McAfee concrétise son offre de sécurité rapprochée du matériel
L’éditeur avait annoncé en grande pompe sa technologie DeepSafe de protection rapprochant la sécurité logique du matériel, en septembre dernier, à l’occasion de l’Intel Developer Forum. A l’occasion de sa conférence utilisateurs Focus 11, McAfee a lancé Deep Defender, en version bêta, sa solution de protection du poste de travail s’appuyant sur la technologie DeepSafe.
En ouverture de l’Intel Developer Forum, McAfee annonçait la technologie DeepSafe. Dans un communiqué aussi grandiloquent qu’il se doit, l’éditeur expliquait alors «redessiner l’industrie» avec sa nouvelle technologie, en «combinant la puissance du matériel avec celle du logiciel pour créer des moyens bien plus sophistiqués de prévenir les attaques ». Et de souligner, lourd de menaces, que «les cybercriminels savent comment contourner les dispositifs de sécurité actuels résidant au-dessus du système d’exploitation ». Une situation qui nécessite, à ses yeux, «un nouveau paradigme : la sécurité au-delà du système d’exploitation ». En fait, avec DeepSafe, il s’agit surtout d’installer la sécurité en-dessous, au plus près du matériel «en tirant profit des fonctions de sécurité qu’offrent déjà les processeurs Intel ».
McAfee vient donc d’avancer dans la concrétisation de sa promesse, avec Deep Defender. Cette solution vise le poste de travail et assure la supervision en temps réel de la mémoire vive et de l’activité du processeur. De quoi promettre une détection «authentique» des attaques de type 0-day et, donc, protéger contre les menaces nouvelles.
Dans un entretien téléphonique, Candace Worley, vice-présidente sénior de McAfee et directrice générale de l’activité sécurité du poste de travail, explique que la solution s’appuie sur les API VT-x des processeurs Intel pour «surveiller l’activité sur la mémoire vive et le processeur et détecter les comportements de rootkits ». Mais DeepSafe ne s’appuie pas sur un hyperviseur «à proprement parler ». Pour elle, il s’agit plus d’un simple outil de supervision exploitant des capacités pourtant dédiées, initialement, aux hyperviseurs de type 1 - ou bare metal. D’ailleurs, elle reconnaît volontiers que Deep Defender ne peut pas, à ce jour, coexister avec des hyperviseurs de type 1 : «nous sommes conscients que cela pourrait être problématique à l’avenir et nous cherchons des moyens pour corriger cela.»
Ce positionnement, au-dessus du système d’exploitation et en interface avec certaines fonctions du processeur dédiées à la virtualisation ne pose-t-il toutefois pas des problèmes de performances ? «Nous travaillons avec des clients pour récolter des statistiques de performances », précise Candace Worley. «Pour l’instant, je n’ai pas de chiffre à vous communiquer mais nous avons des objectifs de performances, bien sûr. Nous devrions être capables de communiquer des chiffres après la fin du trimestre.»
Reste une autre question : McAfee, désormais filiale d’Intel, pourra-t-il étendre sa technologie DeepSage à d’autres plateformes que celle de sa maison mère ? Et l’on pense bien sûr aux processeurs AMD qui disposent de leurs propres extensions dédiées à la virtualisation, AMD-V. Réponse de Candice Worley : «les règles d’organisation mises en place avec Intel permettent à McAfee de nouer des partenariats avec d’autres. De même qu’Intel garde la liberté de travailler avec d’autres acteurs de la sécurité. J’espère que nous aurons l’opportunité de travailler avec AMD.»