Inscrivez-vous gratuitement à la Newsletter BFM Business
Face aux attaques inconnues surgissant chaque jour d'internet, l'analyse comportementale et le bac à sable arrivent en renfort des méthodes heuristiques classiques.
Les faits
Tous les grands éditeurs viennent de renouveler leur solution de protection du poste de travail, considéré comme la porte d'entrée des virus sur le réseau de l'entreprise. Symantec, F-Secure, et Check Point Software rejoignent ainsi, entre autres, Sophos et Skyrecon.
L'analyse
Les parades en vogue contre les vers, logiciels espions (spywares) ou malveillants (malwares), et autres bots sans signature font appel à de nouvelles techniques dépassant les limites des méthodes heuristiques classiques. Pour repérer les processus suspects, Symantec s'appuie, dans la version 11.0 de Endpoint Security, sur un système d'analyse comportementale. Ce dernier calcule une note à partir d'une centaine de tests menés lors de l'exécution du processus en conditions réelles. Par exemple, s'il ' écoute ' les touches du clavier, il peut s'agir d'un ' keylogger ' qui chasse les mots de passe. L'outil détermine aussi si le programme peut être désinstallé, s'il a des clés dans la base de registre de Windows, etc. Au final, le score obtenu par le processus est comparé à un seuil. Le risque d'alerter inutilement l'utilisateur, ce que l'on appelle un faux positif, est ainsi diminué. L'agent de protection du poste client de Symantec embarque également un pare-feu, des systèmes de prévention d'intrusion (IPS) de niveaux hôte et réseau, une protection par contrôle d'accès NAC (Network Access Control), et un antivirus complété d'heuristiques.Sophos, pour sa part, avait amélioré dès le mois de juin dernier, sa solution Endpoint Security and Control avec un HIPS (système de prévention d'intrusion hôte), apportant une détection proactive de type comportementale des codes malveillants et des dépassements de mémoire tampon (buffer overflow). Sans oublier de lui adjoindre un pare-feu, un antivirus (faisant aussi office d'antispyware), et un client NAC.Le français Skyrecon, quant à lui, cultive la défense comportementale depuis trois ans afin de bloquer les attaques inconnues. La démarche consiste à disposer d'un seul agent qui fait office de pare-feu, de logiciel de chiffrement, de client NAC, et aussi de bloqueur de pour les flux Skype ou de port USB. Un antivirus tiers est toutefois nécessaire. ' Nous bloquons les chevaux de Troie sans les détruire. Nous pouvons ainsi attendre que la signature soit disponible ', précise Ravy Truchot, PDG de Skyrecon. Sa solution Stormshield intercepte les appels vers le noyau du système en temps réel. Elle détecte les keyloggers et les dépassements de mémoire tampon d'origine malveillante. La protection contre les ' rootkits ' arrivera début 2008.
Isoler les processus
Plutôt que de laisser un processus s'exécuter, tout en le surveillant, il est possible de l'isoler dans un ' bac à sable ' hermétique. ' Nombre d'attaques arrivent via le navigateur web, souligne Laurent Heslault, consultant chez Symantec. Un bac à sable évite qu'un programme malveillant s'introduise de cette manière '. Symantec ne propose cette technique que sur sa gamme Norton grand public. Elle sera disponible avec sa gamme professionnelle en 2008.F-Secure, lui, la promeut depuis la version 7 de Client Security, lancée en début 2007. ' Le module Deepguard détecte des menaces inconnues via un bac à sable où l'on exécute les codes suspects ', précise Christophe Vérité, ingénieur avant-vente chez F-Secure. Sa protection du poste client associe HIDS (détection hôte), HIPS (prévention hôte), IDS-IPS (détection et prévention d'intrusion) dans les couches basses, un pare-feu, un ' antirootkit ', et un antivirus. La version 7.1 présentée ces derniers jours améliore les performances en réduisant de moitié la mémoire nécessaire au bac à sable. Une démarche proche de celle du bac à sable se concrétise avec le produit Forcefield, en version bêta, de Check Point Software. Ici, le navigateur s'exécute dans une zone protégée dont le contenu est détruit une fois la session achevée.Mais au fait, qu'en est-il de l'efficacité des heuristiques traditionnelles ? Le site av-comparatives.org affiche les capacités en la matière des antivirus du marché, à la fin mai 2007. NOD32, d'Eset, arrive en tête, avec un taux de reconnaissance de 68 % des malwares inconnus et peu de faux positifs. Un cas rare. Les produits les plus perspicaces (plus de 50 % de reconnaissance) ont, en effet, une fâcheuse tendance à générer beaucoup de faux positifs.
Votre opinion