Les maliciels rendent l'antivirus obsolète
"Les méchants jouent avec les blancs". Soit, aux échecs, avec un coup d'avance. La phrase est de Laurent Heslaut, directeur technique de Symantec France. Elle vise à décrire la situation de la lutte engagée contre les producteurs de logiciels malicieux. Elle vient en écho aux affirmations répétées de Trend Micro selon lesquelles l’anti-virus « conventionnel » est mort. Des affirmations qui rencontrent un impressionnant consensus dans le petit monde des éditeurs d’outils de protection du poste de travail.
Ce n’est plus un développement, c’est une explosion. Symantec a recensé quelques 711 921 nouveaux logiciels malveillants en 2007, contre environ 120 000 en 2006 et… 12 000 en 2002. Cette explosion, pour Laurent Heslaut, est le clair fait du développement « d’une cybercriminalité dont la motivation est pécuniaire. » Du coup, « il n’y a aucune raison que cela s’arrête ; on est définitivement sorti de l’ère du bidouillage. »
Du bidouilleur au crime organisé
C’est dans ce contexte que Trend Micro affirme, sans ambages, que « l’antivirus est mort. » L’affirmation comporte bien sûr « une part d’exagération », pour Michel Lanaspeze, directeur marketing et communication de Sophos en France, mais aussi « une part de vérité. » Et Laurent Heslaut de reconnaître à son tour que « ce n’est pas faux. »
Pour Raimund Genes, directeur technique de Trend Micro, le dernier vrai virus remonte à 1999 ; c’était Melissa. « Désormais, il ne s’agit plus que de cybercrime. Et c’est une tendance lourde. Il s’agit d’argent. Nous avons identifié plus d’un million de nouveaux échantillons de code malveillant depuis le début de l’année 2008 ; nous en attendons quelques 5 millions d’ici la fin de l’année. »
Trop nombreux…
Cette recrudescence ne vient-elle pas précisément renforcer la légitimité des antivirus ? Non. Pour Raimund Genes, le processus allant de la détection, à l’analyse et enfin à la diffusion des mises à jour est trop lent. Laurent Heslaut abonde, ajoutant que l’on en arrive à des mises à jour de l’ordre de quelques méga-octets par jour : « c’est acceptable pour des particuliers, mais ingérable pour une entreprise. » Christophe Loba, responsable informatique d’Ibiden, que nous avons récemment interrogé, ne le contredira pas.
Michel Lanaspeze tempère néanmoins. Pour lui, ce qui est mort, c’est le fait de « se reposer uniquement sur des signatures. On développe une approche à plusieurs couches, avec contrôle d’applications, prévention d’intrusion, etc. » Et de relever en outre que « l’on arrête de plus en plus de malware par détection du génotype ou analyse comportementale. » Le premier consiste à étudier le code sans exécution, pour identifier par exemple des accès à la base de registre, quand le second s’appuie sur l’étude du comportement du logiciel malveillant, lorsqu’il s’exécute.
… et trop intelligents
Mais les cybercriminels ne sont pas en reste. Raimund Genes relève ainsi la sophistication croissante des logiciels malveillants : « certains détectent nos machines virtuelles et refusent de s’y exécuter, rendant l’analyse plus difficile » Un constat partagé par Laurent Heslaut qui ajoute que certains cybercriminels développent des logiciels malveillants conçus pour évoluer à chaque accès. En clair : si le maliciel est diffusé par le biais d'une page Web, il est différent pour chaque visiteur de la page compromise…
Le web en première ligne
C’est d’ailleurs le Web qui semble désormais privilégié comme vecteur de diffusion des malwares. Sophos, qui s’appuie sur un partenariat avec Google, a recensé quelques 15 000 nouvelles pages compromises et de facto infectieuses, par jour, depuis le début de l’année. Trois fois plus qu’en 2007.
Le concept est simple. Schématiquement, le cybercriminel parvient à modifier une page Web et y insère un bout de code qui provoque le chargement, depuis un autre site Web, du code malicieux.
D’où l’idée de certains, comme Check Point, d’isoler le navigateur Web dans une machine virtuelle. Laurent Heslaut souligne d’ailleurs que Symantec a récemment procédé au rachat d’entreprises dans ce domaine, à commencer par AppStream.
La protection en retard d’une bataille
Mais voilà, les auteurs de logiciels malveillants préparent déjà la parade. Laurent Heslaut relève ainsi que plusieurs code de type « proof of concept » capables de passer d’une machine virtuelle à l’hyperviseur, voire d’une machine virtuelle à une autre ont déjà été diffusés.
Alors que F-Secure annonçait le 16 mai dernier fêter « 20 ans de protection fiable », Laurent Heslaut estime qu’il « faut rester humble. En face, nous avons des gens de plus en plus motivés et compétents », motivés par l’enrichissement personnel ou l’intelligence économique. Pour lui, « les méchants jouent avec les blancs », avec un coup d’avance.
Pour autant, il recommande de ne pas tomber dans « le marketing de la peur : il faut développer les bonnes pratiques. » Et tant pis si cela a des airs de discours teinté de plan Vigipirate, il sera bientôt de la responsabilité de tous de se protéger efficacement : le code bancaire britannique précise désormais que, pour être indemnisé en cas de « phishing », un client devra prouver que son ordinateur était bien équipé d’un antivirus à jour, d’un anti-spyware et d'un pare-feu !