Pas de détection avancée des logiciels malveillants sans mise en bac à sable
Les produits de détection de logiciels malveillants ont atteint le crépuscule d’une vie bien remplie. L’évolution rapide des logiciels malveillants pour lesquels il n’existe pas de signature et l’utilisation courante de méthodes d’attaque ne s’appuyant pas sur les logiciels malveillants ont considérablement réduit l’efficacité des outils basés sur des signatures.
Les produits de détection de logiciels malveillants ont atteint le crépuscule d’une vie bien remplie. L’évolution rapide des logiciels malveillants pour lesquels il n’existe pas de signature et l’utilisation courante de méthodes d’attaque ne s’appuyant pas sur les logiciels malveillants ont considérablement réduit l’efficacité des outils basés sur des signatures.
De nombreuses entreprises s’interrogent probablement sur la valeur qu’elles retirent des produits traditionnels de détection des logiciels malveillants, basés sur l’utilisation de signatures. Notamment après les révélations du New York Times qui a expliqué, en janvier, avoir été victime d’une campagne d’attaques informatiques trouvant son origine en Chine et qui est restée indétectée pour au moins quatre mois. Alors même que le quotidien utilisait les produits Symantec de protection contre les logiciels malveillants.
Pour répondre à cette problématique, de nombreux acteurs de l’industrie de la sécurité informatique ont proposé un changement de paradigme : s’éloigner de la détection basée sur des signatures au profit de systèmes de détection proactifs. Un nouveau segment de produits de sécurité de l’information pour entreprises, la détection avancée de logiciels malveillants, a ainsi émergé. Mais quelles sont les nouvelles méthodes qu’ils proposent et sont-elles susceptibles de susciter l’intérêt des entreprises ? Surtout, les entreprises peuvent-elles décider d’abandonner les antivirus traditionnels au profit de cette nouvelle génération de produits de protection ?
La mise en bac à sable : une technologie clé
Les logiciels traditionnels de détection de logiciels malveillants s’appuient sur des signatures. Des spécialistes cherchent constamment de nouveaux codes malicieux auxquels aucune signature n’a encore été associée. Dès qu’ils trouvent un tel échantillon, ils travaillent à la production de signatures permettant à l’antivirus de bloquer, ou contrer, le code malicieux nouvellement découvert. Mais cette approche n’est que réactive. Le nouveau code malicieux n’est trop souvent découvert qu’après son exécution réussie sur au moins une victime.
Dans le cadre des travaux de recherche visant à remplacer la détection par signature, la technologie de sandboxing, ou mise en bac à sable, a émergé comme essentielle à la détection proactive des logiciels malveillants. Elle consiste à intercepter le trafic réseau entrant et à la détourner vers un environnement virtuel dédié. Chaque paquet de données est examiné ou exécuté dans l’environnement virtuel avant d’être, soit transféré par sa destination, soit effacé s’il s’avère malicieux. Si le logiciel malveillant est particulièrement pervers et que l’administrateur ne parvient pas à nettoyer l’environnement virtuel, il lui suffit de le supprimer et de le reconstruire ensuite.
Différentes implémentations
De nombreux éditeurs proposent leur approche de la détection avancée de logiciels malveillants. Trois se dégagent en particulier : FireEye, Damballa, et Invincea.
FireEye a récemment profité d’un rapide gain de popularité : c’est l’un des premiers éditeurs à proposer le sandboxing à une échelle d’entreprise. Ses systèmes à déployer sur site utilisent l’approche typique du bac à sable en détournant le trafic, en l’examinant, puis en le transférant. L’e-mail étant considéré comme un trafic réseau susceptible d’enregistrer des soucis de latence, la technologie de FireEye apparaît plus efficace pour la protection contre les courriels malicieux que pour les menaces liées au trafic Web : peu importe que l’e-mail arrive avec un peu de retard; le système FireEye peut donc prendre son temps.
Damballa, comme FireEye, s’est fait une spécialité de la détection de logiciels malveillants sans signature. Toutefois, l’approche de Damballa consiste en la détection de botnets ou de communications comparables à celles caractéristiques d’un botnet. La technologie de Damballa s’appuie ainsi sur la détection de protocoles de communication communément utilisés par les botnet, dont l’IRC, très léger à implémenter et permettant de communiquer en quasi temps réel. Lorsque ce type de protocole est détecté, la technologie de Damballa procède à une inspection approfondie. Si le trafic s’avère associé à un bot, la communication est immédiatement coupée.
Enfin, Invincea a pris une approche différente. Plutôt que de détourner tout le trafic réseau dans une machine virtuelle, l’éditeur virtualise le navigateur Web. Et lorsqu’un utilisateur ouvre un navigateur Web, il interagit en réalité avec un navigateur qui réside dans l’enclave Invincea. L’éditeur assure savoir comment un navigateur idéal doit se comporter au quotidien. Ainsi, dès que son système détecte une anomalie, il entreprend une inspection approfondie. Par exemple, Invincea considèrera comme suspect un élément de trafic qui demande au navigateur Web de réaliser un appel système. Et si ce trafic s’avère malicieux, c’est l’environnement de navigation Web complet qui est détruit et automatiquement reconstruit. Ce processus est présenté comme transparent pour l’utilisateur.
Problème réglé ?
Des progrès significatifs ont donc été réalisés dans le domaine de la détection proactive de logiciels malveillants. Les entreprises ne sont plus complètement dépendantes des éditeurs d’antivirus et de leurs signatures.
Toutefois, les entreprises devraient faire preuve de prudence avant de s’appuyer sur un unique produit de détection avancée de logiciels malveillants. De nombreuses implémentations de sandboxing misent sur l’exécution de codes potentiellement malicieux dans un environnement dédié, avant la transmission des paquets à leur destination finale. Mais les auteurs de ces codes utilisent des méthodes de développement de plus en plus sophistiquées pour tromper ces produits. Nombre d’entre eux utilisent désormais un technique permettant de retarder l’exécution du code et d’attendre la sortie de l’environnement de test. Dès lors, de nombreux environnements de sandboxing peuvent transmettre le code malicieux à sa destination sans avoir détecté d’activités suspectes. Les éditeurs luttent contre ce problème. Mais il est important de relever qu’il n’existe pas de panacée dans la détection des logiciels malveillants.
En conséquence, si une organisation a pris la décision d’acheter un logiciel de protection basé sur le sandboxing, il peut être prudent de continuer d’utiliser des produits traditionnels en attendant que cette technologie ait atteint la maturité.
En fait, les responsables de la sécurité peuvent envisager une approche hybride, avec détection de logiciels malveillants par signature dans l’enclave à protéger, et protection par sandboxing à la périphérie.
A propos de l’auteur
Brad Casey est diplômé en assurance de l’information de l’Université du Texas à San Antonio. Il dispose d’une vaste expérience dans le test d’intrusion, les infrastructures de chiffrement à clé publique, la VoIP, et l’analyse de paquets réseau. Il est également compétent dans les domaines de l’administration de systèmes, Active Directory et Windows Server 2008. Il a passé cinq ans à produire des évaluations de sécurité pour l’US Air Force. Il profite régulièrement de son temps libre pour analyser des captures de flux réseau Wireshark et pour tester des distributions Linux dans des machines virtuelles.
Adapté de l’anglais par la rédaction