Google n’est jamais tendre lorsqu’il s’agit de débusquer les failles des services concurrents, sans doute plus que ses propres bugs, le dernier en date sur les DRM Widevine et Chrome en est un bon exemple. Cette fois, la firme de mountain View a décidé de mettre en évidence les nombreuses vulnérabilités sur les produits Symantec et l’antivirus Norton.
Tavis Ormandy découvre (encore) des failles importantes sur les antivirus de Symantec
C’est une nouvelle fois Tavis Ormandy de chez Google qui a mis le feu aux poudres. Ce chercheur en sécurité du fameux Google Project Zero est connu dans le milieu, pour son talent à débusquer des vulnérabilités. Il avait déjà épinglé Symantec il y a quelques semaines. 7 nouvelles failles très importantes viennent grossir la liste des vulnérabilités sur l’antivirus et les produits de l’éditeur. Norton, Scan Engine, EndPoint Protection, etc. rien ne semble épargner les produits de l’entreprise.
Tavis Ormandy a d’ailleurs déclaré : « On peut difficilement faire pire que ces failles. Elles ne nécessitent aucune interaction de l’utilisateur, affectent la configuration d’origine et permettent d’obtenir le plus haut niveau de privilège d’exécution. Dans certains cas, sur Windows, le code vulnérable impacte même le noyau ».
Le comble de l’antivirus serait que ces failles soient exploitées par des malwares, dont les conséquences seraient imprévisibles, d’autant que certaines failles sont connues. Symantec utiliserait du code open source, mais n’aurait fait aucune mise à jour depuis 7 ans sur ces segments de code !
Tavis Ormandy s’inquiète de la situation en affirmant : « Des douzaines de vulnérabilités publiques dans ces librairies impactent les produits de Symantec. Pour certains d’entre elles, il existe même des codes d’exploitation publics ». Il a notamment mis en évidence la possibilité de prendre le contrôle à distance d’un PC.
L’unique bonne nouvelle dans cette histoire, c’est que Symantec a déjà patché toutes les vulnérabilités dénoncées, mais il n’en reste pas moins qu’il s’agit d’un comble pour un spécialiste de la sécurité informatique, d’utiliser des codes de sociétés tierces pour concevoir ses produits et de ne pas prendre le temps de faire vérifier les évolutions du code en question, régulièrement. Il s’agit d’une très grave prise de risque, qui pourrait un jour se retourner contre l’entreprise et surtout ses clients…
Dernière mise à jour le 8 mai 2019