L'impasse

Partager

Je viens de voir des chiffres intéressants. Bien sûr, comme d'habitude, ils sont à prendre avec des pincettes, manipulées elles-mêmes par des gants. Dans une enquête Gartner, il est écrit que si 93% des entreprises sont équipées de logiciels anti-virus (Ou sont les 7% ?), 68% d'entre elles se déclarent infectées. Intéressant, non ?

Au commencement (et je vous parle d'un temps que les moins de vingt ans ne peuvent pas connaître) de l'apparition des virus, certains ont eu une excellente idée (à l'époque, c'était révolutionnaire) de mettre la signature de ceux-ci dans une base, et en comparant, on pouvait alors séparer le bon grain de l'ivraie. Et cela a marché pendant quelques temps. Malheureusement, la conception des virus a évolué rapidement. Ils sont devenus polymorphiques, pouvant évoluer (bien sûr, en changeant de signature), excessivement nombreux (des millions). Tant et si bien qu'une base de signature n'était jamais à jour, et en plus ne pouvait les contenir tous pour des raisons de performances. D'ailleurs si on prend une des premières définition d'un virus, il s'agissait d'un programme ralentissant le pc, prenant toutes les ressources mémoire et unité centrale disponibles, cela ne vous rappelle rien ? Pas de polémique. Alors, les concepteurs de logiciel anti-virus ont eu une autre idée(ni géniale, ni révolutionnaire), le rendre plus intelligent. Comment ? Simplement, en lui donnant en gros un moteur d'analyse statistique pour pouvoir détecter un virus même s'il n'est pas dans la base. Avec en plus des noms si ronflant que je ne peux les écrire sans être victime d'un fou rire. Cette méthode a prouvé son efficacité à laisser passer tout ce qui ne fallait pas (voir le chiffre cité plus haut, et le gros succès de Conflicker cette année).

Il fallait donc trouver autre chose, et vite. Et là, l'idée, que dis je THE IDEA (in french), on va mettre une note sur chaque site, chaque fichier pour prouver sa bonne foi, en un mot sa réputation. Et en plus, comme nous sommes dans la génération Internet, la base de connaissance se trouvera sur des sites Internet, donc plus simple à mettre à jour. Bonne idée, si si. Je pense qu'il y en a qui vont être content, ce sont les concepteurs de virus. Car grosso modo, la base de signature n'est plus sur la machine, mais dans les nuages, on a juste déplacé le problème. En y ajoutant des risques plus importants, deux me viennent à l'esprit : modification d'un  fichier de bonne réputation (assez simple à réaliser), et cerise sur le gâteau modification de la base centrale (une seule manipulation, et c'est le jackpot) ou agir comme homme du milieu entre la station et la base centrale (voir technique utilisée pour les updates automatique). Cette technique risque fortement de devenir une impasse technologique, et en plus de générer des menaces beaucoup plus importantes qu'avant. Et pourtant, il existe des moyens de protéger un poste de travail. Une voie longue et difficile, contrôler tous les processus de la machine (HIDS). Et des méthodes plus simples, comme par exemple de virtualiser le système d'exploitation lui-même (au reboot, il reviendra non modifié, pour être plus efficace cette solution est à coupler avec une approche NAC), ou simplement virtualiser le vecteur d'infection lui-même le browser. Ces solutions existent et sont matures. Ah, j'oubliais, on peut aussi virtualiser tout le poste pour qu'aucunes données et programmes n'y résident (en fait, on réinvente le concept mainframe).

Nicolas Jacquey
Philippe Maltere

_