Les attaques virales se multiplient depuis 1999. Leur prolifération, provoquée par des failles des logiciels du marché, incite les éditeurs d’antivirus à se rapprocher de ceux de logiciels de détection d’intrusion (IDS). Polymorphes, ces nouvelles menaces obligent à corréler les modes d’action des deux types de logiciels. Les premières applications mixtes arrivent sur le marché.
Utilisation : protéger le système d’information
L’antivirus assure la détection d’activité ou de code viral au sein des systèmes. Cantonnés, dans les années quatre-vingt, aux seuls postes de travail et à l’analyse de disquettes, les antivirus sont désormais également déployés sur les serveurs de fichiers, les passerelles de messagerie, etc. Ils assurent le contrôle d’une multitude d’éléments : courriers, programmes exécutables, scripts systèmes ou documents (pour les macro- commandes). Dernièrement, la surveillance du contenu des pages web (JavaScript, ActiveX…) est entrée dans le champ d’action de l’antivirus.
Principe de fonctionnement : base de signature ou générique ?
Les antivirus exploitent deux techniques distinctes. Une approche est fondée sur la recherche de signatures virales. L’autre est qualifiée de ” générique ” et regroupe l’ensemble des méthodes de détection qui ne recourent pas à la signature. La recherche de signatures virales est la technique la plus ancienne, la plus répandue et la plus fiable. Une signature est une série d’octets représentatifs d’un virus donné. Si cette suite est découverte au sein d’un objet susceptible d’être infecté (mémoire vive, secteurs du disque dur, exécutable…), l’antivirus donne l’alerte. Mais la méthode à ses limites : l’antivirus ne peut détecter que les virus dont il connaît la signature. Pour pallier ce handicap, et détecter notamment les virus polymorphes ou les variantes de parasites connus, le format des signatures s’est considérablement complexifié. Il s’apparente aujourd’hui à un véritable langage de description. Mais cette ingéniosité ne suffit pas. Même protégés, les systèmes demeurent exposés aux nouveaux virus tant que la base de signatures virales n’a pas été mise à jour. La seule réponse que peuvent apporter les éditeurs est de fournir une signature quelques heures après la découverte d’un virus. Les épidémies mondiales de 2001 ont montré que cela était insuffisant. En outre, l’augmentation du nombre de virus connus condamne à terme le recours aux bases de signatures, dont la taille ne cesse de croître. Si elles ne font pas appel aux signatures, les techniques génériques ne peuvent identifier un virus. Un antivirus générique se contente de donner l’alerte si le comportement du système semble résulter d’une infection virale. La première de ces méthodes de détection est l’analyse heuristique. L’objectif est d’examiner l’objet suspect et de rechercher les structures de code propres aux virus, telles des routines d’infection. L’analyse comportementale est la seconde technique générique. Il s’agit pour l’antivirus de détourner les appels systèmes essentiels (accès disque, déplacement en mémoire…) et de les comparer, en temps réel, à une liste de règles qui définissent un comportement viral typique. Malheureusement, avec ces deux méthodes, les fausses alertes peuvent être nombreuses, au point de rendre l’antivirus inutilisable. La troisième approche générique courante est le contrôle d’intégrité. L’antivirus calcule une empreinte cryptographique des fichiers du système afin de détecter leur éventuelle modification. Hélas, si la technique est infaillible, elle ne donne l’alerte qu’après la bataille. En outre, elle est difficile à installer convenablement sur un système au sein duquel de nombreux fichiers changent à chaque démarrage, comme Windows.
Acteurs : un marché qui s’est concentré
Face à toutes ces difficultés, les antivirus dans leur majorité utilisent une base de signatures, parfois associée à quelques timides moteurs génériques (heuristiques, principalement). C’est le cas de Norton Antivirus (Symantec), VirusScan (Networks Associates Technology), Viruswall (Trend Micro), Sophos ou F-Secure, qui représentent le gros du marché des antivirus d’entreprise dans le monde. Des éditeurs tels Tegam (en France) et Finjan Software offrent pour leur part des solutions plus ” génériques “, mais dont le succès commercial est plus confidentiel.
Alternatives : vers l’antivirus hybride
Avec ou sans signatures, aucune de ces solutions n’est aujourd’hui entièrement satisfaisante. L’entreprise est livrée à elle-même entre, d’une part, des produits dont les bases de signatures sont obligatoirement obsolètes et, d’autre part, une technologie générique prometteuse mais peu répandue, délicate à mettre en ?”uvre et sujette à de nombreuses fausses alertes. L’alternative ne pourra venir que d’antivirus hybrides, mêlant correctement et équitablement toutes les méthodes de détection. Hélas, aucun projet commercial crédible n’a encore été annoncé en ce sens.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
