Passer au contenu

Comment les éditeurs d’antivirus traquent les malwares au quotidien

Des millions de virus s’abattent sur les PC tous les mois un peu partout dans le monde. Comment les chercheurs en sécurité arrivent-ils à lutter contre ce mal ? Nous avons visité un laboratoire antivirus pour le comprendre.

Devenu un phénomène de masse, les codes malveillants se compte aujourd’hui par dizaines, voire par centaines de millions chaque année. Dans son rapport annuel Security Bulletin, l’éditeur Kaspersky dit en avoir détecté, rien que pour l’année 2014, plus de 123 millions. Et ce n’est pas près de s’arrêter. Comment les éditeurs de solutions antivirus arrivent-ils à faire face à cette croissance exponentielle ? Ne sont-ils pas complètement dépassés par les évènements ? Pour s’en rendre compte, 01net.com s’est rendu dans les locaux de l’un d’entre eux, la société slovaque Eset.

Basé à Bratislava, le siège de cet éditeur se situe au 16e étage d’un gratte-ciel à proximité du Danube. Ici, tous les métiers sont représentés, du marketing au développement logiciel, en passant par la recherche en sécurité pure et dure. Le cœur de l’activité est le « laboratoire ». Pour y rentrer, il faut montrer patte blanche, car c’est à partir d’ici qu’est organisée la protection des plus de 100 millions de clients de l’éditeur. La tension est palpable.

Le siège social d'Eset est situé à Bratislava.
Le siège social d’Eset est situé à Bratislava.
Pour entrer au labo, il faut montrer patte blanche.
Pour entrer au labo, il faut montrer patte blanche.

Le laboratoire reçoit un flot interrompu de malwares, 24h24 et 7j/7. Pour pouvoir le gérer en continu, Eset dispose de plusieurs laboratoires répartis dans le monde : Bratislava, mais aussi Montréal et Singapour. « Nous traitons plus de 300.000 fichiers binaires uniques tous les jours », souligne Robert Lipovsky, chercheur en sécurité chez Eset. Ces fichiers proviennent de plusieurs sources, à commencer par les clients et les partenaires. Quand ils tombent sur un fichier louche non répertorié dans la base de données, ils peuvent l’envoyer à l’éditeur. Dans certains cas, le logiciel client d’Eset peut aussi le faire automatiquement, grâce à ses fonctions d’analyse comportementale des processus. Une autre source importante est VirusTotal, une plateforme qui permet aux éditeurs de s’échanger les codes malveillants que chacun à découvert.

Le labo d'Eset traite 300.000 fichiers malwares par jour.
Le labo d’Eset traite 300.000 fichiers malwares par jour.
Vue globale de clients de l'éditeur et leur niveau d'infection.
Vue globale de clients de l’éditeur et leur niveau d’infection.

Plus de 300.000 fichiers à analyser, cela peut paraître beaucoup, mais en réalité la grande majorité d’entre eux sont des répliques légèrement modifiées de malwares déjà connus. Souvent, les pirates ne se creusent pas trop la tête, mais appliquent des recettes éprouvées selon un mode quasi industriel. Ces clones de codes malveillants sont catalogués en familles en fonction de leur structure et leur fonctionnement, un peu comme on le fait avec des êtres vivants. Chez Eset, on appelle cela les « signature génériques ». Quand un tel clone est détecté, le travail des ingénieurs est rapide. « Il ne faut que quelques minutes pour établir la signature de ce nouveau fichier et l’intégrer dans la base de données globale. Cet identifiant sera ensuite répercuté chez les clients lors de la prochaine mise à jour », poursuit Robert Lipovsky.

Vue européenne des clients de l'éditeur et de leur niveau d'infection.
Vue européenne des clients de l’éditeur et de leur niveau d’infection.
Vue globale des clients de l'éditeur et de leur niveau de mise à jour.
Vue globale des clients de l’éditeur et de leur niveau de mise à jour.

Quand l’éditeur détecte un code réellement nouveau, celui-ci est alors examiné à la loupe. L’exécutable doit d’abord être « désassemblé », c’est-à-dire le faire passer du code machine au code assembleur, qui est déjà plus intelligible. Ensuite, l’ingénieur procède à une rétro-ingénierie du code : Comment s’installe-t-il ? Quelles opérations effectue-t-il sur l’ordinateur? Comment se propage-t-il ? etc. « Généralement, il suffit d’avoir accès au code assembleur pour faire cette analyse. Dans certains cas, il faut aller plus loin et décompiler le code », explique le chercheur.

Quand un nouveau malware est détecté, il faut le décortiquer.
Quand un nouveau malware est détecté, il faut le décortiquer.

