Naguère, des produits comme Thunderbyte Antivirus ou Dr Solomon démontraient l’efficacité d’une bonne analyse heuristique, tandis que les scanners à base de signatures occupaient de façon plus pragmatique le terrain des entreprises. Aujourd’hui, tous les produits génériques, à l’exception de ViGuard, ont été rachetés et, dans le meilleur des cas, relégués à un rôle de figuration au sein de scanners de signatures bien connus, qui continuent de régner en maîtres.Cela est tout à fait compréhensible sachant que les vendeurs d’antivirus font reposer leur modèle économique sur la vente de mises à jour de signatures à une clientèle captive, et non sur la commercialisation du logiciel lui-même – un éditeur bien connu affirme réaliser, dès le 1er janvier, 30 % de son chiffre d’affaires annuel grâce aux seuls renouvellements de licences. “Les éditeurs ne gagnent pas leur vie avec les produits”, confirme Joachim Krause, consultant sécurité chez CF6 et spécialiste de la lutte antivirale. Voilà qui semblerait donc exclure toute avancée technologique dans la recherche générique (moniteur de comportement, somme de contrôle et analyse heuristique).
Détecter les virus apparentés
Pourtant, la majorité des antivirus à base de signatures du marché intègrent désormais un moteur générique. Qu’ils l’aient acheté (comme McAfee, s’offrant Dr Solomon pour en exploiter le moteur générique et son langage de description de virus Virtran) ou développé (tel Symantec, avec le moteur heuristique Bloodhound), tous les éditeurs ont aujourd’hui fait entrer la recherche générique par la petite porte. “Ils se sont de nouveau penchés sur la détection générique au moment de la montée en puissance des vers VBS, explique François Paget, spécialiste antivirus chez McAfee. Et, aujourd’hui, tous les produits intègrent de la détection générique, principalement afin d’alléger les bases de signatures.”Ainsi, bien que rentable, la protection virale à base de signatures atteint ses limites avec l’explosion, notamment, de variantes de I love you, de Kak et de Bubbleboy. Ces parasites sont si simples à écrire qu’il est possible d’en découvrir chaque jour des nouveaux par dizaines, qui, tout en reposant sur le même principe, sont suffisamment différents de leurs cousins pour ne pas être repérés par la même signature.Parallèlement, bien sûr, la fabrication d’une signature devient également plus souple, afin de permettre la détection de virus apparentés. En cela, l’usage de caractères génériques a été une première étape, et il est courant aujourd’hui, pour une même signature, de détecter l’ensemble des virus fondés sur le même modèle ou issu du même générateur (ce qui a permis à Network Associates d’annoncer que VirusScan détectait SST/Anna Kournikova depuis l’été dernier).Mieux, en croisant la détection sur plusieurs signatures, on peut détecter une variante inconnue sans recourir à un moteur générique, comme l’explique François Paget : “On analyse une zone de code en mémoire, et si on trouve quatre occurrences de signatures pour un virus donné sur six disponibles, on sait que l’on est en présence d’une variante inconnue d’un parasite connu. On peut appeler cela la signature floue.”
Un processus à part entière
Si ingénieuse que puisse être cette technique, il n’en demeure pas moins que la seule véritable façon de détecter un virus inconnu ou l’une des milliers de variantes d’un parasite répertorié est d’avoir recours à un moteur d’analyse générique. Reste à savoir quel choix a effectué l’éditeur, afin d’échapper aux simples annonces marketing.Seules deux technologies sont réellement capables de détecter des virus inconnus avant qu’ils n’aient infecté le poste de travail : l’analyse heuristique (statique ou dynamique) et le moniteur de comportement. La première recherche des structures suspectes dans les fichiers, avant leur exécution, tandis que la seconde surveille en temps réel l’activité du poste de travail à la recherche de comportements suspects.Ces technologies ont cependant longtemps été ignorées parce qu’elles exigent trop de recherche-développement, demandent un certain éveil informatique de la part de l’utilisateur, et excluent toute forme d’abonnement régulier (on n’échappe certes pas à la mise à jour d’un moteur générique, mais cette dernière n’intervient qu’une à deux fois par an, contre une fois par semaine, voire par jour, dans le cas des bases de signatures).Ces technologies génériques reviennent toutefois aujourd’hui en odeur de sainteté, alors que les entreprises réalisent l’absurdité de la seule détection à base de signatures : quelle que soit la fréquence de mise à jour, les signatures ne seront jamais à l’abri d’un nouveau virus. C’est pourquoi l’avenir semble appartenir à une utilisation conjointe de chaque technologie au mieux de ses capacités : la signature virale permet une identification du virus (le ” Qui “), tandis que la partie générique se charge d’intercepter les virus (connus et inconnus) et d’éviter les infections.Et les deux peuvent cohabiter à merveille si l’on pousse l’idée plus loin, comme ont tenté de le faire les chercheurs d’IBM et d’Intel, avec le soutien commercial de Symantec, dans le cadre du Digital Immune System (DIS). Ce projet vise à faire de la lutte antivirale un processus, et non plus simplement une affaire de produit. Le DIS a principalement recours à l’analyse heuristique ou comportementale sur les postes clients afin d’isoler les virus inconnus. Il les transmet ensuite, via l’Active Network, à un centre d’analyse automatique, où ils sont testés et étudiés automatiquement. S’il s’agit d’un virus inconnu, une signature est générée et envoyée à tous les participants au réseau. Le virus sera dès lors détecté par sa signature chez tous les participants au projet. Le tout prend aujourd’hui une demi-heure. À chaque étape, l’entreprise demeure maîtresse des informations sortantes telles que les documents Word infectés, et peut les rendre anonymes.Bien que délicat à mettre en ?”uvre, le DIS représente aujourd’hui la solution la plus efficiente pour lutter à grande échelle contre les épidémies. En mariant recherche générique, pour une protection réellement efficace, et base de signatures, pour l’identification et la ” vaccination “, l’ensemble offre le meilleur des deux mondes et montre que l’avenir de la lutte antivirale est aux technologies hybrides.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
