Gunnar Assmy - Fotolia
VirusTotal : pas de comparaison, mais la démonstration de certaines limites
Le service ne permet pas de procéder à de véritables comparaisons entre antivirus basés sur des listes de signatures. Mais il permet bien de montrer les limites de cette approche.
Récemment, la rédaction s’est penchée sur la manière dont les antivirus à base de signatures réagissent face à des menaces tout juste émergentes. Les résultats produits par VirusTotal à partir d’échantillons frais n’ont d’ailleurs pas manqué d’être préoccupants. Le procédé peut apparaître contraire aux recommandations du service. Dans un billet de blog, ses opérateurs soulignent, comme nous l’a rappelé par e-mail F-Secure, que « VirusTotal ne devrait pas être utilisé pour générer des indicateurs de comparaison entre différents produits antivirus ».
Et de justifier cette règle en expliquant que « les moteurs antivirus peuvent être des outils sophistiqués dotés de fonctions de détection additionnels susceptibles de ne pas fonctionner avec l’environnement d’analyse de VirusTotal. Pour cela, les résultats d’analyse de VirusTotal n’ont pas vocation à être utilisés pour comparer l’efficacité de produits antivirus ».
Se concentrer sur la charge utile
Dans un échange par courrier électronique, Loïc Guézo, stratégiste cybersécurité chez Trend Micro, souligne d’ailleurs les limites de l’exercice : « l’implémentation chez VirusTotal est le plus souvent faire sur des sous-systèmes de détection » qui ne sont pas nécessairement représentatifs des résultats que fournirait l’antivirus en conditions réelles. Ainsi, l’un des échantillons soumis à VirusTotal et initialement ignoré par le moteur de Trend Micro utilisé par le service de Google « est bien détecté dans les 5 secondes qui suivent en “Suspicious_GEN.F47V0512“ ».
De son côté, F-Secure souligne que les échantillons que nous avons étudiés sont des composants de livraison, chargés de télécharger la véritable charge utile : « les composants de livraison sont fréquemment et aisément générés, bien plus que les charges utiles ». Il convient ainsi de comprendre que les composants de livraison peuvent passer au travers des mailles du filet alors même que celui-ci bloquera sans peine une charge utile déjà bien connue.
Le temps, une limite l’antivirus classique
Mais ceci n’implique pas que les résultats de tests sur VirusTotal n’aient aucune valeur pour souligner les limites de l’antivirus traditionnel ou des processus associés à son fonctionnement, à commencer par ceux de prise en compte de nouvelles menaces. Et cela à plus forte raison que les opérateurs de VirusTotal soulignent qu’il a été conçu « comme un outil qui vérifient les échantillons suspects avec plusieurs solutions antivirales et aide les laboratoires antivirus en leur transférant les logiciels malveillants qu’ils échouent à détecter ». Le temps, élément critique de la protection contre les menaces, apparaît alors comme l’une des principales limites de l’antivirus traditionnel. F-Secure ne cherche d’ailleurs pas à le nier : « il y aura toujours un délai entre l’acquisition d’un échantillon, son analyse, et la création de la détection ».
Chez Symantec, l’ingénierie nous a précisé que le moteur antiviral ne détecte pas directement les échantillons compressés, et l’un de ceux que nous avions soumis pour analyse l’était justement dans une archive ZIP. Pour autant, l’éditeur a reconnu, le 17 mai dernier en fin de journée, que l’un de nos échantillons – présenté pour la première fois à VirusTotal le 16 mai dans l’après-midi – n’était pas détecté par son moteur : « nous ajoutons la détection pour cet échantillon en tant que JS.Downloader ». Le 18 mai au matin, c’était fait.
Ajouter la notion de réputation…
Alors, pour aider à réduire la fenêtre d’exposition à une nouvelle menace, les éditeurs multiplient les astuces. Deux échantillons – ici et là – soumis à VirusTotal le 16 mai semblaient ignorés par McAfee, notamment, le lendemain.
En fait, les clients de l’éditeur étaient déjà protégés : ils « ont été respectivement classés Assumed_Dirty_4 et Assumed_Dirty_3 depuis le 16 mai à 11h12 au travers du module GTI (Global Threats Intelligence) par les chercheurs des McAfee Labs ».
Et l’éditeur d’expliquer que « GTI est une extension du module VirusScan Enterprise (VSE) permettant de faire bénéficier nos clients d’une base globale de réputation en amont de la mise à disposition d’une signature antivirale permettant d’améliorer la protection contre les malwares en considérant un degré de suspicion potentiel sur les exécutables Windows, fichiers PDF et fichier APK » de paquets applicatifs Android.
Mais McAfee ne manque pas de reconnaître les limites de l’antivirus traditionnel que l’utilisation de VirusTotal peut tendre à démontrer. La mise à jour des listes de signatures n’est ainsi pas instantanée : « les signatures antivirales sont mises à disposition à minima une fois par jour. Il est également d’avoir plusieurs mises à jour sur une même journée selon la mise en évidence de nouvelles souches associées à un impact potentiel important et critique. Intel Security recommande ainsi à ses clients d’effectuer une mise à jour quotidiennement ». Mais cela peut ne pas suffire.
Le renseignement, et l’analyse comportementale
Et c’est justement pour traiter cet intervalle durant lequel les points de terminaison s’avèrent vulnérables que McAfee mise « sur les technologies GTI et Threat Intelligence Exchange (TIE) pour les aspects de réputation, ainsi que sur la technologie ATD permettant une décompilation et une analyse des appels faits par une application suspecte ou pour laquelle l’information de réputation ne serait pas disponible ».
C’est à l’automne 2014 que McAfee a présenté TIE, annonçant au passage s’associer, pour le partage de renseignements sur les menaces, à CyberArk, Titus et ForeScout. Aujourd’hui, l’éditeur estime qu’une « solution antivirale basée sur des signatures est une réponse nécessaire mais non suffisante ». Et il n’est pas le seul dans ce cas.
F-Secure souligne ainsi l’importance d’une approche de la protection misant sur des couches multiples. Dans un billet de blog, Andy Patel, chargé du marketing technologique du Finlandais, relève en particulier que des outils d’analyse automatiques interviennent dans un premier temps pour « couvrir les échantillons initiaux tandis que les analystes travaillent à l’écriture des détections appropriées ». Et c’est sans compter avec les moteurs locaux chargés de bloquer les processus aux comportements à risque.
La fin annoncée de l’antivirus ?
Ce qui n’empêche pas de nouveaux acteurs d’émerger avec l’ambition de supplanter l’antivirus classique. Il s’agit là des spécialistes de l’EDR – Endpoint Detection and Remediation – comme Carbon Black, Cylance, CounterTack, CrowdStrike, Cybereason, LightCyber ou encore SentinelOne et Tanium –, une vedette discrète de la dernière édition de RSA Conference. Certains spécialistes de l’antivirus avancent dans cette direction, à l’instar de Panda, Symantec, et Trend Micro. Une question d’évolution sinon de survie.
En décembre dernier, Gartner estimait ainsi que les outils d’EDR ne sont pas encore en mesure de remplacer les plateformes de protection des points de terminaison (EPP). Le cabinet assurait toutefois que « d’ici 2018, plusieurs fournisseurs d’EDR proposeront un périmètre fonctionnel suffisamment étendu pour gagner la confiance des entreprises dans le rôle de protection des points de terminaison principale ». Pour autant, toujours selon Gartner, « la plupart des fournisseurs d’EPP intègreront des capacités d’EDR d’ici la fin 2017 ».