Les outils quotidiens que nous avons vus chez Eset sont assez classiques dans le milieu de la sécurité informatique. Les ingénieurs utilisent IDA Pro et Hiew pour désassembler les codes malveillants, ainsi que WindDiff pour réaliser des comparaisons entre différents fichiers. Ils disposent aussi de PC isolés sur lesquels il peuvent installer le code malveillant et observer son comportement. « Le temps que représente tout ce travail est très variable. Cela peut prendre des heures, voire des jours », précise Robert Lipovsky.

WinDiff permet de comparer de manière graphique des fichiers Windows.
WinDiff permet de comparer de manière graphique des fichiers Windows.
Hiew (Hacker's View) est un des désassembleurs les plus utilisés.
Hiew (Hacker’s View) est un des désassembleurs les plus utilisés.
IDA Pro est un autre désassembleur très couramment utilisé pour la rétro-ingénierie.
IDA Pro est un autre désassembleur très couramment utilisé pour la rétro-ingénierie.

En revanche, l’éditeur a refusé de nous montrer son logiciel de création de signatures. Cet outil influe directement sur la capacité de détection de ses logiciels d’antivirus. C’est donc LE facteur différenciant par rapport aux concurrents. On peut comprendre qu’il le considère comme un secret industriel.

« L’internet des objets est un vrai challenge »

Palo Luka, CTO d'Eset
Palo Luka, CTO d’Eset

Après la visite du laboratoire, rendez-vous avec Palo Luka, le directeur technique d’Eset. Nous en profitons pour lui poser quelques questions.

01net : Face à la montée en puissance des objets connectés – routeurs wifi, NAS, gadgets en tout genre… –  les antivirus pour PC ont-ils vraiment encore un avenir ?

Palo Luka : L’internet des objets est un vrai challenge. Les fabricants dans ce domaine ont peu d’expérience en sécurité informatique, et cela ne les intéresse pas beaucoup pour l’instant. Pour les utilisateurs, déployer un correctif sur ces appareils est un cauchemar. Il faudra donc du temps pour que les bonnes pratiques se mettent en place. Microsoft aussi a mis de nombreuses années avant d’avoir un processus de mise à jour automatisé bien huilé. Ceci étant, cela ne diminue pas l’importance de la sécurité du PC, car c’est toujours là que se trouvent les données qui intéressent les pirates et qu’il faut protéger. Souvent, les objets connectés ne sont qu’un vecteur d’attaque pour accéder au PC. Actuellement, nous effectuons des recherches pour voir comment appréhender au mieux cette problématique.

01net : En novembre dernier, des associations de défense des droits citoyens ont lancé « Detekt », un outil pour détecter les logiciels d’espionnage utilisés par les gouvernements tels que FinFisher, HackingTeam, Amesys… Les développeurs de cet outil critiquaient les antivirus du marché, estimant qu’ils ne protégeaient pas leurs clients face à cette menace. Qu’en pensez-vous ?

Palo Luka : Cette critique sous-entend qu’il existerait des accords entre les éditeurs antivirus et les fournisseurs de ces outils ou leurs clients. Pour notre part, ce n’est pas le cas. Notre détection ne fait pas la différence entre un malware ou un autre. Nous les traquons tous et nous détectons aussi ces logiciels d’espionnage. Par ailleurs, je ne pense pas que de tels accords seraient faciles à nouer.


Lire aussi:

« L’antivirus est mort », dit Symantec, le 06/05/2014
L’antivirus n’est pas mort, il a besoin d’aide, le 07/05/2014
L’antivirus : 25 ans déjà, le 11/06/2014

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert Kallenborn
Les dernières actualités
Amd Rx 7900 Xtx(1)
Les Radeon RX 8000 vont-elles décevoir côté mémoire ?
The Phi 3 Small Language Models With Big Potential Hero(2)
Microsoft dégaine son modèle de langage Phi-3 Mini : mini mais puissant !
Test Tesla Model 3 (2024)8
Tesla dans le rouge, robotaxi, Model 2 pas cher : ce qu’il faut retenir des annonces d’Elon Musk
Samsung Neo Qled Qn900d 2024
Les meilleurs TV Samsung bénéficient d’offres de remboursement inédites (jusqu’à -1000€)
Snapdragon X Plus
Snapdragon X Plus : une puce pleine de promesse pour concurrencer le MacBook Air M3
Hackers Nord Coréens Antivirus Malwares
Des pirates nord-coréens utilisent un antivirus pour propager des malwares depuis 2019
Smartphone Noir Nuit Twitter
Android 15 aurait la fonction idéale pour profiter de votre smartphone au lit
Ventes Google Pixel Japon
Voici comment Android 15 veut vous empêcher de divulguer des infos confidentielles
Top téléchargements