La technologie DeepSafe de McAfee ne change pas encore la donne
McAfee a récemment dévoilé ses premiers produits utilisant la technologie DeepSafe, qui est conçue pour surveiller et contrôler la mémoire et les processus en cours d’exécution. Mais la technologie a reçu un premier accueil tiède de la part des analystes du secteur qui s'interrogent sur la manière dont les entreprises l’adopteront.
La technologie DeepSafe, développée conjointement par Intel et McAfee, semble prometteuse, mais pour l'instant, les premiers produits dévoilés sont loin de bouleverser l’industrie de la sécurité, estime Andrew Braunberg, directeur de recherche pour les réseaux d'entreprise et la sécurité chez Current Analysis. DeepSAFE s’appuie sur les chipsets et la technologie vPro d’Intel pour les rendre plus exploitables en intégrant leurs capacités de gestion dans l’offre ePolicy Orchestrator de McAfee. Intel vPro permet d'accéder à un PC quel que soit l'état de son système d'exploitation, même s’il n’est pas sous tension. Jusqu'à maintenant, peu d'organisations ont utilisé vPro, souligne Braunberg. "Je ne pense pas qu'il y a beaucoup plus à voir aujourd’hui que la description initiale de DeepSAFE", indique-t-il. "Ils [McAfee et Intel] n'ont pas encore fournis beaucoup de détails, mais ce que nous voyons, c’est l'utilisation de la technologie vPro par McAfee."
Les premiers produits de l'éditeur utilisant DeepSafe ont été dévoilés lors de la conférence utilisateurs McAfee Focus 11, qui se tenait du 18 au 20 octobre à Las Vegas. Deep Defender, qui offre une protection basée sur le matériel, au niveau du noyau OS (en l'occurrence Windows), peut détecter les processus suspects qui pourraient indiquer la présence de rootkits. La société a également annoncé ePO Deep Command, qui donne aux administrateurs la possibilité de gérer les systèmes à distance, même s'ils sont éteints.
McAfee indique être le premier à proposer de nouvelles technologies de sécurité basées sur le matériel et capables de fonctionner sous le système d'exploitation en utilisant les chipsets Intel, ainsi que la technologie vPro. La société a déclaré que sa stratégie produits vise aussi à fournir une sécurité pour les appareils avec des ressources limitées, tels que les smartphones et les appareils embarqués.
La technologie Deep Defender alertera, bloquera et placera en quarantaine les processus suspects qui tentent de se charger en mémoire. L’éditeur assure que Deep Defender peut détecter la présence de rootkits, même inconnus à ce jour, avec une efficacité de 90 %. Elle est donc un complément utile aux techniques actuelles à base de signatures. La technologie fonctionne avec les processeurs Intel i3, i5 et i7.
C’est prometteur, mais il reste encore à savoir si l’industrie en sera ou non transformée pour autant, estime Wang Chenxi, vice-président et analyste principal chez Forrester. «La détection des rootkits est une bonne chose, mais vraiment ce n'est que la partie visible de l'iceberg et ce n'est pas quelque chose dont toute l'industrie dirait que c’est le problème le plus pressant du moment", explique-t-il. "DeepSafe lui-même a le potentiel d’être tout à fait unique sur le marché, mais nous devons attendre et voir comment les clients seront réceptifs à cette technologie".
McAfee entend intégrer ses produits basés sur DeepSafe, à commencer par DeepDefender, à ePO pour fournir des capacités de gestion centralisées. ePO Deep Command, s'appuie sur Intel vPro et ses fonctions AMT : les équipes informatiques peuvent se connecter à distance à des ordinateurs, vérifier les configurations système et gérer l’alimentation électrique, sans même qu’une machine soit allumée. Mais il ne permet pas d’appliquer des correctifs à distance.
Les ordinateurs portables équipés de processeurs Intel vPro disposent de capacités de sécurité et d’administration à distance basées sur le matériel. D’autres fournisseurs de solutions de sécurité ont utilisé la technologie d’Intel pour fournir des fonctionnalités similaires. Absolute Software utilise la même technologie que McAfee pour accéder à la technologie antivol d’Intel. Mais l’éditeur ne fournit pas de protection contre les rootkits. Il intègre toutefois son logiciel dans le firmware et peut effacer à distance des appareils, empêcher leur démarrage, récupérer leurs données et les suivre en utilisant les données de localisation lorsque le PC est éteint ou le système d'exploitation est en veille.
ePO Deep Command est également à rapprocher d'autres technologies actuellement disponibles. BigFix, qui a été acquis par IBM l'an dernier - désormais appelé IBM Tivoli Endpoint Manager pour la sécurité et la conformité - s'intègre avec vPro d'Intel pour fournir des capacités de gestion d'énergie. Le gestionnaire de postes de travail d'IBM peut atteindre les terminaux quel que soit leur emplacement ou leur type de connexion pour applications des corrections et gérer les configurations à distance.
McAfee se dirige dans la bonne direction avec une sécurité matérielle, mais il pourrait s’écouler un certain temps avant que les entreprises n’en reconnaissent la nécessité, relève Pete Lindstrom, directeur de recherche chez Spire Security. En outre, la sécurité matérielle n’a été jusqu’ici que très peu adoptée. La pénétration de vPro dans les entreprises est par ailleurs limitée, relève Lindstrom. Selon lui, il est peu probable que de nombreuses entreprises décident de renouveler tout leur parc de portables. "L'idée est que le niveau d’adoption de la virtualisation est tel que cela coupe l’herbe sous le pied aux approches basées sur les systèmes," juge Lindstrom. "En théorie, la voie adoptée par McAfee est très intéressante. Mais il reste à voir s’ils peuvent concrétiser leur vision."
Il y a également des signes subtils pouvant indiquer que la stratégie globale de McAfee pourrait changer sous l’influence d’Intel après le départ du président de McAfee, Dave DeWalt en juin, selon Wang de Forrester. DeepSafe était le principal message aux participants de la récente conférence utilisateurs de McAfee. Les participants ont entendu peu de choses sur la sécurité du Cloud ou sur la stratégie de McAfee pour renforcer l’intégration avec Wind River Systems, racheté par Intel pour 884 millions de dollars en 2009 - deux thèmes qui avaient résonné lors de la conférence utilisateurs de McAfee en 2010.
"Il semble qu'ils se concentrent désormais principalement sur la sécurité au niveau plateforme et terminal, mais ils me disent qu’ils continuent d’investir et de progresser dans d’autres domaines," précise Wang.
Un porte-parole de McAfee n'était pas disponible pour répondre à nos questions lors de la rédaction de cet article. Dans un message électronique, Anthony Jennings, vice-président du développement commercial et de la stratégie pour Intel chez McAfee, a déclaré que la société reste fidèle à sa feuille de route produits : «McAfee continue d'investir dans le Cloud et Wind River abondamment. Nous nous réjouissons de certaines annonces à venir dans les six à 12 prochains mois », écrit-il."Nous avons pris quelques-unes des technologies d'Intel et les avons intégrées dans notre stratégie Cloud."
Adapté de l'anglais par la rédaction