètement, un pirate exploitera un rootkit pour ouvrir des backdoor (ou « portes dérobées ») qui établissent un accès direct entre la machine visée et la sienne, maintenir l’accès distant à une machine infectée dans le temps, installer des scripts malfaisants, surveiller un trafic réseau, effacer les traces d’une intrusion, etc., le tout dans la plus totale discrétion vis-à-vis de l’utilisateur victime. « A cause des rootkits, on ne peut plus faire confiance au système », soutient Marc Blanchard, directeur de l’ESAC (European Scientific Antivirus Center), la laboratoire européen de Kaspersky.

Surveillance des applications cachées

A titre d’exemple, il y a quelques mois, Sony Music avait utilisé un rootkit sur certains de ses CD audio afin de rendre invisible l’activation d’un système d’anticopie des titres musicaux lorsque les utilisateurs tentaient d’écouter les disques sur un ordinateur (voir édition du 3 novembre 2005). Si le rootkit n’était pas nuisible en soit (bien qu’il soit difficile à désinstaller), il a ouvert une brèche dans la sécurité du système. Brèche dans laquelle nombre de pirates tentent aujourd’hui de s’engouffrer pour prendre le contrôle des machines « rootkitées » par Sony. « Plusieurs ‘exploit’ du rootkit de Sony circulent sur Internet », confirme Marc Blanchard. Ce qu’ont également constaté d’autres éditeurs de sécurité dont F-Secure et Sophos (voir édition du 14 novembre 2005).

Les rootkits représentent l’une des plus inquiétantes menaces de sécurité parmi les récentes stratégies d’attaques des pirates. Il devient donc indispensable d’intégrer des parades dans les solutions de sécurité. Dans ce cadre, KAV 6.0 intègre donc plusieurs techniques pour tenter de limiter l’exploitation d’un éventuel rootkit. Notamment, sous Windows XP, en surveillant les applications cachées de la liste des processus. « On ne surveille pas le rootkit en lui-même mais les processus malicieux permis par le rootkit », précise le responsable technique. On le croit sur parole mais il restera à vérifier la pertinence des choix technologiques pour mesurer l’efficacité de la solution.

Simplification de l’offre à deux produits

L’anti-rootkit n’est évidemment pas la seule amélioration induite par KAV 6. L’éditeur a poursuivi l’optimisation de son interface (qui avait de quoi dérouter les utilisateurs novices en matière de sécurité), notamment en unifiant les services contre les virus, spam, phishing, firewall, etc., proposés dans la version Internet Security (KIS). L’éditeur en a d’ailleurs profité pour simplifier son offre en proposant le seul antivirus d’une part (qui intègre également le module anti-spyware) et la suite complète KIS d’autre part, contre quatre produits précédemment.

L’accélération du moteur d’analyse, l’optimisation de l’usage de la mémoire vive, la gestion des priorités, l’amélioration du firewall et une option de restauration du système sont les principales nouveautés de cette sixième version. Et toujours les mises à jour des signatures virales et de spam en quasi temps réel (pratiquement toutes les heures) qui place aujourd’hui Kasperky aux premiers rangs des solutions de sécurité personnelle.