Dans l’univers de la télévision que je connais bien c’est la même chose : à chaque fois qu’un comparatif d’audience est publié, toutes les chaînes crient haut et fort qu’elles sont premières !
Ils sont dépassés car les pirates ne se contentent plus depuis belle lurette de balancer un virus connu de tous les antivirus. Encore que : on voit régulièrement d’anciennes versions de codes malveillants resurgir et mettre à mal quelques logiciels.
« Ce type de résultat ne peut qu'encourager les grands éditeurs à choisir eux-mêmes le protocole de test devant faire autorité ! Cela peut se comprendre, car la plupart des jeux de tests utilisés contiennent des virus "périmés", ou fonctionnant sur d'autres systèmes d'exploitation que celui sur lequel l'antivirus est installé.
Mais le problème est ailleurs. Cette obsession du 100% de détection des virus connus cache l'échec de la détection comportementale des programmes hostiles. Bloquer les virus "standards" qui forment le bruit de fond de l'Internet est aujourd'hui une problématique maîtrisée par la plupart des organisations et des particuliers. Il n'en est pas de même pour la détection des programmes hostiles utilisés dans des attaques plus ciblées et plus discrètes. Actuellement, n'importe quel antivirus du marché détecte un programme hostile connu... et laisse passer un programme hostile inconnu ou modifié pour échapper à cet antivirus, et ce malgré les promesses et les nombreux slogans marketing.
Le véritable défi qui attend les éditeurs d'antivirus est de bloquer les programmes hostiles inconnus. En ce sens, le protocole de test à définir devrait mettre à l'épreuve chaque antivirus face à des programmes de test réalisant des actions ostensiblement malveillantes et qui serait programmés pour l'occasion et de façon indépendante. Le challenge pour les équipes de R&D des éditeurs est de taille, mais il serait temps que les recettes générées par les ventes d'antivirus soient utilisées à bon escient ! »
3 commentaires:
Trés bon article, vous avez mis votre doigt sur le coeur du problème. En effet l'architecture actuelle des antivirus du marché laisse vraiment à désirer. J'ai vraiment aimé votre article, rien à ajouter. Très bon article.
De toute évidence l'antivirus parfait n'existe pas et les créateurs de virus ont toujours une longueur d'avance.
Cependant il ne faudrait pas que certains acteurs tentent de définir des protocoles de test mieux adaptés aux modes de fonctionnement de leurs propres produits au détriment de ceux de la concurrence.
Bonjour,
L'analyse est exacte, l'article est synthétique... Maintenant, je pense, la disparition des antivirus classiques, surtout de ceux basés essentiellement sur la comparaison avec une base de signatures virales est annoncée et proche... En même temps, il devient urgent d'adapter les nouvelles méthodes de détection à la capacité des pirates (mais qui sont ils d'ailleurs, les méchants pirates grace à qui les éditeurs d'antivirus gagnent de l'argent ???) à sortir des malwares dont le code change sans cesse, allant presque jusqu'à l'unicité par téléchargement ? Forcément, il y a un gros boulot de l'analyse comportablement des codes (IDS/HIPS) mais aussi une capacité temps réelle à aller consulter différentes bases de données qui, elles aussi, doivent être mises à jour en temps réel... Bref, le temps des mises à jour de signatures au fil de l'eau ne suffit plus, les nouveaux codes se propagent plus vite, sont plus malins, se cachent derrière des produits antimalwares dits commerciaux... Il faut une défense pro-active avec une requête vers ces gisements de données pratiquement à chaque analyse de code, associé à un véritable réseau de détection temps réel...
En même temps, nos éditeurs d'OS devraient maintenant songer à utiliser les technologies de sandboxing afin de protéger l'OS et l'utilisateur...
Pour conclure, la génération actuelle des antivirus est maintenant quasiement obsolète, pour la plupart et il nous faut attendre de nouvelles technologies plus comportementales, plus temps réel et basées sur des techniques déjà connues de virtualisation... Avec un coût certainement pénalisant, en termes de performance pour le PC... Transformer un PC en forteresse ne laisse guère plus de place à son usage pour des applications courantes... Ou alors, déporter toutes ces fonctions sur une box externe ???
Phil
Enregistrer un commentaire