Inscrivez-vous gratuitement à la Newsletter BFM Business
Les virus frappent plus vite et plus fort. En témoigne l'année écoulée avec Code Red, Nimda, Sircam et Badtrans.B. La solution ? Bâtir une protection globale en maîtrisant les technologies mises en ?"uvre par les éditeurs du
domaine.
2001, annus horribilis en matière de virus. Désormais, ils se répandent plus vite et causent davantage de dégâts.Pour exemple, Telecom Italia a été victime, il y a quelques mois, du ver Nimda sur des serveurs IIS, de Microsoft, non mis à jour. Résultat : l'opérateur transalpin a dû recruter cent personnes pendant une semaine pour faire le ménage
sur des milliers de postes infectés. C'est que la communauté des hackers a maintenant rejoint la communauté des auteurs de virus afin de créer ce que d'aucuns appellent des codes malicieux. Un terme plus générique, qui traduit une combinaison
hybride de virus, de vers, de scripts malveillants, et de chevaux de Troie, qui attaquent les vulnérabilités des applications telles que le débordement de buffers.Un peu de vocabulaire. " Un virus est un programme qui modifie les autres programmes afin d'y inclure une copie de lui-même ", telle est la définition du virus de Fred Cohen, père de la virologie
informatique. Un ver, de son côté, se répand via un vecteur complémentaire comme le carnet d'adresses d'Outlook. Fred Cohen le classifie comme une sous-catégorie de virus. Un cheval de Troie est, quant à lui, un programme qui crée des portes
dérobées permettant à un assaillant de tirer parti d'un système. Il sert, par exemple, à voler des mots de passe. Enfin, les scripts, qu'ils soient écrits en Visual Basic Script, JavaScript ou Java, ouvrent des failles sur les hôtes cibles.
Antivirus pluridisciplinaires
Aujourd'hui, les antivirus traitent des virus, des vers, des scripts hostiles, des chevaux de Troie, et leurs interactions. Des produits complémentaires, comme les outils de détection d'intrusions (IDS), sont une parade aux chevaux de
Troie et aux vers. L'IDS, de CA, embarque même la base de signatures des virus d'Inoculate, du même CA. " Les solutions eAntiVirus et + eContent Inspector répondent aux attaques complexes ", atteste Valère Pascolo,
responsable du développement d'activités de CA. Si les virus sévissent encore, c'est parce qu'ils évoluent sans cesse. Aucun acteur sérieux ne garantira une protection à 100 %. Les mises à jour sont indispensables, qu'il s'agisse des signatures ou
des moteurs. Éric Beaurepaire, responsable Marketing Entreprises chez Symantec, constate qu'" il faut fournir les définitions de virus le plus rapidement possible. C'est ce qui différencie les acteurs majeurs des autres. Encore
faut-il que cette définition fonctionne. Sinon, l'utilisateur doit pouvoir revenir facilement aux définitions antérieures, à la fois pour les signatures et les moteurs. Les moteurs des éditeurs leaders sont d'ailleurs très proches, celui qui n'a pas
un bon moteur disparaît du marché ".
Ils signent leurs méfaits
Actuellement, on distingue plusieurs technologies de lutte contre les virus connus et inconnus. La première est fondée sur la signature du virus par une analyse du code. Cela fonctionne si le virus est référencé, pas du tout s'il est
inconnu. La base de signatures peut devenir très importante, ce qui pousse certains éditeurs à purger les vieux virus." La taille de nos signatures est de 5 à 15 Ko, cela permet d'être rapide et de ne pas effectuer de purge, puisque notre base pèse 2 Mo pour soixante-dix mille virus ", illustre Stephan Roux,
consultant chez Sophos. En cas d'attaque virale, il faut moins de deux heures à un éditeur sérieux pour fournir un antidote.Deuxième approche : la recherche générique, qui inclut les analyses heuristique et comportementale sur lesquelles la concurrence joue à présent. Un système heuristique cherche des instructions dans les codes exécutables, afin de révéler
la présence d'un virus. François Paget, chercheur en virus chez Network Associates, estime que " la recherche heuristique s'apparente à une recherche d'anomalies. Elle exploite la structure des fichiers et les fonctionnalités liées
aux virus ou aux chevaux de Troie. On tente, par exemple, de trouver le point d'entrée d'un code exécutable et on devient soupçonneux s'il n'est pas localisé normalement. On se met aussi en quête des instructions inattendues et potentiellement
dangereuses comme des appels à des interruptions du système DOS non documentées, des émissions de mails, des instructions liées à des attaques connues. Le nombre d'anomalies sur un fichier mesure la fiabilité de l'alerte. L'analyse comportementale,
pour sa part, étudie les opérations de lecture et d'écriture au fur et à mesure qu'elles se déroulent en mémoire. L'écriture physique sur un disque dur pourra amener une alerte ".
Pervers polymorphes et querelles d'experts
Marc Blanchard, directeur technique des laboratoires de Trend Micro, explique que son " système comportemental détecte les comportements existants, croisés avec des signatures de comportements. Ce n'est pas un frein aux
détections des codes métamorphiques [une nouvelle génération de virus polymorphiques, NDLR] ". Le but de ces codes était d'éviter d'être détectés en supprimant la notion de point d'entrée. Et d'ajouter :
" Le virus contourne les instructions de saut (" jump ") et prend leur place. "L'analyse comportementale ?" sujet qui suscite beaucoup de débats ?" représente, pour Marc Blanchard, " l'avenir en matière de lutte antivirale ". Denis Zenkin, de Kaspersky Lab, prétend,
lui, que " l'analyse comportementale de Trend est une analyse heuristique ordinaire ".Sophos, de son côté, n'est pas intéressé : " L'analyse comportementale est susceptible d'erreurs, étant donné ses mécanismes complexes ", prévient Stephan Roux. Chez Symantec, Damase Tricart, chef de
produit, souligne que " l'analyse comportementale n'examine pas le fichier. Celui-ci est exécuté, et le moteur comportemental bloque les actions interdites, comme envoyer des mails. Nous ne l'utilisons que dans le cas des scripts et
uniquement dans Norton AntiVirus 2002, notre produit grand public. Il y a eu une tentative de rajout d'un blocage comportemental d'écriture dans les exécutables, mais la fonction a été retirée à cause du nombre de fausses alertes
".
Pas de solution miracle
Enfin, la dernière technologie est le contrôle d'intégrité. CA, Kaspersky Lab et Sophos l'utilisent. L'éditeur russe s'appuie sur du CRC-32, tandis que Sophos et CA emploient un algorithme propriétaire. Quant à Tripwire, spécialiste du
contrôle d'intégrité, il n'a recours au CRC-32 que pour des raisons historiques et pour sa rapidité de traitement. Tripwire exploite des algorithmes de hachage plus solides à l'instar de MD-5 ou SHA-1. Denis Zenkin souligne qu' " il
n'y a aucun code malicieux qui ne puisse être stoppé par le CRC-32. MD-5 et SHA-1 sont plus fiables et nous travaillons à leur intégration dans Kaspersky Inspector pour Windows et Linux ".En conclusion, la lutte antivirale ne se résume pas à un mixage des technologies et aucun éditeur ne possède la panacée. F-Secure, pour sa part, utilise trois moteurs : ceux de Kaspersky, d'Orion et de F-Prot. In fine, il faut choisir
selon les plates-formes exploitées, les performances, l'administration... sans oublier la culture technique des équipes.
Votre opinion