Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

De la réelle nécessité des antivirus à leur totale inutilité

De la réelle nécessité des antivirus à leur totale inutilité
2008-06-022013-02-11sécurité des réseauxfr
Il est toujours un brin provocateur de relancer un sujet sur lequel se sont confrontés et se confronte toujours les points de vue, sans jamais réellement trancher d’ailleurs, aussi bien chez les technophiles que chez les responsables Telecom ou IT. Mais ce n’est pas tous les jours qu’on...
Publié le 2 Juin 2008 par Olivier Rodier dans sécurité des réseaux

Il est toujours un brin provocateur de relancer un sujet sur lequel se sont confrontés et se confronte toujours les points de vue, sans jamais réellement trancher d’ailleurs, aussi bien chez les technophiles que chez les responsables Telecom ou IT. Mais ce n’est pas tous les jours qu’on fête un anniversaire.

Antivirus, 20 ans déjà
L’antivirus, dinosaure des composants sécurité, fête ses 20 ans cette année. Une éternité à l’échelle des technologies où les cycles d’obsolescence sont toujours plus courts, plus rapides. Les antivirus sont désormais ancrés dans nos mœurs et font pleinement partis de l’arsenal d’outils de protection traditionnellement déployé, que ce soit dans un cadre privée ou professionnel, sur nos PCs, nos serveurs de fichiers ou sur nos passerelles d’accès à Internet.

Son objectif : dans sa définition la plus standard, nous protéger des malwares (virus, vers, spywares, trojans, dialers et autres rootkits) généralement véhiculés par des usages classiques tels que la messagerie électronique, le web surfing, la messagerie instantanée, le P2P mais pas seulement, la mauvaise protection des machines et infrastructures jouant aussi un rôle prépondérant dans les scénarii d’infection (OS et applications non renforcés, non patchés, etc …).

Absolument nécessaire
Il se trouve que l’antivirus est le composant sécurité le plus déployé au sein des entreprises, outil considéré comme essentiel dans la stratégie de « défense en profondeur », cher à nos Security Best Practices. Tellement présent qu’il est entièrement considéré comme une commodité.
Coté fournisseurs, ils affichent des revenus en constante augmentation, le nombre d’entreprises adhérentes étant toujours plus élevé, les parcs informatique ne cessant de croitre, le marketing de la peur a toujours fait mouche.
Au rang des bonnes nouvelles, on nous annonce qu’un triste record vient d’être atteint, 1.122.311 codes malicieux sur terre dont deux tiers auraient été crée en 2007 dixit Symantec. Une belle croissance de 136% sur les 6 derniers mois de l’année dernière mettant en évidence la bonne santé d’une économie numérique illégale.
Alors, il peut sembler quelque peu dangereux, voir suicidaire pour une entreprise de ne pas mettre en œuvre d’antivirus, ne serait ce que pour stopper qu’une partie des infections ; c’est toujours ca de pris. Sinon, accepter et supporter les couts liés aux fuites d’information sensibles, à la destruction de données critiques, au temps de réinstallation des stations de travail/serveurs infectés, aux DoS sur les applications métiers, à la saturation des réseaux supportant du trafic métier, sans oublier les éventuelles contraintes réglementaires et légales.
Sans nul doute essaie t’on de faire preuve de quelque chose que l’on qualifie souvent « d’engagement de moyen », sans réellement savoir ce que cela implique concrètement.

Totalement inutile
Les problématiques intrinsèques aux solutions antivirales sont multiples, que se soit la capacité des éditeurs à réagir en mettant le plus rapidement possible à jour les bases de signature, la fréquence de mise à jour de nos propres moteurs antivirus, les vulnérabilités intrinsèques aux logiciels antivirus, les méthodes trop connues de contournement et d’évasion (archives/compressions, encodage MIME malformé, …), le caractère volatile, polymorphes de certaines souches … et j’en passe.
Selon une information diffusée par ZDNET reprenant les dires d’une conférence donnée par le très sérieux l’AusCERT, 80% des nouveaux malwares ne seront pas détectés par notre cher antivirus. 80 % ….. notre bonne vieille techno a si mal vieilli que ca ?
Un récent rapport de la société Panda Security affiche que sur l’échantillon de compagnies participantes à l’étude, 72% sont victimes d’infection et 23% des PC au sein de ces entreprises, protégés par des suites logicielles, sont infectés par des malwares. Au passage, on en profite pour promouvoir les solutions HIPS.
Le dernier rapport annuel du SANS Top-20 Security Risks 2007 met très clairement en évidence la trop nombreuse présence de vulnérabilités, au sens bug du terme, au sein des solutions antivirales. Un nombre incroyable d’ID CVE déclaré, tous fournisseurs confondus, rien que pour 2007 !
Pour continuer à noircir le tableau, on commence à parler plus ouvertement dans la presse des virus hardware et en parallèle, on annonce que la tendance est à la fin des infections de masse telles que nous avons connu au cours de 10 dernières années pour s’orienter vers des campagnes d’attaques ciblées exploitant principalement l’essence même du Web2.0, à savoir les réseaux sociaux. Symptomatique d’une maturité et d’une professionnalisation accrue du milieu underground.

