Pour rappel, le papier de Tavis Ormandy, qui devrait se voir accompagné d'outils illustrants ses découvertes, reproche à Sophos :

  • des signatures virales faibles pouvant donc être facilement dupées, qu'il s'agisse de la génération de faux positifs ou de leur contournement ;
  • une protection contre l'exploitation des buffers overflow faible et mal implémentée ;
  • un algorithme de chiffrement interne (SPMAA) faible et mal utilisé ;
  • une émulation de piètre qualité, facilement détectable et contournable ;
  • une surface d'attaque considérable au regard du service rendu.

On pourra discuter l'impact de ces problèmes, mais ça fait quand même beaucoup pour un seul homme. Et ce qui frappe le lecteur, au-delà du contraste évident entre ces résultats et les promesses de l'éditeur, c'est cette impression d'incompétence chronique qui revient régulièrement. Et ça, ça fait particulièrement tâche de la part d'un éditeur de produit de sécurité dont on a l'impression qu'il ne maîtrise pas tout à fait les concepts auxquels il s'attaque...

Alors que sa présentation faisait état d'une réaction plutôt positive et volontaire de la part de l'éditeur, le billet posté vendredi par Graham Cluley sur leur blog Naked Security[1] est d'un ton nettement moins consensuel. Pas très surprenant pour un exercice de damage control en mode bullshit qui n'a, à mes yeux, absolument rien de rassurant. Bien au contraire !

On nous y explique en substance que les problèmes soulevés ne sont pas si graves, mais suffisamment pour les prendre en compte[2]. Et de ne pas oublier de mentionner qu'ils continuent, comme tous leurs concurrents, à faire le plein de prix distribués par la presse spécialisée[3]. Or ce qu'on voudrait qu'on prenne comme la preuve que leur antivirus fait bien son boulot ne fait guère que confirmer que tant que le produit se vend en l'état, il n'y a guère de raison que les choses changent...

Update : J'avais loupé le billet d'Andy Greenberg chez Forbes qui rapporte les propos de Vanja Svajcer. Celui-ci lui aurait déclaré en substance que Sophos n'avait détecté aucun malware utilisant les failles publiées par Tavis Ormandy et qu'une telle éventualité était improbable parce que l'éditeur ne détenait que 10% du marché entreprise[4] et que ceux qui les écrivent n'ont pas de temps à perdre à analyser tous les antivirus du marché pour les contourner. Ben alors tout est bien dans le meilleur des mondes...

Mais malheureusement, ce magnifique exemple de langue de bûche destiné à rassurer le client mal informé a l'air de pas trop mal fonctionner en croire les réactions sur Twitter. Ceci étant, il ne faut pas s'y tromper. Cette réponse n'apporte aucun élément factuel, tout juste des intentions avec la mention laconique de l'abandon de SPMAA et le passage des updates sur HTTPS. Je n'y trouve aucune aucune perspective d'amélioration à court terme, bien au contraire. Comme celle de voir quelques scénarios d'attaque, certainement considérés comme farfelus par l'éditeur, contrecarrés. Par exemple, celui d'un attaquant qui intercepterait un flux d'update de signatures virales, en profiterait pour pousser une base corrompue[5], laquelle serait utilisée pour exploiter une vulnérabilité dans une bibliothèque de compression obsolète... Par exemple...

Pendant ce temps, de manière pas plus surprenant que ça, les autres éditeurs baissent la tête en attendant que ça passe. Mikko Hypponen mentionne la présentation à son retour de Black Hat mais n'en discute aucunement le contenu. Il faut dire qu'il n'est jamais bon de la ramener publiquement sur les déboires de la concurrence... On ne sait jamais ce que l'avenir vous réserve...


Si je considère cette histoire comme un cas d'école, c'est qu'il y a là un certain nombre de leçons à retenir. La première d'entre elle étant que les produits de sécurité sont des produits comme les autres, qu'il est donc impératif d'évaluer. Et considérant leur fonction, un peu plus sérieusement[6] que ce qui se fait actuellement. On retiendra également que leurs éditeurs sont des éditeurs comme les autres, qui peuvent se montrer défaillants, voire incompétents. En ces temps où fusent les grands discours sur l'importance de sécuriser nos infrastructures numériques, il me semble que se donner la capacité d'identifier les bons produits de sécurité est une condition incontournable, en particulier quand la mode du Cyber pousse de plus en plus de gens à positionner des produits sur ce marché.

Une autre leçon à en tirer est qu'on ne saurait se contenter du discours marketing des éditeurs qui, d'ailleurs, ne les engage absolument à rien. Pas plus qu'on ne saurait se satisfaire des benchmarks indépendants d'une presse largement financée par les revenus publicitaires. Ce sont certes deux lapalissades de taille pour quiconque gravite en orbite pas nécessairement basse autour du microcosme de la sécurité informatique, mais il est parfois bon de rappeler les fondamentaux. Il en sera toujours un pour vous expliquer que tel chercheur a mal compris le fonctionnement de leur produit[7] ou que tel autre a surévalué la menace, comme le montre la réponse de Sophos à Ormandy.

Enfin, une dernière leçon à tirer de cette histoire est que seuls doivent compter les faits. À ceux exposés par Tavis Ormandy, Sophos se contente de nous servir un bla-bla tout juste crédible. Et à mon avis, ce genre d'attitude ne fait guère plus qu'aller dans le sens des conclusions du papier...

Notes

[1] On appréciera le nom du blog en pareilles circonstances ;)

[2] Sans pour autant préciser comment et à quelle échéance.

[3] En ce temps où les malwares ciblés deviennent la norme, savoir que l'outil qui ne vous a pas protégé contre le dernier APT en vogue avait cinq étoiles au test de SC Magazine vous fera, je n'en doute pas, une belle jambe...

[4] Si c'était vérifié, ça les placerait probablement dans le TOP 5, ce qui en ferait une cible de choix... Sans parler de l'éventualité d'une APT...

[5] Un comme Evilgrade avec les MAJ logicielles.

[6] Et sans risquer de se retrouver poursuivi puis condamné...

[7] Un peu ce que Google à répondu à l'exploit VUPEN sur Chrome il n'y a pas très longtemps ;)