En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Antivirus : quo vadis ?

laisser un avis
Il y a deux semaines, le New York Times publiait le récit d'une attaque menée contre ce quotidien entre septembre et décembre 2012. Les pirates sont parvenus à pénétrer sur son réseau et à infiltrer plus de 50 postes de travail, ainsi que le serveur de domaine sur lequel sont stockés tous les noms d’utilisateurs et les mots de passe de l’ensemble du personnel du journal. Pour parvenir à leurs fins, les pirates avaient injecté 45 morceaux de codes malveillants différents, mais un seul a été identifié par la solution antivirus installée.
Il ne s’agit en aucun d’un incident isolé. En effet, même si les solutions antivirus sont largement déployées dans des entreprises de toute taille, les pirates parviennent toujours à s’introduire sur les réseaux, à prendre le contrôle des postes de travail et des serveurs locaux, et à extraire des données ciblées appartenant à l’entreprise. Souvent, les enquêtes menées post-incident révèlent que les responsables de ces attaques sont présents sur le réseau des mois, voire des années avant de passer à l’action. En outre, selon des chiffres récents de l'industrie, l’efficacité des solutions antivirus est estimée à moins de 50 %, certaines études annonçant même un niveau de performance encore inférieur.

Le système de signature contourné par les pirates

Le problème est le suivant : les pirates ont mis au point un moyen de contourner de manière fiable les algorithmes de comparaison de signatures sur lesquels s’appuient les logiciels antivirus.  Et dans la mesure où ces algorithmes ont impérativement besoin d’accéder en amont à un échantillon du code malveillant pour lui créer dans la foulée une signature, les attaquants inondent tout simplement le marché de variantes assez importantes introduites dans le code malveillant d’origine afin que le moteur de comparaison ne puisse pas l'identifier. Ces modifications sont suffisamment automatisées et configurées de manière à produire chaque jour un morceau de code malveillant sur mesure pour chaque entreprise cible à infecter. Imaginez une telle capacité d’adaptation dans le monde physique, à savoir un virus de la grippe spécifiquement mis au point pour vous et capable de muter tous les jours pour échapper à vos rappels de vaccins très épisodiques. Voici le type de problème auquel sont confrontés les éditeurs de logiciels antivirus. 

Un parallèle avec le monde physique

Conscients de la situation, ces mêmes éditeurs ont doté leurs produits de fonctionnalités de détection supplémentaires et y ont introduit des algorithmes de recherche heuristique chargés d’appliquer des règles contre les programmes. Ainsi, chaque fois qu’une règle trouve une correspondance, la dangerosité du code malveillant augmente jusqu’à atteindre un seuil spécifique qui permet de classer le programme comme suspect. Cette technologie de détection est plus difficile à esquiver, mais elle génère aussi davantage de faux positifs.
Aussi, je vous recommande de vérifier la configuration des solutions antivirus déployées dans votre entreprise. Combien de détections sont effectuées par semaine ? Quelle est la proportion par rapport à vos confrères dans l'industrie ? Lancez-vous uniquement une détection basée sur les signatures ou bien activez-vous aussi la fonction heuristique ? Plus important encore : combien de programmes malveillants sont immédiatement identifiés lors de leur téléchargement et combien d’entre eux ne sont découverts qu’au moment d’une analyse périodique ? Les résultats peuvent confirmer qu’ils ont échappé à l’examen minutieux initial et qu’ils n’ont été détectés qu’ultérieurement, après le téléchargement d’une mise à jour des signatures.
Il n’y a aucune raison de désactiver votre antivirus. Cependant, vous devriez avoir conscience des limites de ces logiciels et optimiser leur utilisation pour qu’ils offrent un maximum de fonctionnalités. Ces solutions ne sont qu’une simple couche au sein de votre architecture de sécurité, et comme toutes les autres, elles ne peuvent pas garantir une parfaite protection contre toutes les menaces possibles.
     Wolfgang Kandek
directeur technique chez Qualys
Il est responsable de la direction des produits et des aspects opérationnels de la plate-forme Qualysguard et son infrastructure. Il a plus de vingt ans d'expérience dans le développement et la gestion des systèmes d'information. Wolfgang Kandek est le principal contributeur du blog The Laws of Vulnerabilities. http://laws.qualys.com/
envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
L’entreprise, invitée surprise de la conférence Google I/O
L’antivirus : 25 ans déjà
iOS 8 : Apple met la sécurité au cœur de ses annonces
Quand la sécurité devient éco-responsable
Piratage : Ebay, Orange, Target... A qui le tour ? (vidéo du jour)
BYOD 2014 : quelles avancées après 4 ans de buzz ?
IOC : le nouvel or noir des cyberdéfenseurs
Peut-on sécuriser l’open-source ?
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Un second bug de Chrome permet d’écouter les conversations de ses utilisateurs
Trois minutes pour transformer une application Android en malware
Cybersécurité, 2013 a vu une explosion des vols de données à grande échelle
Les objets connectés seront le nouveau paradis des malwares
Etude Juniper et Rand : portrait détaillé du marché noir de la cybercriminalité
Les 3 choses à savoir sur la géolocalisation « in store »