Les nouvelles défenses des antivirus

Les virus informatiques, et les antivirus qui les combattent, existent depuis plus de vingt ans. Mais en vingt ans, tout a changé… Ne serait-ce qu’il y a dix ans, Internet n’avait rien à voir avec le réseau actuel, et les menaces étaient très différentes de celles d’aujourd’hui. A cette époque, la plupart des menaces prenaient la forme de virus, de vers ou de backdoors principalement véhiculés par le mail ou les failles de Windows (souvenez-vous, XP à sa sortie n’activait aucun pare-feu par défaut !). On dénombrait alors quelques centaines de codes malveillants par mois, d’autant plus faciles à détecter qu’ils cherchaient avant tout à se faire remarquer en se déployant le plus rapidement possible, à la grande gloire de leurs auteurs. Autrefois, les antivirus se contentaient le plus souvent de reconnaître les fichiers dangereux à l’aide d’une base de signatures mise à jour quotidiennement. Le principe de fonctionnement, qui existe toujours, est assez simple : dès qu’un nouveau fichier est écrit sur le disque, l’antivirus scanne son contenu et le compare à sa base de virus, une sorte de dictionnaire qui répertorie les programme malveillants connus.

Mais les menaces ont évolué…

Le problème c’est que dix ans plus tard, les virus, comme on les appelle toujours, présentent un tout autre visage. Il faut désormais davantage parler de menaces ou de malwares (programmes malveillants) car la plupart ont perdu leur faculté de réplication.Maintenant, Internet ne véhicule plus quelques centaines de menaces par mois, mais plus d’une dizaine de milliers par jour ! Les pirates aujourd’hui ne sont plus les hackers d’hier ; ce sont des cybercriminels qui cherchent avant tout à gagner de l’argent en infectant le plus discrètement possible des milliers, voire des millions de machines. Ils sont capables de faire du business en revendant des identités volées, des comptes mails ou des comptes de jeux vidéo en ligne, des numéros de cartes et de comptes bancaires. Leur quotidien, c’est l’arnaque des internautes naïfs, prêts à délier leur bourse pour des contrefaçons ou des produits factices (à commencer par des médicaments, des petites pilules bleues jusqu’aux remèdes prétendument magiques contre toutes sortes de maladies). Les cybercriminels inventent de nouvelles formes de chantage qu’ils font aussi bien aux grandes entreprises (qui paient plutôt que voir leur activité paralysée plusieurs jours ou leur image détériorée) qu’au premier internaute venu (faux antivirus, faux outils de réparation qui cryptent les fichiers pour les prétendre ensuite endommagés, mais réparables, etc. ). Ils commercialisent des réseaux de machines infectées (les botnets) pour envoyer du spam en quantité astronomique de manière anonyme ou pour truquer le trafic de sites Web. Certains criminels vendent même des générateurs d’attaques ou de virus ! Bref, il existe une économie souterraine virtuelle aux profits tout à fait réels. Désormais, les menaces ne se cachent plus uniquement dans les mails ou dans les cracks des logiciels, mais directement dans le code des pages Web ou des bannières de publicité, dans les moteurs de recherche ? les cybercriminels utilisent les thèmes en vogue pour placer leurs sites malveillants dans le top des recherches ?, dans les flux des réseaux sociaux comme Facebook ou Twitter, ou dans les fichiers bureautiques (PDF, Doc, PPT, XLS…), et multimédias.

