Pour­quoi les an­ti­vi­rus clas­siques sont-ils ob­so­lètes

De­puis près de 30 ans, la pro­tec­tion des postes de tra­vail contre les ha­ckers est ba­sée es­sen­tiel­le­ment sur l’an­ti­vi­rus. L’ex­plo­sion des me­naces est telle que le prin­cipe de base de dé­tec­tion re­met lar­ge­ment en cause son ef­fi­ca­ci­té.

IT for Business - - RECHERCHE & DÉVELOPPEMENT -

Il y a 3 ans dé­jà, Brian Dye, alors vice-pré­sident de Sy­man­tec pour la sé­cu­ri­té, ex­pli­quait que l’an­ti­vi­rus était, se­lon ses termes, « mort » et qu’il fal­lait s’orien­ter vers de nou­velles tech­no­lo­gies. Un an­ti­vi­rus clas­sique re­cherche dans les fi­chiers si une sé­quence de bits peut être mal­veillante en la com­pa­rant à un dic­tion­naire des at­taques connues. Afin de n’oc­cu­per que quelques oc­tets, les sé­quences sont « ha­chées », gé­né­ra­le­ment à l’aide d’al­go­rithmes SHA-1 ou MD5. On parle alors de si­gna­ture. Celle-ci iden­ti­fie de ma­nière cer­taine le vi­rus, il ne peut alors y avoir de faux po­si­tifs, et dans ce cas, l’ou­til dé­clenche une pro­cé­dure pré-éta­blie de net­toyage.

Dans les an­nées 1990, une ving­taine de nou­veaux mal­wares dif­fé­rents étaient iso­lés chaque jour. Bien que la plu­part dif­fé­raient très peu des échan­tillons dé­jà connus, à chaque fois de nou­velles si­gna­tures de­vaient être ajou­tées dans la base. Au­jourd’hui, d’après Bo­ris Sha­rov, pdg de Dr Web, 400 000 à 500 000 nou­veaux mal­wares doivent être ana­ly­sés quo­ti­dien­ne­ment (jus­qu’à 1 mil­lion dans les cas les plus ex­trêmes). Au to­tal, il exis­te­rait entre 90 et 200 mil­lions de me­naces dif­fé­rentes. Se­lon Mca­fee, ce chiffre at­tein­drait 700 mil­lions.

Les rai­sons de cette ex­plo­sion sont di­verses. La ma­jeure est liée aux « pa­ckers » , ces lo­gi­ciels ca­pables de chif­frer et « em­bal­ler » un vi­rus. Avec ces ou­tils, il est ex­trê­me­ment simple de gé­né­rer des mil­liers d’exem­plaires tout à fait dif­fé­rents d’un même code. Pour lut­ter contre ce po­ly­mor­phisme, les mo­teurs des an­ti­vi­rus doivent être de plus en plus per­for­mants et in­cor­po­rer des heu­ris­tiques de plus en plus com­plexes. La si­gna­ture n’est alors plus une em­preinte, mais plu­tôt une suc­ces­sion de com­mandes in­di­quant un ca­rac­tère pro­ba­ble­ment mal­veillant. Con­ju­gué avec l’ex­plo­sion de la taille des bases, ce­la ex­plique pour­quoi ces lo­gi­ciels uti­lisent une part im­por­tante de la puis­sance des CPU des postes.

Autre fac­teur, la mise à jour de la base est pu­bliée chaque jour à heure fixe par les édi­teurs qui conseillent de l’ap­pli­quer dans les 6 heures. Un mal­ware to­ta­le­ment nou­veau peut donc es­pé­rer être in­dé­tec­table pen­dant au moins 24h, ce qui lui laisse un po­ten­tiel im­por­tant de des­truc­tion. Ain­si, cer­tains échan­tillons n’ont été vus que du­rant 3 à 4 heures, avant de to­ta­le­ment dis­pa­raître.

Clas­si­que­ment, les an­ti­vi­rus s’in­té­ressent aux fi­chiers. Mais ce­la n’est pas la seule me­nace : de plus en plus de mal­wares uti­lisent des failles de sé­cu­ri­té (pour cer­taines connues et non pat­chées, pour d’autres to­ta­le­ment in­con­nues, dites ze­ro-day). Grâce à celles-ci, ils peuvent par exemple mo­di­fier la mé­moire du poste et s’exé­cu­ter di­rec­te­ment. Une ving­taine de failles sur les an­ti­vi­rus eux-mêmes au­raient été ex­ploi­tées.

Pour faire face à cette nou­velle donne, une ca­té­go­rie d’ou­tils de pro­tec­tion des postes de tra­vail, des ser­veurs et des smart­phones fait pro­gres­si­ve­ment son ap­pa­ri­tion. Sou­vent ap­pe­lés End­point Pro­tec­tion Plat­form (EPP) ou End­point De­tec­tion & Res­ponse (EDR), ils mo­ni­torent le sys­tème, la mé­moire, le CPU, les ac­cès aux fi­chiers, à la base de re­gistre, au ré­seau… Plu­tôt que de re­cher­cher des com­por­te­ments mal­veillants connus, ils uti­lisent le « ma­chine lear­ning » pour aler­ter lors de si­tua­tions anor­males. Si les édi­teurs tra­di­tion­nels d’an­ti­vi­rus se tournent vers ces so­lu­tions, c’est éga­le­ment le cas de nou­veaux en­trants tels Sen­ti­ne­lone ou le fran­çais i-guard.

Pour au­tant, les bases de si­gna­tures ne vont pro­ba­ble­ment pas dis­pa­raître pu­re­ment et sim­ple­ment. Ces dic­tion­naires per­mettent d’iden­ti­fier de ma­nière dé­fi­ni­tive un mal­ware. In­té­grés à des ser­vices en ligne, tel que Vi­rus To­tal, ils sont mis à contri­bu­tion lors­qu’une ano­ma­lie est dé­tec­tée sur un poste. Ils servent éga­le­ment à pro­po­ser des so­lu­tions de re­mé­dia­tion. Pas de doute, les mal­wares ont en­core de beaux jours de­vant eux. Les ha­ckers ne man­que­ront pas de ten­ter de mettre en place des so­lu­tions de contour­ne­ment. Ces so­lu­tions amé­liorent no­ta­ble­ment la sé­cu­ri­té. Bé­mol ce­pen­dant, les faux po­si­tifs pour­raient de­ve­nir un pro­blème ma­jeur de ces nou­velles so­lu­tions au point de né­ces­si­ter une nou­velle sorte de su­per­vi­sion. •

Sté­phane Dar­get

Fi­ni les grands concepts et les grandes trans­for­ma­tions. L’en­vi­ron­ne­ment de tra­vail col­la­bo­ra­tif ne pré­tend plus ré­vo­lu­tion­ner le ma­na­ge­ment, il s’at­tache es­sen­tiel­le­ment à ré­pondre au be­soin d’agi­li­té quo­ti­dien des équipes. Une vo­lon­té qui se ma­té­ria­lise avec l’émer­gence de l’« en­vi­ron­ne­ment nu­mé­rique de tra­vail in­té­gré » (Di­gi­tal Work­place) et des mes­sa­ge­ries temps réel. Le tout se dé­cline pour les mo­biles.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.