Module IPD de Pedestal Software pour Windows 2000
Date : 23 Juin 2005
La société "Pedestal Software" a développé un composant, appelé IPD (Integrity Protection Driver), qui permet de protéger le noyau des systèmes Windows 2000. Ce composant est intégré à l'offre commerciale "Intact" (produit de contrôle d'intégrité comparable à Tripwire), mais est aussi disponible en tant que composant individuel gratuit, développé sous licence "Open Source".
IPD est un pilote ("driver") Windows qui se charge au démarrage du système et qui empêche ensuite l'installation de nouveaux drivers, de nouveaux services ou l'écriture directe en mémoire. Ce pilote a été développé pour lutter contre les "root-kits", qui, une fois installé sur une plate-forme compromise, tentent de modifier le fonctionnement du noyau Windows pour se rendre indétectables.
Depuis son apparition, IPD joue "au chat et à la souris" avec les attaquants, puisque chacun de son côté redouble d'effort pour contrer l'autre. Ainsi, à peine Pedestal Software avait-il annoncé début décembre la sortie d'une version 1.3 (qui corrigeait deux moyens de contourner la protection implémenté par IPD), qu'une nouvelle faille était révélée. Cette faille a été corrigée par Pedestal le 3 janvier par la version 1.4 de IPD.
Bien-sûr, IPD n'est pas la solution ultime pour la sécurisation d'une machine Windows 2000, et d'autres moyens de contournements seront peut-être découverts. Cependant cette initiative reste très intéressante :
- C'est la seule réponse technique, à notre connaissance, qui propose un moyen de protection contre des "root-kits" tentant de corrompre le noyau Windows.
- Les attaques doivent être de plus en plus sophistiquées pour contourner ce type de protection.
- Le fait que Pedestal Software intègre ce produit gratuit à son offre commerciale renforce la confiance que l'on peut accorder à ce produit (en terme de stabilité).
Pour plus d'information
- IPD version 1.4 : http://www.pedestalsoftware.com/intact/ipd
- Les vulnérabilités de IPD 1.2 et 1.3 :