Sophos, un cas d'école...

omme je vous le disais précédemment, la présentation qu'a donnée Tavis Ormandy sur les faiblesses de l'antivirus Sophos a retenu mon attention. D'abord parce qu'elle propose une critique claire et documentée de la capacité d'un logiciel de sécurité à fournir ce qu'on en attend. Ensuite, et surtout, parce qu'elle montre la voie vers une évaluation un peu plus pragmatique de ce genre de produits.

Si d'aucuns se prennent à prêter à l'auteur des appétits de vengeance, force est de reconnaître que les faits sont là et que ces travaux ne font que mettre les promesses d'un éditeur d'antivirus à l'épreuve de la réalité. Ce n'est pas le premier à se prêter à cet exercice, pas plus qu'il n'est le seul dont les dires se voient gratifiés d'une belle réponse ampoulée de la part de l'éditeur concerné...

Pour rappel, le papier de Tavis Ormandy, qui devrait se voir accompagné d'outils illustrants ses découvertes, reproche à Sophos :

• des signatures virales faibles pouvant donc être facilement dupées, qu'il s'agisse de la génération de faux positifs ou de leur contournement ;
• une protection contre l'exploitation des buffers overflow faible et mal implémentée ;
• un algorithme de chiffrement interne (SPMAA) faible et mal utilisé ;
• une d'émulation de piètre qualité, facilement détectable et contournable ;
• une surface d'attaque considérable au regard du service rendu.

On pourra discuter l'impact de ces problèmes, mais ça fait quand même beaucoup pour un seul homme. Et ce qui frappe le lecteur, au-delà du contraste évident entre ces résultats et les promesses de l'éditeur, c'est cette impression d'incompétence chronique qui revient régulièrement. Et ça, ça fait particulièrement tâche de la part d'un éditeur de produit de sécurité dont on a l'impression qu'il ne maîtrise pas tout à fait les concepts auxquels il s'attaque...

Alors que sa présentation faisait état d'une réaction plutôt positive et volontaire de la part de l'éditeur, le billet posté vendredi par Graham Cluley sur leur blog Naked Security^[1] est d'un ton nettement moins consensuel. Pas très surprenant pour un exercice de damage control en mode bullshit qui n'a, à mes yeux, absolument rien de rassurant. Bien au contraire !

On nous y explique en substance que les problèmes soulevés ne sont pas si graves, mais suffisamment pour les prendre en compte^[2]. Et de ne pas oublier de mentionner qu'ils continuent, comme tous leurs concurrents, à faire le plein de prix distribués par la presse spécialisée^[3]. Or ce qu'on voudrait qu'on prenne comme la preuve que leur antivirus fait bien son boulot ne fait guère que confirmer que tant que le produit se vend en l'état, il n'y a guère de raison que les choses changent...

Mais malheureusement, ce magnifique exemple de langue de bûche destiné à rassurer le client mal informé a l'air de pas trop mal fonctionner en croire les réactions sur Twitter. Ceci étant, il ne faut pas s'y tromper. Cette réponse n'apporte aucun élément factuel, tout juste des intentions avec la mention laconique de l'abandon de SPMAA et le passage des updates sur HTTPS. Je n'y trouve aucune aucune perspective d'amélioration à court terme, bien au contraire. Comme celle de voir quelques scénarios d'attaque, certainement considérés comme farfelus par l'éditeur, contrecarrés. Par exemple, celui d'un attaquant qui intercepterait un flux d'update de signatures virales, en profiterait pour pousser une base corrompue^[4], laquelle serait utilisée pour exploiter une vulnérabilité dans une bibliothèque de compression obsolète... Par exemple...

Pendant ce temps, de manière pas plus surprenant que ça, les autres éditeurs baissent la tête en attendant que ça passe. Mikko Hypponen mentionne la présentation à son retour de Black Hat mais n'en discute aucunement le contenu. Il faut dire qu'il n'est jamais bon de la ramener publiquement sur les déboires de la concurrence... On ne sait jamais ce que l'avenir vous réserve...

Si je considère cette histoire comme un cas d'école, c'est qu'il y a là un certain nombre de leçons à retenir. La première d'entre elle étant que les produits de sécurité sont des produits comme les autres, qu'il est donc impératif d'évaluer. Et considérant leur fonction, un peu plus sérieusement^[5] que ce qui se fait actuellement. On retiendra également que leurs éditeurs sont des éditeurs comme les autres, qui peuvent se montrer défaillants, voire incompétents. En ces temps où fusent les grands discours sur l'importance de sécuriser nos infrastructures numériques, il me semble que se donner la capacité d'identifier les bons produits de sécurité est une condition incontournable, en particulier quand la mode du Cyber pousse de plus en plus de gens à positionner des produits sur ce marché.

Une autre leçon à en tirer est qu'on ne saurait se contenter du discours marketing des éditeurs qui, d'ailleurs, ne les engage absolument à rien. Pas plus qu'on ne saurait se satisfaire des benchmarks indépendants d'une presse largement financée par les revenus publicitaires. Ce sont certes deux lapalissades de taille pour quiconque gravite en orbite pas nécessairement basse autour du microcosme de la sécurité informatique, mais il est parfois bon de rappeler les fondamentaux. Il en sera toujours un pour vous expliquer que tel chercheur a mal compris le fonctionnement de leur produit^[6] ou que tel autre a surévalué la menace, comme le montre la réponse de Sophos à Ormandy.

Enfin, une dernière leçon à tirer de cette histoire est que seuls doivent compter les faits. À ceux exposés par Tavis Ormandy, Sophos se contente de nous servir un bla-bla tout juste crédible. Et à mon avis, ce genre d'attitude ne fait guère plus qu'aller dans le sens des conclusions du papier...

Notes

[1] On appréciera le nom du blog en pareilles circonstances ;)

[2] Sans pour autant préciser comment et à quelle échéance.

[3] En ce temps où les malwares ciblés deviennent la norme, savoir que l'outil qui ne vous a pas protégé contre le dernier APT en vogue avait cinq étoiles au test de SC Magazine vous fera, je n'en doute pas, une belle jambe...

[4] Un comme Evilgrade avec les MAJ logicielles.

[5] Et sans risquer de se retrouver poursuivi puis condamné...

[6] Un peu ce que Google à répondu à l'exploit VUPEN sur Chrome il n'y a pas très longtemps ;)