WannaCry : ESET, F-Secure et Kaspersky les seuls efficaces !
Bloquer WannaCry est une chose, détecter l’exploit EternalBlue en est une autre. Seuls ESET, F-Secure et Kaspersky font le boulot, assure MRG Effitas.
Prompts à clamer qu’ils bloquent WannaCry, les éditeurs d’antivirus oublient de mentionner qu’ils ne détectent pas, à trois exceptions près, l’exploit EternalBlue. Or, c’est celui-ci qui risque d’être réutilisé par de nouvelles menaces. Le test monté par MRG Effitas (Malware Research Group) montre que seuls trois éditeurs sont à la hauteur de la situation.
En testant la capacité des logiciels de protection grand public (avec leurs paramétrages par défaut) à détecter l’exploit EternalBlue, mis à profit par WannaCry pour se diffuser, MRG Effitas a établi que seuls trois produits stoppent le code de la NSA récupéré par les auteurs du ransomware : ESET Smart Security, F-Secure Safe et Kaspersky Internet Security. «Deux de ces produits utilisent le filtrage réseau pour détecter cet exploit et le bloquer avant son exécution au niveau du noyau», écrit Zoltan Balazs sur le blog du spécialiste britannique de la recherche de malwares, qui précise que ce mode de détection pourrait être contourné en masquant la signature de l’exploit, tout en indiquant avoir seulement testé l’exploit et la porte dérobée.
L’objectif n’est pas de divulguer les résultats des tests, certains éditeurs étant occupés aujourd’hui à adapter leurs logiciels, prévient MRG Effitas. En revanche, il importe d’informer le public sur les risques.
Neuf autres antivirus familiaux, une solution de protection dite de nouvelle génération et un EDR (Endpoint Detection and Response) échouent à protéger ou à alerter leurs utilisateurs. La société anglaise, fondée en 2009 par Sveta Miladinov, un consultant indépendant en sécurité ICT, ne dévoile pas les noms des éditeurs concernés.
Signalons tout de même qu’EternalBlue a été officiellement dévoilé début avril par les Shadow Brokers, un groupe de pirates qui a exfiltré un grand nombre d’outils de hacking de la NSA. Voir la plupart des outils de protection des terminaux échouer à repousser EternalBlue, probablement l’exploit dont la nocivité apparaissait la plus évidente parmi les outils alors mis en ligne, n’est pas très glorieux…
«Tous les fournisseurs prétendent protéger leurs utilisateurs contre Wannacry et certains contre EternalBlue. Mais se prémunir contre la charge utile ne signifie pas que les utilisateurs soient entièrement protégés contre les codes malveillants fonctionnant en mode kernel», analyse encore Zoltan Balazs. Une remarque d’autant plus valide que, si l’infection WannaCry est désormais sur le déclin, l’exploit issu de la NSA ciblant le protocole SMB est lui déjà récupéré par d’autres menaces comme Adylkuzz…