Le RaceToZero
Le contournement des solutions antivirales est tellement devenu monnaie courante qu’on voit apparaitre un tout nouveau type de jeu concours, le RaceToZero (en rapport avec les 0-day exploit) pour ne citer que lui, qui a fait officiellement son apparition lors de la dernière DefCon 16 provoquant au passage une levée de bouclier de la part des éditeurs de solutions antivirales. L’objectif de ce concours est diaboliquement simple : partir d’une souche virale connue et identifiée par les moteurs du marché pour en faire une nouvelle variante, et ceci le plus rapidement possible, la difficulté étant croissante à chaque étape.
Les variantes et espèces polymorphiques ne sont pas nouvelles et mettent à mal depuis longtemps les antivirus qui font le choix de s’appuyer essentiellement sur une base de signature. Le malaise réside sans doute dans le fait que ceci devient trop commun, trop au point d’en faire un jeu.

Rien de neuf sous le soleil
Du coup, une éternelle question se pose : pourquoi donc utilisons nous encore les antivirus ? Un des principes fondamentaux en sécurité est de diminuer la surface d’attaque. N’est-on pas au contraire entrain de l’agrandir ? Quid du rapport risque/bénéfice ?
Souhaitons que les antivirus évoluent rapidement et efficacement vers les eldorados que représentent actuellement les techniques de détection heuristique, statistique, comportementale et autre sandbox. Le 0-day est une belle promesse (qui me fait quelque peu sourire). Et pourquoi pas, fusionner définitivement, pour les antivirus sur PC, avec les HIPS, qui malgré leur caractère très intrusif, pourrait apporter une première ébauche de solution.

Il est généralement de bon ton de citer une source, un auteur célèbre ; je n’en citerai qu’un. J’avoue garder un petit faible pour Slammer, ver volatile, léger, propagation aléatoire et instantanée, paralysie maximale par engorgements des réseaux et attaquant les bases données, sacro-saint cœur des SI des entreprises. Une petite merveille …. Nostalgie, quand tu nous tiens.

1 Commentaire

  • 18 Juillet 2008
    2008-07-18
    par
    Pascal Bénard
    Bonjour,

    Je souhaitais dans un premier temps réagir puis dans un second temps apporter un retour opérationnel à ce billet qui présente bien la dualité existante en ce qui concerne les antivirus, mais que l'on pourrait tout aussi bien étendre à mon humble avis à toute solution technique dans le monde de la sécurité. En effet, quel que soit le domaine où l'on applique une solution de protection on se retrouve inexorablement dans une logique attaque / défense, en d'autres termes à jouer aux gendarmes et aux voleurs (serions-nous encore tous de grands enfants ? ;) )

    En ce qui concerne les antivirus, une des raisons de leur longévité réside dans la manne financière associée : depuis des années, les antivirus sont les produits qui sont au top, et parfois de loin, dans la répartition du marché de la sécurité. Les anglo-saxons étant les rois du marketing, nulle surprise à ce qu'ils aient investis massivement, tels les lobbies du tabac en leur temps, à tel point qu'il parait aujourd'hui inconscient de ne pas avoir de machines protégées par un "antimachin chose", que ce soit au niveau professionnel ou personnel !

    Malgré les doutes légitimes relatifs à leur véritable efficacité évoqués dans le billet, mon expérience très récente m'a fait toucher du doigt l'intérêt de mener au sein d'une entreprise une lutte antipollution savamment orchestrée.

    En effet, je suis intervenu récemment "en pompier" chez l'un de nos grands comptes afin de mettre à plat et de formaliser la stratégie et le fonctionnement du dispositif de lutte antipollution au niveau groupe. Ce projet de grande envergure s'inscrit au niveau d'une démarche SMSI et a bénéficié d'un certain nombre d'atouts et de support, tels que :
    * Une directive de lutte contre les codes malveillants, renforcée par des directives complémentaires (démarche SMSI, gestion des incidents, veille sécurité, etc.) validée par la direction et portée par le RSSI Groupe
    * Une organisation assurant une cohérence d'ensemble tout en veillant à responsabiliser les Métiers, chaque Métier étant libre de décliner comme il l'entend les directives en fonction de son contexte propre
    * Une architecture visant une défense en profondeur, chaque flux (messagerie ou Web) étant analysé au minimum à deux points différents par des solutions différentes
    * Une architecture réactive visant à diminuer au minimum le temps de mise à jour des bases de signature
    * Des procédures de validation des mises à jour des moteurs de détection et des logiciels
    * Un dispositif de reporting global

    Alors certes, l'avenir jugera de l'efficacité de cette débauche d'énergie et de moyens. On peut cependant d'ors et déjà identifier les apports directs de ce projet au niveau du management de la sécurité au sein du groupe :
    * Sensibilisation de l'ensemble des Métiers autour de cette problématique qui a justement été choisie prioritairement afin, d'une part, de répondre à une réalité terrain (135.000 postes utilisateurs répartis sur l'ensemble du territoire) et, d'autre part, car elle parle à tout le monde (d'où un gain de temps certain à éviter de convaincre certains réticents).
    * Implication de l'ensemble des acteurs de la sécurité du groupe avec obligation de travailler ensemble et d'aboutir selon un calendrier défini et validé en commun
    * Mise en place d'une organisation ad'hoc sur laquelle les prochains chantiers sécurité s'appuieront
    * Test des procédures de gestion des incidents (c'est comme pour la sauvegarde des données : sauvegarder c'est bien ... restaurer c'est mieux !)

    Je pense donc que l'objectif est déjà atteint avant même que ce projet soit pleinement en production, que rien que pour cela la lutte antipollution globalisée au niveau d'une entreprise ou d'un groupe est justifiée, les bénéfices étant peut-être plutôt ailleurs que là où on aurait pu le penser de prime abord.

    J'en connais qui vont pouvoir continuer à s'offrir des vacances dorées ...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage