ASafety - AntiSecurity Un projet qui vous tiendra @coeur...

[kidsatch]

Bonjour à tous,

Parcourant le magazine "Ca m'interresse" de Juillet 2010, je suis tombé sur ces quelques lignes qui m'ont étonné; jugez plutôt :

Des experts en sécurité informatique, réunis en mai pour la deuxième année consécutive par l'école d'informatique ESIEA, ont testé quinze antivirus parmi les plus utilisés. Bilan: aucun n'a résisté aux attaques des faux pirates qui ont réussi à tromper le programme dans 90% des cas. Heureusement, les vrais pirates sont souvent moins doués.

Ne serait-ce pas l'inverse?

[Jill]

Oui j'avais aussi lu ça, je crois qu'en fait le but était juste d'exécuter un shellcode ou un truc à la con sans se faire chopper par un AV et effectivement c'est relativement facile...

[x[@♥]]

Oui j'avais aussi lu ça, je crois qu'en fait le but était juste d'exécuter un shellcode ou un truc à la con sans se faire chopper par un AV et effectivement c'est relativement facile...

En effet, je suis amplement d'accord. Les antivirus, fonctionnant par liste noire, enregistrent des signatures précises de code ou d'injection de données dans la mémoire. Or, avec les nouvelles techniques, et l'expansion des pirates nouvelle génération il est très simple de modifier la signature de son shellcode.

j'ai d'ailleurs mis quelques articles à se sujet. Et la mode actuelle veut que les shellcodes soient chiffrés avec une clé aléatoire par l'algorithme RC4. Ainsi, si chaque pirate défini sa propre clé, le shellcode dispose d'un signature différente à chaque fois. A 99% inconnue des antivirus.

Nous sommes dans l'ère de la fin des antivirus. Ces systèmes de protection ne peuvent plus suivre. Et puis, comme tout le monde le sait, les antivirus ne seraient pas là sans les virus. Ainsi, c'est les pirates qui les font vivre et ce sont eux qui ont toujours une longueur d'avance.

Heureusement, les vrais pirates sont souvent moins doués.

Je suis en total désaccord avec cette citation, pour principalement deux raisons :

- Les experts de sécurité, du moins ceux qui ont suivis une formation dans ce domaine, sont bridés par la formation, et le système "éducatif" du milieu. En effet, il parait évident que pour former un expert en sécurité celui-ci doit toucher au milieu illégal, dans la théorie j'entends. Comment contrer et se protéger d'attaque si l'on ne sait pas comment elles se réalisent? Je l'ai très bien ressenti dans ma formation, et je suis quasiment sûr que ça n'évoluera pas.

- Le deuxième points et pas des moindres, est que lorsque qu'un pirate s'infiltre dans un système, il faut considérer l'intrus comme ayant encore plus de pouvoir que l'administrateur ou l'expert en sécurité lui même. En effet le responsable sécurité est bridé par les horaires de l'entreprise, il est bridé par la paperasse administrative de ses actes, il doit rendre des comptes, a des obligations et doit justifier ses faits et gestes.
Contrairement à ce statut, le pirate lui n'a aucun compte à rendre, il n'a pas d'horaire à respecter pour une intrusion, et est généralement totalement invisible sur le système.

Certes je ne parle pas ici de niveau ni de compétence, et heureusement que ceci ne s'applique pas constamment. Il y a des experts de grande renommée mais ne pas sous-estimer les capacités et la manière de réfléchir plus qu'artistique de certains pirates.

Merci pour ce sujet à polémique mon cher