Opinions
Antivirus : quo vadis ?
Par La rédaction, publié le 19 février 2013
Des évènements récents viennent bousculer la fiabilité des antivirus comme remparts aux pirates
Il y a deux semaines, le New York Times publiait le récit d’une attaque menée contre ce quotidien entre septembre et décembre 2012. Les pirates sont parvenus à pénétrer sur son réseau et à infiltrer plus de 50 postes de travail, ainsi que le serveur de domaine sur lequel sont stockés tous les noms d’utilisateurs et les mots de passe de l’ensemble du personnel du journal. Pour parvenir à leurs fins, les pirates avaient injecté 45 morceaux de codes malveillants différents, mais un seul a été identifié par la solution antivirus installée.
Il ne s’agit en aucun d’un incident isolé. En effet, même si les solutions antivirus sont largement déployées dans des entreprises de toute taille, les pirates parviennent toujours à s’introduire sur les réseaux, à prendre le contrôle des postes de travail et des serveurs locaux, et à extraire des données ciblées appartenant à l’entreprise. Souvent, les enquêtes menées post-incident révèlent que les responsables de ces attaques sont présents sur le réseau des mois, voire des années avant de passer à l’action. En outre, selon des chiffres récents de l’industrie, l’efficacité des solutions antivirus est estimée à moins de 50 %, certaines études annonçant même un niveau de performance encore inférieur.
Le système de signature contourné par les pirates
Le problème est le suivant : les pirates ont mis au point un moyen de contourner de manière fiable les algorithmes de comparaison de signatures sur lesquels s’appuient les logiciels antivirus. Et dans la mesure où ces algorithmes ont impérativement besoin d’accéder en amont à un échantillon du code malveillant pour lui créer dans la foulée une signature, les attaquants inondent tout simplement le marché de variantes assez importantes introduites dans le code malveillant d’origine afin que le moteur de comparaison ne puisse pas l’identifier. Ces modifications sont suffisamment automatisées et configurées de manière à produire chaque jour un morceau de code malveillant sur mesure pour chaque entreprise cible à infecter. Imaginez une telle capacité d’adaptation dans le monde physique, à savoir un virus de la grippe spécifiquement mis au point pour vous et capable de muter tous les jours pour échapper à vos rappels de vaccins très épisodiques. Voici le type de problème auquel sont confrontés les éditeurs de logiciels antivirus.
Un parallèle avec le monde physique
Conscients de la situation, ces mêmes éditeurs ont doté leurs produits de fonctionnalités de détection supplémentaires et y ont introduit des algorithmes de recherche heuristique chargés d’appliquer des règles contre les programmes. Ainsi, chaque fois qu’une règle trouve une correspondance, la dangerosité du code malveillant augmente jusqu’à atteindre un seuil spécifique qui permet de classer le programme comme suspect. Cette technologie de détection est plus difficile à esquiver, mais elle génère aussi davantage de faux positifs.
Aussi, je vous recommande de vérifier la configuration des solutions antivirus déployées dans votre entreprise. Combien de détections sont effectuées par semaine ? Quelle est la proportion par rapport à vos confrères dans l’industrie ? Lancez-vous uniquement une détection basée sur les signatures ou bien activez-vous aussi la fonction heuristique ? Plus important encore : combien de programmes malveillants sont immédiatement identifiés lors de leur téléchargement et combien d’entre eux ne sont découverts qu’au moment d’une analyse périodique ? Les résultats peuvent confirmer qu’ils ont échappé à l’examen minutieux initial et qu’ils n’ont été détectés qu’ultérieurement, après le téléchargement d’une mise à jour des signatures.
Il n’y a aucune raison de désactiver votre antivirus. Cependant, vous devriez avoir conscience des limites de ces logiciels et optimiser leur utilisation pour qu’ils offrent un maximum de fonctionnalités. Ces solutions ne sont qu’une simple couche au sein de votre architecture de sécurité, et comme toutes les autres, elles ne peuvent pas garantir une parfaite protection contre toutes les menaces possibles.