Cybersécurité - Innovations digitales et numériques

La firme n'a pas dit quand elle comptait livrer un patch pour corriger le bug de Word, ni si elle allait livrer un correctif d'urgence « out-of-band », c'est à dire avant le prochain Patch Tuesday programmé pour le 8 avril. Il est rare que la firme de Redmond livre une mise à jour « out-of-band », sauf dans le cas d'attaques massives exploitant la vulnérabilité, ce qui, si l'on en croit la déclaration de Dustin Childs, n'est pas le cas actuellement. Le patch MS13-008 est le dernier correctif « out-of-band » livré par Microsoft : l'éditeur l'avait publié en urgence en janvier 2013 pour boucher des vulnérabilités dans les navigateurs IE6, IE7 et IE8, exploitées depuis plusieurs semaines par les pirates.

Si d'autres chercheurs ont présenté des méthodes pour contourner certaines mesures d'EMET, l'équipe de DeMott revendique une méthode pour contourner toutes celles de la dernière version 4.1. Elle a synthétisé ses travaux dans un rapport de recherche et a fourni préalablement ses résultats à Microsoft. D'ailleurs, Jared DeMott indique que la firme de Redmond devrait s'inspirer des travaux des chercheurs dans la version 5 d'EMET.

Cependant, il explique qu'EMET souffre d'un problème plus profond pour arrêter efficacement les attaques. L'utilitaire fonctionne au niveau de l'espace utilisateur et non au niveau du  noyau, souligne le rapport. « Notre étude montre que les technologies qui fonctionnent au même niveau que l'exécution du code malveillant peuvent généralement être contournées, car il n'y a pas d'avantages supérieurs sur ce terrain comme c'est le cas pour la protection du kernel ou d'un hyperviseur », constate le responsable. Microsoft reconnaît que si son outil est un obstacle supplémentaire pour rendre les attaques plus difficiles, il ne garantit pas que les failles ne puissent pas être exploitées. Pour Bromium, EMET reste un bon produit pour son prix, c'est-à-dire gratuit. La vraie question n'est pas de savoir si l'outil de sécurité peut être contourné, mais quelle est la valeur des données à protéger. « Pour une entreprise ayant des données critiques, EMET ne bloquera par des attaques ciblées », concluent les chercheurs.