Les antivirus toujours en retard d'un virus

2001, annus horribilis en matière de virus. Désormais, ils se répandent plus vite et causent davantage de dégâts.Pour exemple, Telecom Italia a été victime, il y a quelques mois, du ver Nimda sur des serveurs IIS, de Microsoft, non mis à jour. Résultat : l'opérateur transalpin a dû recruter cent personnes pendant une semaine pour faire le ménage sur des milliers de postes infectés. C'est que la communauté des hackers a maintenant rejoint la communauté des auteurs de virus afin de créer ce que d'aucuns appellent des codes malicieux. Un terme plus générique, qui traduit une combinaison hybride de virus, de vers, de scripts malveillants, et de chevaux de Troie, qui attaquent les vulnérabilités des applications telles que le débordement de buffers.Un peu de vocabulaire. " Un virus est un programme qui modifie les autres programmes afin d'y inclure une copie de lui-même ", telle est la définition du virus de Fred Cohen, père de la virologie informatique. Un ver, de son côté, se répand via un vecteur complémentaire comme le carnet d'adresses d'Outlook. Fred Cohen le classifie comme une sous-catégorie de virus. Un cheval de Troie est, quant à lui, un programme qui crée des portes dérobées permettant à un assaillant de tirer parti d'un système. Il sert, par exemple, à voler des mots de passe. Enfin, les scripts, qu'ils soient écrits en Visual Basic Script, JavaScript ou Java, ouvrent des failles sur les hôtes cibles.

Antivirus pluridisciplinaires

Aujourd'hui, les antivirus traitent des virus, des vers, des scripts hostiles, des chevaux de Troie, et leurs interactions. Des produits complémentaires, comme les outils de détection d'intrusions (IDS), sont une parade aux chevaux de Troie et aux vers. L'IDS, de CA, embarque même la base de signatures des virus d'Inoculate, du même CA. " Les solutions eAntiVirus et + eContent Inspector répondent aux attaques complexes ", atteste Valère Pascolo, responsable du développement d'activités de CA. Si les virus sévissent encore, c'est parce qu'ils évoluent sans cesse. Aucun acteur sérieux ne garantira une protection à 100 %. Les mises à jour sont indispensables, qu'il s'agisse des signatures ou des moteurs. Éric Beaurepaire, responsable Marketing Entreprises chez Symantec, constate qu'" il faut fournir les définitions de virus le plus rapidement possible. C'est ce qui différencie les acteurs majeurs des autres. Encore faut-il que cette définition fonctionne. Sinon, l'utilisateur doit pouvoir revenir facilement aux définitions antérieures, à la fois pour les signatures et les moteurs. Les moteurs des éditeurs leaders sont d'ailleurs très proches, celui qui n'a pas un bon moteur disparaît du marché ".

Ils signent leurs méfaits

Actuellement, on distingue plusieurs technologies de lutte contre les virus connus et inconnus. La première est fondée sur la signature du virus par une analyse du code. Cela fonctionne si le virus est référencé, pas du tout s'il est inconnu. La base de signatures peut devenir très importante, ce qui pousse certains éditeurs à purger les vieux virus." La taille de nos signatures est de 5 à 15 Ko, cela permet d'être rapide et de ne pas effectuer de purge, puisque notre base pèse 2 Mo pour soixante-dix mille virus ", illustre Stephan Roux, consultant chez Sophos. En cas d'attaque virale, il faut moins de deux heures à un éditeur sérieux pour fournir un antidote.Deuxième approche : la recherche générique, qui inclut les analyses heuristique et comportementale sur lesquelles la concurrence joue à présent. Un système heuristique cherche des instructions dans les codes exécutables, afin de révéler la présence d'un virus. François Paget, chercheur en virus chez Network Associates, estime que " la recherche heuristique s'apparente à une recherche d'anomalies. Elle exploite la structure des fichiers et les fonctionnalités liées aux virus ou aux chevaux de Troie. On tente, par exemple, de trouver le point d'entrée d'un code exécutable et on devient soupçonneux s'il n'est pas localisé normalement. On se met aussi en quête des instructions inattendues et potentiellement dangereuses comme des appels à des interruptions du système DOS non documentées, des émissions de mails, des instructions liées à des attaques connues. Le nombre d'anomalies sur un fichier mesure la fiabilité de l'alerte. L'analyse comportementale, pour sa part, étudie les opérations de lecture et d'écriture au fur et à mesure qu'elles se déroulent en mémoire. L'écriture physique sur un disque dur pourra amener une alerte ".

Pervers polymorphes et querelles d'experts

Marc Blanchard, directeur technique des laboratoires de Trend Micro, explique que son " système comportemental détecte les comportements existants, croisés avec des signatures de comportements. Ce n'est pas un frein aux détections des codes métamorphiques [une nouvelle génération de virus polymorphiques, NDLR] ". Le but de ces codes était d'éviter d'être détectés en supprimant la notion de point d'entrée. Et d'ajouter : " Le virus contourne les instructions de saut (" jump ") et prend leur place. "L'analyse comportementale ?" sujet qui suscite beaucoup de débats ?" représente, pour Marc Blanchard, " l'avenir en matière de lutte antivirale ". Denis Zenkin, de Kaspersky Lab, prétend, lui, que " l'analyse comportementale de Trend est une analyse heuristique ordinaire ".Sophos, de son côté, n'est pas intéressé : " L'analyse comportementale est susceptible d'erreurs, étant donné ses mécanismes complexes ", prévient Stephan Roux. Chez Symantec, Damase Tricart, chef de produit, souligne que " l'analyse comportementale n'examine pas le fichier. Celui-ci est exécuté, et le moteur comportemental bloque les actions interdites, comme envoyer des mails. Nous ne l'utilisons que dans le cas des scripts et uniquement dans Norton AntiVirus 2002, notre produit grand public. Il y a eu une tentative de rajout d'un blocage comportemental d'écriture dans les exécutables, mais la fonction a été retirée à cause du nombre de fausses alertes ".

Pas de solution miracle

Enfin, la dernière technologie est le contrôle d'intégrité. CA, Kaspersky Lab et Sophos l'utilisent. L'éditeur russe s'appuie sur du CRC-32, tandis que Sophos et CA emploient un algorithme propriétaire. Quant à Tripwire, spécialiste du contrôle d'intégrité, il n'a recours au CRC-32 que pour des raisons historiques et pour sa rapidité de traitement. Tripwire exploite des algorithmes de hachage plus solides à l'instar de MD-5 ou SHA-1. Denis Zenkin souligne qu' " il n'y a aucun code malicieux qui ne puisse être stoppé par le CRC-32. MD-5 et SHA-1 sont plus fiables et nous travaillons à leur intégration dans Kaspersky Inspector pour Windows et Linux ".En conclusion, la lutte antivirale ne se résume pas à un mixage des technologies et aucun éditeur ne possède la panacée. F-Secure, pour sa part, utilise trois moteurs : ceux de Kaspersky, d'Orion et de F-Prot. In fine, il faut choisir selon les plates-formes exploitées, les performances, l'administration... sans oublier la culture technique des équipes.