Sécurité - Le prochain système d'exploitation de Microsoft n’est pas aussi sécurisé qu'annoncé, selon une experte en sécurité polonaise. Il est possible de lui inoculer du code nocif en déjouant les nouveaux dispositifs de sécurité pour les pilotes et les droits.
Alors que Microsoft faisait des exposés sur la sécurité renforcée de Windows Vista lors des conférences Black Hat sur la sécurité (*), une chercheuse polonaise a démontré qu'elle pouvait inoculer du code malveillant dans le noyau du futur système d'exploitation, permettant une prise de contrôle à distance.
Pour sa démonstration devant un parterre de spécialistes de l'informatique, Joanna Rutkowska, de la société de sécurité Coseinc, a utilisé la version bêta 2 de Vista dans son édition 64 bits. Elle a montré comment détourner les mesures de sécurité mises en place au niveau de la gestion des pilotes (drivers) de périphériques du futur Windows.
Un double subterfuge
L'OS, attendu en janvier 2007 pour le grand public, intègre en effet une nouvelle gestion des pilotes incorporant une protection par signature. Normalement, seuls ceux authentifiés par leur signature peuvent être installés, tout autre étant bloqué. Or l'experte a pourtant réussi à installer un pilote non signé, en obtenant notamment les droits d'administrateur. Pilote qui pourrait contenir du code malveillant, exécutable par le système, a-t-elle souligné.
Pour devenir administrateur, la chercheuse a au passage contourné le nouveau système de gestion de privilèges baptisé User Account Control (UAC, Contrôle du compte utilisateur). Il est pourtant censé restreindre les droits des utilisateurs afin justement d'empêcher qu'un programme malveillant ne parvienne à pénétrer sur l'ordinateur en mode administrateur. L'UAC n'est manifestement pas infaillible, ayant fait récemment l'objet de critiques de la part de l'éditeur d'antivirus Symantec.
La pilule bleue de Matrix
Rutkowska a ensuite présenté un moyen de rendre un programme malveillant, de type rootkit, indétectable par Vista. Le programme malveillant est en fait exécuté dans une machine virtuelle qui agit en surcouche du système, et est ainsi indétectable. L'experte s'est appuyée sur la technologie de virtualisation Pacifica, développée par AMD, qui peut être utilisée avec Vista et d'autres OS, a précisé l'experte.
Elle a baptisé sa méthode "Blue Pill", en référence au film Matrix dans lequel le héro a le choix de prendre une pilule bleue ou rouge, pour respectivement rester dans un univers virtuel ou en sortir. «Votre système d'exploitation "avale" la pilule bleue et se réveille dans la matrice contrôlée par Blue Pill», explique Joanna Rutkowska sur son blog.
La chercheuse tempère cependant les conclusions de ses travaux. «Le fait que ces procédés permettent de contourner les protections de Vista ne signifie pas que ce système soit complètement insécurisé. Il est juste moins sécurisé que ce qui a été avancé».
Microsoft se veut pour sa part rassurant. «Nous allons prendre en compte ces éléments pour la version finalisée de Vista», a déclaré à notre rédaction américaine un porte-parole de l'éditeur. Contacté par ZDNet.fr, Microsoft France s'est refusé à tout commentaires sur le sujet.
Accueil 
Connexion 