Il est toujours un brin provocateur de relancer un sujet sur lequel se sont confrontés et se confronte toujours les points de vue, sans jamais réellement trancher d’ailleurs, aussi bien chez les technophiles que chez les responsables Telecom ou IT. Mais ce n’est pas tous les jours qu’on fête un anniversaire.
Antivirus, 20 ans déjà
L’antivirus, dinosaure des composants sécurité, fête ses 20 ans cette année. Une éternité à l’échelle des technologies où les cycles d’obsolescence sont toujours plus courts, plus rapides. Les antivirus sont désormais ancrés dans nos mœurs et font pleinement partis de l’arsenal d’outils de protection traditionnellement déployé, que ce soit dans un cadre privée ou professionnel, sur nos PCs, nos serveurs de fichiers ou sur nos passerelles d’accès à Internet.
Son objectif : dans sa définition la plus standard, nous protéger des malwares (virus, vers, spywares, trojans, dialers et autres rootkits) généralement véhiculés par des usages classiques tels que la messagerie électronique, le web surfing, la messagerie instantanée, le P2P mais pas seulement, la mauvaise protection des machines et infrastructures jouant aussi un rôle prépondérant dans les scénarii d’infection (OS et applications non renforcés, non patchés, etc …).
Absolument nécessaire
Il se trouve que l’antivirus est le composant sécurité le plus déployé au sein des entreprises, outil considéré comme essentiel dans la stratégie de « défense en profondeur », cher à nos Security Best Practices. Tellement présent qu’il est entièrement considéré comme une commodité.
Coté fournisseurs, ils affichent des revenus en constante augmentation, le nombre d’entreprises adhérentes étant toujours plus élevé, les parcs informatique ne cessant de croitre, le marketing de la peur a toujours fait mouche.
Au rang des bonnes nouvelles, on nous annonce qu’un triste record vient d’être atteint, 1.122.311 codes malicieux sur terre dont deux tiers auraient été crée en 2007 dixit Symantec. Une belle croissance de 136% sur les 6 derniers mois de l’année dernière mettant en évidence la bonne santé d’une économie numérique illégale.
Alors, il peut sembler quelque peu dangereux, voir suicidaire pour une entreprise de ne pas mettre en œuvre d’antivirus, ne serait ce que pour stopper qu’une partie des infections ; c’est toujours ca de pris. Sinon, accepter et supporter les couts liés aux fuites d’information sensibles, à la destruction de données critiques, au temps de réinstallation des stations de travail/serveurs infectés, aux DoS sur les applications métiers, à la saturation des réseaux supportant du trafic métier, sans oublier les éventuelles contraintes réglementaires et légales.
Sans nul doute essaie t’on de faire preuve de quelque chose que l’on qualifie souvent « d’engagement de moyen », sans réellement savoir ce que cela implique concrètement.
Totalement inutile
Les problématiques intrinsèques aux solutions antivirales sont multiples, que se soit la capacité des éditeurs à réagir en mettant le plus rapidement possible à jour les bases de signature, la fréquence de mise à jour de nos propres moteurs antivirus, les vulnérabilités intrinsèques aux logiciels antivirus, les méthodes trop connues de contournement et d’évasion (archives/compressions, encodage MIME malformé, …), le caractère volatile, polymorphes de certaines souches … et j’en passe.
Selon une information diffusée par ZDNET reprenant les dires d’une conférence donnée par le très sérieux l’AusCERT, 80% des nouveaux malwares ne seront pas détectés par notre cher antivirus. 80 % ….. notre bonne vieille techno a si mal vieilli que ca ?
Un récent rapport de la société Panda Security affiche que sur l’échantillon de compagnies participantes à l’étude, 72% sont victimes d’infection et 23% des PC au sein de ces entreprises, protégés par des suites logicielles, sont infectés par des malwares. Au passage, on en profite pour promouvoir les solutions HIPS.
Le dernier rapport annuel du SANS Top-20 Security Risks 2007 met très clairement en évidence la trop nombreuse présence de vulnérabilités, au sens bug du terme, au sein des solutions antivirales. Un nombre incroyable d’ID CVE déclaré, tous fournisseurs confondus, rien que pour 2007 !
Pour continuer à noircir le tableau, on commence à parler plus ouvertement dans la presse des virus hardware et en parallèle, on annonce que la tendance est à la fin des infections de masse telles que nous avons connu au cours de 10 dernières années pour s’orienter vers des campagnes d’attaques ciblées exploitant principalement l’essence même du Web2.0, à savoir les réseaux sociaux. Symptomatique d’une maturité et d’une professionnalisation accrue du milieu underground.
Le RaceToZero
Le contournement des solutions antivirales est tellement devenu monnaie courante qu’on voit apparaitre un tout nouveau type de jeu concours, le RaceToZero (en rapport avec les 0-day exploit) pour ne citer que lui, qui a fait officiellement son apparition lors de la dernière DefCon 16 provoquant au passage une levée de bouclier de la part des éditeurs de solutions antivirales. L’objectif de ce concours est diaboliquement simple : partir d’une souche virale connue et identifiée par les moteurs du marché pour en faire une nouvelle variante, et ceci le plus rapidement possible, la difficulté étant croissante à chaque étape.
Les variantes et espèces polymorphiques ne sont pas nouvelles et mettent à mal depuis longtemps les antivirus qui font le choix de s’appuyer essentiellement sur une base de signature. Le malaise réside sans doute dans le fait que ceci devient trop commun, trop au point d’en faire un jeu.
Rien de neuf sous le soleil
Du coup, une éternelle question se pose : pourquoi donc utilisons nous encore les antivirus ? Un des principes fondamentaux en sécurité est de diminuer la surface d’attaque. N’est-on pas au contraire entrain de l’agrandir ? Quid du rapport risque/bénéfice ?
Souhaitons que les antivirus évoluent rapidement et efficacement vers les eldorados que représentent actuellement les techniques de détection heuristique, statistique, comportementale et autre sandbox. Le 0-day est une belle promesse (qui me fait quelque peu sourire). Et pourquoi pas, fusionner définitivement, pour les antivirus sur PC, avec les HIPS, qui malgré leur caractère très intrusif, pourrait apporter une première ébauche de solution.
Il est généralement de bon ton de citer une source, un auteur célèbre ; je n’en citerai qu’un. J’avoue garder un petit faible pour Slammer, ver volatile, léger, propagation aléatoire et instantanée, paralysie maximale par engorgements des réseaux et attaquant les bases données, sacro-saint cœur des SI des entreprises. Une petite merveille …. Nostalgie, quand tu nous tiens.
nsp