Nmedia - Fotolia
VirusTotal : comparer n’est pas jouer ?
Le service ne veut pas être utilisé à des fins de comparaison. L’exercice est pourtant bien tentant. D’autant plus qu’il produit des résultats peu rassurants.
Il y a peu, VirusTotal a modifié ses conditions d’utilisation dans ce qui apparaît comme une réponse aux demandes de certains éditeurs d’antivirus traditionnels. L’occasion d’une nouvelle polémique au sein de la communauté de la sécurité informatique. Dans le billet de blog annonçant cette modification, les opérateurs du service ont rappelé une « base » : « VirusTotal ne devrait pas être utilisé pour générer des indicateurs de comparaison entre différents produits antivirus ». Et de justifier cette règle en expliquant que « les moteurs antivirus peuvent être des outils sophistiqués dotés de fonctions de détection additionnels susceptibles de ne pas fonctionner avec l’environnement d’analyse de VirusTotal. Pour cela, les résultats d’analyse de VirusTotal n’ont pas vocation à être utilisé pour comparer l’efficacité de produits antivirus ». Pour autant, certains résultats d’analyses s’avèrent préoccupants.
Comme tout le monde, les membres de la rédaction du MagIT reçoivent régulièrement des courriels porteurs de logiciels malveillants, ou de pièces jointes suspectes. La bonne nouvelle est que ceux-ci échouent régulièrement dans le dossier de messagerie consacré aux pourriels.
Des filtres plus efficaces que les antivirus ?
Dans une très grande majorité des cas, il convient de remercier le mécanisme de validation du serveur de messagerie de l’expéditeur : celui-ci, basé sur le champ SPF de l’enregistrement DNS, conduit les serveurs de messagerie dûment configurés – à l’instar de ceux de Google – à détecter les tentatives d’usurpation d’identité de l’expéditeur. En résulte le classement des messages en question comme pourriels. Une bénédiction lorsque l’attaquant essaie de se faire passer pour un expéditeur interne au domaine de sa cible.
Les moteurs bayésiens de filtrage des pourriels s’avèrent également assez efficaces, suffisamment même, de temps en temps, pour bloquer des messages malveillants que les antivirus sont susceptibles de laisser passer. Nous avons déjà pu le constater, avec des messages bloqués par le moteur d’analyse de Proofpoint alors que l’antivirus de F-Secure n’y voyait que du feu.
Des bases de signatures inopérantes ?
De fait, certaines bases de signatures laissent dubitatif. Une pièce jointe malveillante soumise pour la première fois à VirusTotal le 13 avril dernier et représentée au service par la rédaction un mois plus tard n’affichait ainsi, mi-mai qu’un ratio de détection de 35/56. Cette piège jointe est associée à Dridex par Trend Micro et semblait ainsi passer alors aux travers des fourches caudines de ClamAV et de Malwarebytes, notamment. Il aura fallu attendre le 23 mai pour que ClamAV reconnaisse enfin cet échantillon.
Un fichier ZIP soumis pour la première fois à VirusTotal le 29 avril et testé par la rédaction le 13 mai ne donnait guère de résultats plus brillants avec un ratio de détection de 31/57. Associé à Nemucod et à Locky par certains moteurs antivirus, ce fichier laissait indifférent ceux de Malwarebytes, Panda, ClamAV, ou encore Symantec, pour ne citer qu’eux.
Surtout, la soumission de certains échantillons à VirusTotal conduit invariablement à s’interroger – encore une fois, serait-on tenté de préciser – sur l’efficacité des mécanismes de protection basés sur des signatures. Et c’est là la fréquence d’actualisation et de transmission des bases de données qui s’avère préoccupante.
Des mises à jour trop lentes ?
Un échantillon soumis pour la première fois le 16 mai peu avant 13h affichait près de 24h plus tard un ratio de détection de 17/57. Associé à Nemucod par Fortinet, et à Locky par Trend Micro, il apparaissait alors inoffensif selon les bases de signatures d’Avast, de BitDefender, ou encore de F-Secure et de McAfee, datées du 17 mai. Le lendemain, le ratio de détection était remonté à 26/57. Au 23 mai, il est de 32 sur 56.
Un autre échantillon, soumis pour analyse la première fois le 16 mai à 16h09, ne faisait pas bien mieux le lendemain peu avant 14h, avec un ratio de détection de 14/56. Associé par Eset à Nemucod, il apparaissait alors indétecté par Avast, ClamAV, Fortinet, McAfee, Panda ou encore Symantec et Trend Micro. Vingt-quatre heures plus tard, le ratio de détection atteignait 20/57, mais Avast, ClamAV, Fortinet, Panda et Symantec l’ignoraient encore. Une situation en partie corrigée en date du 20 mai, avec un ratio de 27/57.
Pire, un troisième, n’affichait qu’un ratio de détection de 5/57 près de 12 heures après sa première soumission à VirusTotal, interrogeant au passage sur les capacités de protection des antivirus contre les nouvelles variantes lorsqu’elles apparaissant hors heures ouvrées.
La rédaction a sollicité plusieurs éditeurs d’antivirus pour tenter de répondre aux questions soulevées par ces observations. Leurs réponses font l’objet d’un prochain article à paraître demain dans nos colonnes.