Fidèle à sa "promesse", Symantec livre sa troisième volée de conclusions sur le niveau de sécurité de Windows Vista, appelé à succéder à Windows XP en fin d'année. Cette fois, c'est le noyau même du système qui est scruté et analysé. Et une fois encore, l'éditeur californien n'y va pas de main morte...
Jamais deux sans trois...
Par deux fois, déjà, Symantec a (ou)vertement critiqué le niveau de sécurité de Windows Vista, que Microsoft compte commercialiser en fin d'année (pour les versions Professionnelles), ou début 2007 (pour les autres déclinaisons) : le premier rapport rendu par l'éditeur de Cupertino faisait état des lacunes du successeur de Windows XP au niveau de sa pile réseau, avant de s'attaquer, dans un second bulletin, à la gestion des comptes d'utilisateurs. Les deux fois, Symantec avait été plus que critique à l'égard du niveau général de sécurité de Vista, mais s'était un peu décrédibilisé en se basant sur une version relativement ancienne de Windows Vista (une build 5365 64-bit née en avril dernier). Le choix d'une version x64 s'expliquait par le fait qu'elle était supposée être la mouture la mieux sécurisée de Vista, et devait constituer un bon point de repère au moment d'évaluer les efforts de Microsoft dans le domaine de la sécurité. Le troisième volet de l'examen de Vista parait aujourd'hui, et concerne le coeur même du système : le noyau.
Le noyau, mais pas la pêche...
La semaine passée, une jeune "hackeuse" polonaise répondant au joli nom de Joanna Rutkowska lançait un fameux pavé dans la mare, en démontrant qu'il était possible de faire prendre à Windows Vista x64 des vessies pour des lanternes ; en l'occurrence, des programmes malicieux pour des pilotes de bonne facture. Cet épisode de la Black Hat 2006 restera longtemps dans les annales, car il mettait en évidence les lacunes de Vista à son niveau le plus élémentaire (et le plus crucial), à savoir le noyau. Les pilotes trafiqués par Joanna Rutkowska venait en effet directement se greffer sur cette partie centrale du système d'exploitation, supposé incorruptible et inattaquable.
L'intégrité de cette portion du code source de Windows Vista ne pouvait certes être altérée, mais les commandes qu'elle envoyait au reste du système pouvait sans problème être détournées, en insérant subrepticement une couche logicielle supplémentaire (et discrète), sous la forme d'un rootkit. C'est sur ce thème que Symantec remet le couvert aujourd'hui.
Des couches de protection vulnérables '
A la base, il existe une fonction d'examen de l'intégrité du système sur Windows Vista. Les développeurs l'ont surnommé, non sans humour, "Body Cavity Search", que l'on pourrait traduire par "fouille au corps". Son objet est d'explorer tous les recoins du système, afin de débusquer tout programme malicieux qui pourrait s'y cacher. Une protection supplémentaire destinée à protéger l'intégrité du noyau de Vista a même été mise en place. Elle se nomme "PatchGuard", et elle fait périodiquement le tour de certaines portions vitales du noyau, afin de s'assurer de leur validité. En cas de doute, le système est interrompu, puis réparé à partir d'une copie sécurisée dudit noyau, voire en restaurant certains dossiers depuis le DVD d'installation, au besoin en réinstallant complètement Vista.
Il semble pourtant que cette fonction "PatchGuard" ne soit pas infaillible. Elle pourrait même, selon Symantec, être purement et simplement contournée au moyen d'un programme malicieux, et laisserait la porte ouverte à une corruption du noyau de Vista. Microsoft remercie (sic) Symantec de sa sollicitude, tout en s'interrogeant sur les raisons qui ont poussé l'éditeur californien à baser ses études sur une version aussi ancienne de Windows Vista bêta. Une façon détournée de rappeler que depuis l'arrivée de Microsoft sur le marché des logiciels de sécurité en général, et des antivirus en particulier, les rapports entre les deux firmes se sont singulièrement rafraîchis...