… vers plus d’intelligence

Surtout, les menaces sont devenues plus intelligentes. Et pour cause. Aujourd’hui, les systèmes sont bien plus sécurisés, la majorité des utilisateurs se protège avec des pare-feu (intégrés dans les box ADSL des fournisseurs d’accès à Internet) et des antivirus. Dès lors, les codes malveillants ciblent plutôt les navigateurs, qui sont en première ligne, donc très exposés, et les logiciels que tout le monde utilise sans le savoir comme QuickTime, Flash Player, PDF Reader, etc.. Ils ont recours à des techniques très évoluées pour contourner les défenses du système et multiplient les méthodes de cryptage pour leurrer les antivirus. Surtout, ils font en sorte de muter très rapidement (on les appelle des virus polymorphes) pour tromper les bases de signatures virales. Par ailleurs, certains se présentent sous forme de coquilles vides inoffensives attendant de recevoir leurs instructions malveillantes. Enfin, ils font même appel à l’ingénierie sociale, des techniques psychologiques pour influencer l’utilisateur et changer son comportement. C’est ainsi que nombre d’internautes peu méfiants se font piéger en croyant détenir un scoop par exemple, en s’affolant sans raison, ou encore en achetant de manière impulsive.

Les signatures ont aussi leurs faiblesses

Avec des dizaines de milliers de nouvelles menaces chaque semaine et qui sont plus sournoises et plus intelligentes, les signatures ne suffisent plus à protéger un ordinateur. Les antivirus ont donc dû s’adapter. Ils ne se contentent plus de scanner les fichiers (même si les détections par signatures sont évidemment toujours opérationnelles). Pour lutter contre les coquilles vides et toutes ces menaces mutantes, ils doivent analyser les comportements des codes exécutés. C’est ce que l’on appelle les défenses comportementales ou proactives. L’objectif est, d’une part, de protéger le système et les données de l’utilisateur et d’autre part, de bloquer les comportements malveillants. Par exemple, si une application tente d’effacer des fichiers ou de reformater un disque, la défense comportementale jugera l’action dangereuse et la bloquera. De même, si une page Web vérifie la présence d’une faille ou tente d’accéder aux zones où sont stockés les mots de passe, la protection réagira, bloquera l’action puis alertera l’utilisateur. On distingue principalement deux formes de défense proactive : la première consiste à analyser en temps réel le comportement d’une application ; la seconde consiste à simuler l’action du programme (au sein d’une sandbox, une sorte de machine virtuelle) avant son exécution.Le rôle difficile d’un antivirus est donc ici de déterminer, selon le programme, si son comportement est standard ou à risques. On atteint là les limites des méthodes comportementales. D’abord, un antivirus ne peut étudier tous les comportements, ce qui ralentirait l’ordinateur. Ensuite, une défense comportementale doit pouvoir déterminer seule le degré de dangerosité pour éviter à l’utilisateur d’être envahi d’alertes dont il ne comprendrait pas la teneur. Enfin, certains comportements peuvent être jugés suspects sans qu’ils le soient réellement, ce qui induit des “ faux positifs ” : par exemple, il est normal qu’un logiciel de nettoyage comme CCleaner efface des fichiers et accède à des zones protégées du système. Pour contrecarrer les défauts des défenses comportementales, les antivirus ont souvent recours à des listes de signatures blanches : un système similaire à celui qui permet la détection des virus courants est utilisé pour reconnaître les applications saines et connues, comme Office ou votre logiciel de dessin, par exemple.

