Derrick Neill - Fotolia
Passe d’armes entre les spécialistes de l’antivirus et leurs nouveaux concurrents
Le service VirusTotal modifié ses conditions d’utilisation dans ce qui apparaît comme une réponse aux demandes de certains éditeurs d’antivirus traditionnels. Face à de jeunes loups aux dents longues devenus trop menaçants ?
C’est dans une certaine discrétion que VirusTotal a déclenché une petite tempête dans le monde de la protection des points de terminaison, serveurs autant que postes de travail. Il y a tout juste une semaine, ce service bien connu a modifié ses conditions d’utilisation. En ligne de mire : certains nouveaux acteurs de la protection contre les logiciels malveillants qui ne joueraient pas le jeu attendu par les opérateurs de VirusTotal et ses partenaires.
Dans un billet de blog, les opérateurs du service rappellent l’idée à l’origine de sa création : « VirusTotal est né il y a 12 ans, comme un service collaboratif pour promouvoir l’échange d’information et renforcer la sécurité sur Internet. L’idée initiale était très simple : n’importe qui pouvait envoyer un fichier suspect et, en retour, obtenir un rapport avec les résultats de multiples scanners antiviraux ». Las, il y aurait « des abus […] pénalisant notre communauté ». Dès lors, VirusTotal exige désormais que « toutes les entreprises produisant des analyses intègrent leurs scanners de détection à l’interface publique de VirusTotal, afin d’être éligibles à la réception de résultats d’antivirus dans le cadre des services fournis par l’API de VirusTotal ».
Une demande d’éditeurs d’antivirus
Alex Eckelberry, membre du conseil d’administration de Malwarebytes, n’a pas manqué de réagir rapidement. Dans un billet de blog, il ne cache pas sa satisfaction, estimant qu’utiliser les informations de VirusTotal sans contribuer en retour est clairement inéquitable. Toutefois, il explique lui-même que, jusqu’ici, il était possible de profiter des informations de ce service de Google sans contribuer en retour, moyennant le paiement d’un abonnement. De quoi laisser à penser que la pratique était au moins implicitement acceptée.
Mais il n’en a pas fallu plus pour que le directeur technique de Trend Micro, Raimund Genes, saute sur l’occasion pour s’en prendre aux nouveaux acteurs de la lutte contre les logiciels malveillants, ceux qui préfèrent recourir à des modèles algorithmiques appliqués directement aux fichiers suspects sans s’appuyer sur des bases de signatures. Dans un billet de blog, il explique clairement que VirusTotal a modifié ses conditions d’utilisation « en réponse à Trend Micro et d’autres contributeurs observant de plus en plus d’entreprises qui ne contribuent pas matériellement [au service] et profitent des données et des analyses de ceux d’entre nous qui contribuent de manière régulière ».
Sans ambages, Raimund Genes accuse donc « certains non-contributeurs d’avoir utilisé les données et analyses de VirusTotal pour animer leurs solutions de sécurité soi-disant de nouvelle génération dites sans signatures. Au lieu de maintenir leurs propres fichiers de signatures, ces entreprises utilisent simplement les données de VirusTotal comme fichier de signatures ».
De son côté, Eugène Kaspersky affiche sa satisfaction. Sur Twitter, il estime qu’il s’agit d’un « petit pas pour VirusTotal », mais d’un « pas de géant pour l’industrie de la sécurité ».
That's one small step for @virustotal, one giant leap for security industry https://t.co/rMKH0LgS7T by @alexeck
— Eugene Kaspersky (@e_kaspersky) May 6, 2016
Chez Eset, Stephen Cobb dénonce aussi les « entreprises qui traient les données [de VirusTotal] sans partager les leurs ».
Wow, a whole lot of people have no clue what @Virustotal is, or why it's wrong for firms to milk its data without sharing their own.
— Stephen Cobb (@zcobb) May 9, 2016
Une tempête dans un verre d’eau…
Mais pour Anton Chuvakin, de Gartner, « bien qu’il puisse y avoir quelques tricheurs qui utilisent VirusTotal comme “moteur“ de détection principal, nombre de spécialistes de l’EDR [Endpoint Detection and Remediation] se contentent d’appeler VirusTotal pour valider leur détection comportementale et/ou pour nommer ce qu’ils ont trouvé ».
