Un dossier un peu trop caché chez Symantec !

[Nicolas Coolman]

Une grosse faille de sécurité Pour Norton NIS

 

Un dossier un peu trop caché chez Symantec

Quelle idée de se cacher dans la poubelle...

 

Petit incident de parcours pour Symantec. L’éditeur vient tout juste de mettre à jour sa suite Norton System Works 2006 en raison d’un problème de sécurité. En cause la corbeille propre à Norton, la « Norton Protected Recycle Bin » qui a pour vocation de créer un dossier caché dans Windows. Dédiée à la restauration de fichiers effacés par erreur, cette corbeille utilise un dossier caché qui n’est pas scanné manuellement ou automatiquement par les solutions d’antivirus. Un comble en somme, puisqu’un malware peut ainsi théoriquement y être hébergé, bien à l’abri, dans un bunker créé spécialement par un ange gardien de la sécurité.

 

Cette faculté pour le dossier NProtect d’être caché grâce aux API Windows n’a cependant pas été jugée bien dangereuse ni par l’éditeur ni même par Secunia, société spécialisée en sécurité. Aucune attaque à distance n’est possible et aucun exploit n’a été publié. Les parallèles entre cette corbeille et le dossier caché par le "rootkit" utilisé par SonyBMG ont ainsi été vite faits, alors même que les deux approches logicielles sont différentes. Et notons encore que ce dernier a sans attendre mis à disposition une rustine. Elle se télécharge via LiveUpdate, le service de mise à jour automatique. Enfin signalons que l’éditeur remercie pour leur collaboration F-Secure et Mark Russinovich, lequel avait révélé justement le problème de la protection Sony BMG (voir le bulletin de sécurité de Symantec).

(PCImpact - Vendredi 13 janvier 2006 à 08h43, rédigé par Marc Rees)

 

Autre article http://www.generation-nt.com/actualites/co...ony-bmg/?page=1

Symantec reconnaît avoir intégré dans une de ses applications une technologie qui s’apparente à celles des rootkits auxquels il donne en temps normal la chasse.

 

 

L’éditeur américain de solutions de sécurité informatique Symantec serait-il passé du côté obscur de la Force ? C’est en tout cas l’impression qu’il donne, en avouant avoir inclus dans son logiciel Norton SystemWorks une fonctionnalité permettant à ce dernier de masquer certains répertoires et fichiers à la vue du système d’exploitation Windows de Microsoft.

 

Norton SystemWorks comprend une sorte de Corbeille-bis, protégée, dans laquelle sont placés des copies temporaires des fichiers effacés par le ou les utilisateurs. L’idée est de permettre une récupération des données en cas de suppression accidentelle de fichiers. Pour accomplir son office, cette corbeille de secours crée un répertoire caché, dénommé NProtect, qu’elle dérobe à la vue des utilisateurs, mais également, et c’est plus grave, à celle de Windows.

 

Comme on a pu s’en rendre compte il y a quelques semaines, au moment du fiasco des rootkits déguisés en DRM de Sony BMG, cette technique présente de sérieux risques en matière de sécurité : tout fichier, même malicieux, placé dans ce répertoire secret, serait totalement invisible pour les logiciels de protection installé sur le PC concerné, hormis, et c’est heureux, ceux de Symantec. En conséquence, vos logiciels de recherche et d’éradication de spywares et autres virus ne pourraient rien contre une menace qui trouverait refuge dans ce répertoire masqué.

 

Conscient de la mauvaise image que ce genre de pratique peut engendrer, Symantec indique que ce répertoire apparaîtra désormais au grand jour dans la Corbeille protégée qui accompagne Norton SystemWorks, et que l’utilisateur sera libre de le masquer s’il le souhaite.

 

Les clients de Symantec qui emploient Norton SystemWorks peuvent télécharger depuis le site de l’éditeur californien, via LiveUpdate, une mise à jour qui règle ce souci. La firme de Cupertino indique n’avoir eu connaissance d’aucune exploitation de ce qu’on aurait du mal à considérer comme une faille, mais plutôt comme une fonctionnalité au goût douteux, par les temps qui courent…

Modifié le 17 janvier 2006 par coolman