Discussion :

[Katleen Erna]

La "whitelist" de Microsoft bénéficie-t-elle aux hackers ? Trend Micro l'affirme, d'autres le réfutent

Dans un document publié sur son site de support, Microsoft recommande aux utilisateurs de Windows 2000, XP, Vista, Windows 7, Server 2003, Server 2008 et Server 2008 R2 de ne pas soumettre certains fichiers au scan des antivirus. Ces fichiers exclus (fichiers et dossiers associés à Windows Update et Group Policy ; extensions .edb., .sdb and .chk contenues dans le dossier "%windir%\security" ; etc.) sont appelés "whitelist".

Microsoft recommande une telle pratique pour gagner en performances système, car "ces fichiers ne présentent pas de risque d'infection, alors que de sérieux problèmes de performance peuvent survenir durant leur scan à cause du verouillage fichier".

Trend Micro s'est aujourd'hui exprimé contre cette idée en déclarant qu'elle pouvait potentiellment mettre les utilisateurs en danger.

L'entreprise spécialisée en sécurité informatique a ainsi expliqué que, plus que la liste en elle-même, c'est surtout sa publication en public qui posait problème.

Car s'il est logique que le fait de ne pas scanner ces fichiers permette de gagner en rapidité, la mise à disposition de cette liste aux yeux du monde pourrait être du pain béni pour les pirates informatiques. David Sancho, un spécialiste des malwares chez Trend Micro, explique ainsi que suivre ces consignes ne pose actuellement aucun problème, mais qu'il y a un très grand potentiel que cela devienne dangereux. Les cybercriminels pourraient exploiter ces informations et insèrer des programmes malicieux dans les répertoires et les extensions exclus des scans. Ainsi indétectables par les logiciels de protection, ces codes malins auraient le champ libre.

Il rajoute qu'une telle procédure devrait en outre être réservée aux utilisateurs avertis, car des novices risqueraient d'exposer leur système à des soucis bien au délà d'un simple ralentissement.

Andrew Storms, directeur des opérations de securité chez nCircle Network Security, défend l'opinion inverse : "Est-ce pour autant que les méchants garçons modifieront la localisation de leurs malwares ? Certainement pas."

Source : Le blog de David Sancho (Trend Micro)

Et vous, qu'en pensez-vous ?

[dourouc05]

Où est le problème ? En cryptographie, un algorithme ne peut pas être considéré comme sûr s'il n'est pas dévoilé. Même chose ici : même si personne ne dévoile cette liste, elle doit bien être stockée quelque part afin d'être utilisée, elle aurait de toute façon été découverte. La diffuser librement ne fait qu'accélérer très légèrement le processus.

[spidermario]

Est-ce que, de toute façon, ces fichiers ne sont pas signés ?
Parce qu'alors, il y a peu de chance que quelqu'un arrive à les modifier pour y insérer du code malicieux sans que ça ne soit repéré.

[thelvin]

Est-ce que, de toute façon, ces fichiers ne sont pas signés ?
Parce qu'alors, il y a peu de chance que quelqu'un arrive à les modifier pour y insérer du code malicieux sans que ça ne soit repéré.

C'est en effet plus difficile, mais pas impossible. Ceci étant dit, le problème est qu'il y a une whitelist, pas le fait qu'elle soit diffusée.

Et puis, "problème" est un bien grand mot, c'est un gain de performance contre une perte légère de sécurité.