Le patron de Cylance, Stuart McClure, n’a pas manqué de réagir aux propos d’Alex Eckelberry. Pour lui, son produit ne peut tout simplement pas retourner de fichiers à VirusTotal : « ce n’est tout simplement pas comme ça que fonctionne notre produit […] si faire partie de la communauté signifie que nous devons partager nos algorithmes, notre moteur unique de détection, avec les grands de l’antivirus afin qu’ils puissent voler nos détections, alors oui, nous ne pourrons pas répondre à ce critère ». Et d’ajouter que, non, la décision de VirusTotal « n’a pas affecté Cylance d’un iota ».
Alex Eckelberry a par la suite précisé que Cylance n’utilise en fait VirusTotal que pour récupérer des échantillons de logiciels malveillants afin d’entraîner son moteur analytique dans ses efforts de modélisation, mais « pas directement dans son produit ».
De son côté, Ehud Shamir, RSSI de SentinelOne, souligne que son produit n’utilise pas les bases de données de VirusTotal pour comparer des signatures. Comme son Pdg, Tomer Weingarten, l’avait expliqué à la rédaction l’an passé, il s’appuie sur un agent résident analysant les processus applicatifs pour chercher, dans leur comportement, à détecter des modes opératoires typiques d’intentions malveillants. La modélisation des profils comportements s’appuie notamment sur le renseignement sur les menaces et sur le machine learning. Les données de VirusTotal sont là mises à profit, comme celles d’autres sources – sept, selon Tomer Weingarten –, détaille Ehud Shamir, tout en soulignant qu’elles ne sont pas exploitées par l’agent de détection : « SentinelOne n’est pas un scanner ; nous ne scannons pas des fichiers ni ne comparons des signatures ».
Dans un billet de blog, Palo Alto Networks indique pour sa part collecter des échantillons auprès de nombreuses sources, dont VirusTotal, là encore sans compter sur lui pour classifier les menaces observées : pour cela, il s’appuie sur son environnement cloud WildFire.
… ou une guerre des anciens contre les nouveaux ?
Chez CrowdStrike, également évoqué dans la polémique, Dmitri Alperovitch assure qu’il n’y a eu aucun impact à déplorer pour ses clients.
@CarlGottlieb You are misinformed. There has been zero impact to @CrowdStrike from VirusTotal changes
— Dmitri Alperovitch (@DAlperovitch) May 8, 2016
Pour Carl Gottlieb, directeur technique de Cognition, et ancien de NTT Com Security, les principaux spécialistes de la protection contre les logiciels malveillants de nouvelle génération « n’ont pas été affectés ». Surtout, « les éditeurs d’antivirus traditionnels ont un gros problème avec les éditeurs auto-proclamés de nouvelle génération, et en particulier Cylance ». Sans ménagement, il estime que c’est « compréhensible parce qu’ils ont prouvé qu’ils ne comprennent pas ce que fait Cylance ni comment cela fonctionne […] Il y a une guerre marketing au sein de l’industrie de l’antivirus, et ce n’est pas une surprise ».
Il est vrai que la technologie de Cylance fait débat. L’éditeur s’est largement comparé à ses concurrents plus traditionnels, notamment à l’aide de vidéos publiées sur YouTube : McAfee, Kaspersky, Eset ou encore Symantec. Et ce dernier n’a pas vraiment goûté l’exercice.
Symantec affirme ainsi, dans un billet de blog de la toute fin du mois de décembre, s’être lui-même comparé à Cylance Protect, revendiquant un environnement de test plus réaliste. Et là, « Cylance a bien fonctionné, mais pas aussi bien que Symantec ». Et de dénoncer en particulier « un nombre élevé de faux positifs ». Mais l’éditeur assure que l’outil de Cylance « n’analyse que les types de fichiers exécutables », laissant de côté « certains fichiers document standards tels que DOC et PDF ».
Plus préoccupant, Symantec affirme que dans certains cas, le logiciel malveillant détecté par son concurrent « reste fonctionnel et actif en mémoire » : Cylance Protect aurait donc ainsi besoin de fonctionner conjointement avec un autre outil de protection, doté de capacités de remédiation plus étendues.