Une défense en profondeur

Parce que la détection par signature et les défenses proactives ont leurs limites, les antivirus modernes (et plus particulièrement les suites) appliquent le concept de défense en profondeur. L’idée est simple : puisque les menaces sont multiples, appliquons des défenses multiples. Un code malveillant devra ainsi franchir non pas un seul bouclier, mais toute une série de boucliers défensifs. Et, dans une vraie suite, tous ces boucliers communiquent entre eux. Prenons l’exemple d’un code téléchargé : il devra franchir d’abord la protection intégrée dans le navigateur (celle qui filtre l’accès aux sites dangereux), et franchir la détection par signature, puis la détection comportementale et parfois même les barrières de la bulle protectrice (sandbox) dans laquelle l’antivirus l’exécute. Ici, chaque bouclier fonctionne de concert : la protection Web indiquera que le site depuis lequel le fichier est téléchargé est inconnu, la détection par signature indiquera ne pas connaître ce fichier (ni comme étant dangereux, ni comme étant sain), ce qui mettra la défense comportementale dans un mode plus attentif et protecteur. Voilà pourquoi les suites tendent à être plus efficaces que les assemblages maison. Les éditeurs d’antivirus payants le savent. Leurs moutures 2011 (GData Antivirus, Kaspersky Antivirus ou BitDefender Antivirus) assemblent des protections Web et antimalware. Ce qui permet de sécuriser un PC sans qu’il soit nécessaire d’opter pour une suite complète…L’autre grande tendance en matière d’antivirus est le Cloud (nuage en français). D’un côté, il y a l’univers Internet en pleine expansion, impossible à surveiller intégralement, et dans lequel se baladent près de 25 millions de menaces, avec de nouvelles apparitions chaque seconde. De l’autre, il existe ces millions de PC connectés, de façon presque permanente, à Internet. Comment, dans ce cas, s’assurer que les antivirus sont toujours à jour et réactifs à la seconde ? Et pourquoi ne pas utiliser les millions de PC comme autant d’analyseurs de ce qui se passe sur Internet ? Ces deux questions ont amené les éditeurs à se pencher sur les technologies Cloud. Installé sur un PC, l’antivirus est sans cesse connecté aux centres de données de l’éditeur et l’interroge en continu pour savoir si le nouveau fichier apparu sur le PC est connu et dangereux, si une adresse Internet (URL) est connue et dangereuse… L’antivirus est donc ainsi toujours à jour et informé. Il agit également comme un capteur et communique au centre de données de l’éditeur ses propres trouvailles : tel nouveau fichier vient d’apparaître et provient de telle source, tel autre présente un comportement jugé suspect par les défenses proactives, tel site a un comportement douteux ou héberge un virus, tel mail reçu contient un lien vers un site suspect, etc.C’est ce que l’on appelle une “ intelligence collective ”, un concept cher à Panda Security qui fût le premier à le mettre en œuvre. Ce fonctionnement Cloud induit un autre concept particulièrement développé par Trend Micro, Symantec/Norton et F-Secure : l’idée de “ réputation ”. En regroupant les données délivrées par les antivirus installés et les données récoltées par les détecteurs des éditeurs, on peut anticiper et reconnaître si un site, un mail ou encore un fichier est potentiellement dangereux. Chaque site, chaque mail, chaque fichier se voit attribuer une note de dangerosité en fonction de nombreux critères de réputation. Et selon la réputation d’un élément, l’antivirus saura si le fichier récemment apparu sur l’ordinateur a plus de chance d’être sain ou d’être infecté, et alertera si nécessaire l’utilisateur.

Quel est donc le maillon faible ?

Avec autant de technologies et d’intelligence embarquées, pourquoi les antivirus sont encore faillibles ? Pourquoi cet assemblage de boucliers défensifs peut encore se montrer fragile et perméable ? Pour deux raisons : primo, ils sont faits de compromis ; secundo, ils sont placés sous le contrôle d’un utilisateur qui est, lui-même, peu fiable… Regardez votre disque de plusieurs gigaoctets. Il contient des dizaines, voire des centaines de milliers de fichiers. Le rôle de l’antivirus est de comparer chacun d’eux à sa base de millions de signatures sans affecter le comportement de votre PC ! Une tâche vraiment pas facile !Entre antivirus et cybercriminels, la bataille est aussi inégale : le premier doit protéger en permanence votre PC de toutes parts (mails, communications Web, téléchargements, clés USB, attaques directes par le réseau) tout en comblant les failles des logiciels. Les cybercriminels, eux, choisissent simplement et précisément où, quand et comment ils portent leur attaque. Pour ne pas ralentir le PC et éviter les messages d’alertes répétitifs, des compromis sont faits ! Ce qui n’échappe pas aux cybercriminels qui sauront les exploiter. Enfin, il y a l’utilisateur ! Cible de toutes les techniques d’ingénierie sociale, il se montre trop souvent imprudent : “ Je voulais tant regarder cette vidéo proposée par un de mes amis Facebook (…) L’offre reçue par mail semblait si alléchante, que je n’y ai pas résisté. ” Ces comportements vous rappellent quelque chose ? Les antivirus auront toujours des difficultés à contrer la peur et la tentation !

