Et si les antivirus devenaient inutiles ?

Pour autant, cette première étape pourrait bien paver la voie à un véritable enfer pour les chercheurs en sécurité informatique. Selon Paul Royal et quelques autres chercheurs du centre de sécurité de l’Institut de technologie de Georgie, cette capacité à muter, ou tout au moins à s’adapter à chaque machine, pour être différent en fonction des ordinateurs contaminés. Et pourrait porter un sérieux coup aux systèmes d’analyse automatisée dans nos antivirus. Le polymorphisme dans ses plus beaux atours. C’est ce que laisse entendre un article publié dans la revue du MIT, qui résume rapidement les travaux que Paul Royal présentera lors de la conférence Black Hat de Las Vegas cette semaine.

L’ironie, c'est que ces pirates informatiques, créateurs de virus, utilisent une technique de « licence », comme les systèmes de DRM destinés à empêcher la copie de contenus protégés. Faisant de chaque fichier signé sur une machine un élément unique, facilement traçable et repérable. A la différence que ce système de « licence » unique rend caduque les méthodes d’analyse basées sur des comparaisons à partir de ce qu’on appelle la signature, soit l’ensemble d’éléments communs à un virus ou à une famille de virus.

Or comment l’antivirus pourra-t-il être sûr d’avoir à faire à un virus si ce dernier est toujours légèrement différent ? Et si une partie des actions du virus est chiffrée ? C’est l’analyse automatisée qui devient ainsi quasiment caduque. Evidemment, les chercheurs de plusieurs éditeurs se penchent déjà sur la question et annoncent que la détection automatisée n’est pas impossible, mais rendue plus difficile. Ce que Paul Royal résume ainsi : « Malheureusement, cela fait partie de l’asymétrie de ce genre de sujets. Les attaquants ont très peu de travail à fournir pour rendre difficile le travail d’analyse des défenseurs. »

Et la difficulté pourrait être énorme car, pour réussir à contrecarrer ce genre de virus, les solutions pourraient devoir prendre des formes aussi extrêmes que la création d’une machine virtuelle, semblable à celle de l’utilisateur, pour recréer les conditions exactes de la contamination et, ainsi, identifier le malware. Mais en l’occurrence, les utilisateurs auront-ils envie que le contenu de leur PC puisse être ainsi potentiellement « répliqué » ?

Déjà les spécialistes s’inquiètent que la présentation des travaux de Paul Royal ne fasse qu’attirer l’attention des développeurs de virus et autres chevaux de Troie et ne leur facilite en définitive la tâche. « Cette présentation n’est pas une raison pour jeter ses outils d’analyse […] C’est supposé être un avertissement. Nous devons tous nous préparer », martèle le chercheur.