jeudi 6 décembre 2007

La vérité sur les antivirus

Les pirates font peur. Mais ils rapportent aussi beaucoup d’argent aux éditeurs d’antivirus. Régulièrement, des tests comparatifs sont publiés dans la presse ou par des sites. Et à chaque fois, les services marketing de ces éditeurs trouvent une astuce pour déclarer leur produit meilleur que les autres. Une méthode qui n’est pas propre à ces éditeurs.

Dans l’univers de la télévision que je connais bien c’est la même chose : à chaque fois qu’un comparatif d’audience est publié, toutes les chaînes crient haut et fort qu’elles sont premières !

Revenons aux antivirus. Ces tests comparatifs sont en fait dépassés et ne sont utilisés que comme support marketing. D’ailleurs, pour obtenir une détection à 100% lors du test suivant, des éditeurs n’hésitent pas à ajouter à leur base de signatures virales tous les codes malveillants qu’ils n’avaient pas reconnue la première fois. Peu importe que parmi ces codes malveillants il y ait des codes qui ne soient pas… malveillants.


Ils sont dépassés car les pirates ne se contentent plus depuis belle lurette de balancer un virus connu de tous les antivirus. Encore que : on voit régulièrement d’anciennes versions de codes malveillants resurgir et mettre à mal quelques logiciels.

Aujourd’hui, les pirates (du moins les vrais « pros ») utilisent des méthodes sophistiquées pour ne pas être repérés. Ni par l’utilisateur de l’ordinateur (ou de l’entreprise) ni par l’antivirus.

Bref, les tests sont dépassés.

C’est la raison pour laquelle, quelques éditeurs d’antivirus ont décidé de mettre au point de nouveaux tests tenant compte de l’évolution des attaques virales. Nom de ce programme : l’Anti-Malware Testing Working. Les antivirus ne seront plus classés selon leur capacité à détecter ou non des virus mais aussi selon leur comportement face à des attaques ciblées.

Un programme intéressant, voire très ambitieux. Tous les experts reconnaissent que les tests actuels sont obsolètes. Mais cette annonce des éditeurs soulève aussi de nombreuses questions comme le fait remarquer Renaud Feil, Consultant Sécurité (HSC) :

« Ce type de résultat ne peut qu'encourager les grands éditeurs à choisir eux-mêmes le protocole de test devant faire autorité ! Cela peut se comprendre, car la plupart des jeux de tests utilisés contiennent des virus "périmés", ou fonctionnant sur d'autres systèmes d'exploitation que celui sur lequel l'antivirus est installé.

Mais le problème est ailleurs. Cette obsession du 100% de détection des virus connus cache l'échec de la détection comportementale des programmes hostiles. Bloquer les virus "standards" qui forment le bruit de fond de l'Internet est aujourd'hui une problématique maîtrisée par la plupart des organisations et des particuliers. Il n'en est pas de même pour la détection des programmes hostiles utilisés dans des attaques plus ciblées et plus discrètes. Actuellement, n'importe quel antivirus du marché détecte un programme hostile connu... et laisse passer un programme hostile inconnu ou modifié pour échapper à cet antivirus, et ce malgré les promesses et les nombreux slogans marketing.

Le véritable défi qui attend les éditeurs d'antivirus est de bloquer les programmes hostiles inconnus. En ce sens, le protocole de test à définir devrait mettre à l'épreuve chaque antivirus face à des programmes de test réalisant des actions ostensiblement malveillantes et qui serait programmés pour l'occasion et de façon indépendante. Le challenge pour les équipes de R&D des éditeurs est de taille, mais il serait temps que les recettes générées par les ventes d'antivirus soient utilisées à bon escient ! »

Le discours de Renaud Feil a le mérite d’être clair et surtout indépendant.

Rendez-vous donc en 2008 pour voir les premiers tests et résultats…

3 commentaires:

Ben hedibi hassène a dit…

Trés bon article, vous avez mis votre doigt sur le coeur du problème. En effet l'architecture actuelle des antivirus du marché laisse vraiment à désirer. J'ai vraiment aimé votre article, rien à ajouter. Très bon article.

Anonyme a dit…

De toute évidence l'antivirus parfait n'existe pas et les créateurs de virus ont toujours une longueur d'avance.
Cependant il ne faudrait pas que certains acteurs tentent de définir des protocoles de test mieux adaptés aux modes de fonctionnement de leurs propres produits au détriment de ceux de la concurrence.

Anonyme a dit…

Bonjour,
L'analyse est exacte, l'article est synthétique... Maintenant, je pense, la disparition des antivirus classiques, surtout de ceux basés essentiellement sur la comparaison avec une base de signatures virales est annoncée et proche... En même temps, il devient urgent d'adapter les nouvelles méthodes de détection à la capacité des pirates (mais qui sont ils d'ailleurs, les méchants pirates grace à qui les éditeurs d'antivirus gagnent de l'argent ???) à sortir des malwares dont le code change sans cesse, allant presque jusqu'à l'unicité par téléchargement ? Forcément, il y a un gros boulot de l'analyse comportablement des codes (IDS/HIPS) mais aussi une capacité temps réelle à aller consulter différentes bases de données qui, elles aussi, doivent être mises à jour en temps réel... Bref, le temps des mises à jour de signatures au fil de l'eau ne suffit plus, les nouveaux codes se propagent plus vite, sont plus malins, se cachent derrière des produits antimalwares dits commerciaux... Il faut une défense pro-active avec une requête vers ces gisements de données pratiquement à chaque analyse de code, associé à un véritable réseau de détection temps réel...

En même temps, nos éditeurs d'OS devraient maintenant songer à utiliser les technologies de sandboxing afin de protéger l'OS et l'utilisateur...

Pour conclure, la génération actuelle des antivirus est maintenant quasiement obsolète, pour la plupart et il nous faut attendre de nouvelles technologies plus comportementales, plus temps réel et basées sur des techniques déjà connues de virtualisation... Avec un coût certainement pénalisant, en termes de performance pour le PC... Transformer un PC en forteresse ne laisse guère plus de place à son usage pour des applications courantes... Ou alors, déporter toutes ces fonctions sur une box externe ???


Phil