L’installation, une phase cruciale ?

Il est toujours préférable d’installer un antivirus juste après l’installation du système, autrement dit sur une installation propre. Pour être efficaces, les antivirus doivent s’ancrer assez profondément au cœur du système. Plus un système est ancien, moins il est conforme à sa configuration de base. Dès lors, l’installation peut poser des soucis. La situation est évidemment pire lorsqu’un système est déjà infecté. Car la plupart des malwares pervertissent les couches et les paramètres du système (comme le Panneau de configuration par exemple) et perturbent les installations. Les antivirus les plus évolués sont donc amenés à disposer de programmes d’installation complexes qui vérifient l’état du système par un scan préalable (c’est le cas de Panda, de Kaspersky ou du nouveau BitDefender 2011 par exemple), et le nettoient également si nécessaire.

Un nettoyage pas si facile

Repérer un virus c’est bien, mais encore faut-il l’éradiquer. C’est également le rôle de l’antivirus de nettoyer les infections, mais aussi les dégâts occasionnés dans le système. Toutefois, les cybercriminels ont multiplié les trouvailles pour compliquer la tâche des protections. Ils modifient, par exemple, le système pour empêcher l’accès aux sites des éditeurs de protection, ils bloquent l’accès au panneau de configuration ou au gestionnaire des tâches, ils modifient les droits de l’utilisateur et font en sorte qu’ils se contrôlent et se relancent automatiquement les uns les autres : ce qui empêche de les “ tuer ” et donc de les effacer ! Dès lors, la plupart des protections se montrent assez inefficaces en nettoyage. Au point que certains outils gratuits, spécialisés comme Malwarebyte’s Antimalware, se révèlent plus efficaces et sont même, parfois, utilisés par les services de support des éditeurs. Pour leur défense, les éditeurs avouent travailler davantage à éviter les infections qu’à les soigner. Heureusement, certains font des efforts comme en témoignent les progrès réalisés en la matière par Norton, BitDefender ou encore GDATA dans leurs éditions 2011. De son côté, Kaspersky a introduit dans sa version 2011 une fonction System Watcher qui épie et mémorise toutes les actions des programmes qu’il ne reconnaît pas comme sûrs. Si le programme se met à avoir un comportement malveillant, System Watcher sera capable de revenir en arrière, d’annuler toutes les opérations réalisées par cette menace, avant de l’éradiquer du système. Quoi qu’il arrive, certains malwares ne peuvent être éradiqués autrement qu’en réalisant une analyse après avoir redémarré Windows en mode sans échec (ce qui n’est pas toujours possible), ou avoir fait un scan avec un CD autoboot. Inconvénient, ces CD, s’ils éliminent les menaces, ne peuvent pas réparer les dégâts.

Qu’est-ce que c’est ?

“ Porte dérobée ”, ou bien le moyen pour un pirate de prendre le contrôle d’un PC à l’insu de son propriétaire.

Réseaux d’ordinateurs infectés par un bot (sorte de cheval de Troie) et pilotés par un cybercriminel. Certains botnets comptent plusieurs millions de PC. Les cybercriminels commercialisent cette force de frappe pour envoyer du spam, générer du faux trafic ou perturber les équipements informatiques d’entreprises ou de pays.

Bricoleur, bidouilleur, en français. Désigne à l’origine les programmeurs astucieux et débrouillards. Avec le temps, ils sont devenus des spécialistes de la sécurité, souvent confondus avec les crackers, pirates informatiques.

Mot bâti par analogie à software. Il désigne tous types de programmes nocifs introduits sur un PC à l’insu de l’utilisateur.

En anglais “ worms ”, programmes malveillants qui se répliquent à travers les réseaux informatiques.