Celles et ceux parmi vous qui lisent couramment l'anglais, et veulent s'imprégner jusqu'à plus soif des conclusions de Matthew Conover, chef analyste chez Symantec, sur la sécurité de Vista, peuvent télécharger ce copieux document PDF.
Jamais deux sans trois...
Par deux fois, déjà, Symantec a (ou)vertement critiqué le niveau de sécurité de Windows Vista, que Microsoft compte commercialiser en fin d'année (pour les versions Professionnelles), ou début 2007 (pour les autres déclinaisons) : le premier rapport rendu par l'éditeur de Cupertino faisait état des lacunes du successeur de Windows XP au niveau de sa pile réseau, avant de s'attaquer, dans un second bulletin, à la gestion des comptes d'utilisateurs. Les deux fois, Symantec avait été plus que critique à l'égard du niveau général de sécurité de Vista, mais s'était un peu décrédibilisé en se basant sur une version relativement ancienne de Windows Vista (une build 5365 64-bit née en avril dernier). Le choix d'une version x64 s'expliquait par le fait qu'elle était supposée être la mouture la mieux sécurisée de Vista, et devait constituer un bon point de repère au moment d'évaluer les efforts de Microsoft dans le domaine de la sécurité. Le troisième volet de l'examen de Vista parait aujourd'hui, et concerne le coeur même du système : le noyau.
Le noyau, mais pas la pêche...
La semaine passée, une jeune "hackeuse" polonaise répondant au joli nom de Joanna Rutkowska lançait un fameux pavé dans la mare, en démontrant qu'il était possible de faire prendre à Windows Vista x64 des vessies pour des lanternes ; en l'occurrence, des programmes malicieux pour des pilotes de bonne facture. Cet épisode de la Black Hat 2006 restera longtemps dans les annales, car il mettait en évidence les lacunes de Vista à son niveau le plus élémentaire (et le plus crucial), à savoir le noyau. Les pilotes trafiqués par Joanna Rutkowska venait en effet directement se greffer sur cette partie centrale du système d'exploitation, supposé incorruptible et inattaquable.
L'intégrité de cette portion du code source de Windows Vista ne pouvait certes être altérée, mais les commandes qu'elle envoyait au reste du système pouvait sans problème être détournées, en insérant subrepticement une couche logicielle supplémentaire (et discrète), sous la forme d'un rootkit. C'est sur ce thème que Symantec remet le couvert aujourd'hui.
Des couches de protection vulnérables '
A la base, il existe une fonction d'examen de l'intégrité du système sur Windows Vista. Les développeurs l'ont surnommé, non sans humour, "Body Cavity Search", que l'on pourrait traduire par "fouille au corps". Son objet est d'explorer tous les recoins du système, afin de débusquer tout programme malicieux qui pourrait s'y cacher. Une protection supplémentaire destinée à protéger l'intégrité du noyau de Vista a même été mise en place. Elle se nomme "PatchGuard", et elle fait périodiquement le tour de certaines portions vitales du noyau, afin de s'assurer de leur validité. En cas de doute, le système est interrompu, puis réparé à partir d'une copie sécurisée dudit noyau, voire en restaurant certains dossiers depuis le DVD d'installation, au besoin en réinstallant complètement Vista.
Il semble pourtant que cette fonction "PatchGuard" ne soit pas infaillible. Elle pourrait même, selon Symantec, être purement et simplement contournée au moyen d'un programme malicieux, et laisserait la porte ouverte à une corruption du noyau de Vista. Microsoft remercie (sic) Symantec de sa sollicitude, tout en s'interrogeant sur les raisons qui ont poussé l'éditeur californien à baser ses études sur une version aussi ancienne de Windows Vista bêta. Une façon détournée de rappeler que depuis l'arrivée de Microsoft sur le marché des logiciels de sécurité en général, et des antivirus en particulier, les rapports entre les deux firmes se sont singulièrement rafraîchis...
Celles et ceux parmi vous qui lisent couramment l'anglais, et veulent s'imprégner jusqu'à plus soif des conclusions de Matthew Conover, chef analyste chez Symantec, sur la sécurité de Vista, peuvent télécharger ce copieux document PDF.
