lun, 23/06/2014 - 15:21
Dans un excellent article récemment publié par le Wall Street Journal, l’un des dirigeants de Symantec déclarait la mort des anti-virus. Eh bien, il était temps. Depuis trop longtemps les antivirus ont été maintenus artificiellement en vie et voilà leur inefficacité enfin mise en lumière.
Il y a 25 ans les anti-virus étaient une révolution. Leur technologie novatrice s’appuyait sur un logiciel qui traquait des modèles de fichiers informatiques identifiés comme faisant partie d'un "virus". Beaucoup ne croyaient pas en leur nécessité et certains avaient même émis l'hypothèse que ces virus sporadiques (comme ils étaient appelés à l’époque) étaient créés et distribués par de petites start-ups qui tentaient, par ce biais, de commercialiser leurs anti-virus. Ceux qui tentaient de contourner cette nouvelle source de coûts pensaient même qu’avec l'aide d'un calendrier recensant la fréquence des campagnes d’attaque, ils pourraient éviter les dommages potentiels en éteignant tout simplement leurs ordinateurs certains jours. Le grand public a néanmoins pu rapidement se rendre compte que les anti-virus constituaient la meilleure parade pour se protéger des malwares aussi bien inoffensifs comme ping-pong, que de ceux tels que CIH dont les dommages étaient bien plus sérieux. Croyez-le ou non, mais les premières mises à jour AV étaient adressées aux clients par courrier.
20 années ont passé et les ordinateurs professionnels sont désormais connectés à des réseaux d'entreprise, ces réseaux reliés les uns aux autres via Internet et voilà que des terminaux sournois (que nous appellerons affectueusement appareils mobiles) passent constamment d'un réseau à un autre. Au fil des années, les anti-virus se sont adaptés à ces nombreuses évolutions. Les éditeurs ont rapidement été en mesure de traiter d'énormes quantités de fichiers et de manière presque automatique pour trouver de façon plus réactive les modèles de signatures qui feraient partie des prochaines mises à jour de l’anti-virus. En parallèle, les moteurs de recherche de signatures sont devenus plus puissants (pour recueillir un plus grand nombre de modèles de signatures) et plus complexes (pour analyser les différents formats de fichiers tels que les archives compressées). Mais la base de cette technologie n’a jamais changé, elle est restée exactement la même.
Dans une étude que nous avons réalisé fin 2012, nous avions testé la capacité de 40 antivirus différents pour détecter un ensemble d'échantillons de malwares recueillis à partir de sources aléatoires sur le Web. L'expérience avait été répétée avec le même ensemble d'échantillons sur une base hebdomadaire pendant 6 semaines. Les résultats furent dramatiques pour ceux dont la protection des données reposait exclusivement sur des anti-virus. Seule l'une de ces solutions avait été capable de détecter tous les échantillons… Après 6 semaines. Aucun d'entre elles n’avaient détecté tous les échantillons lors de la première semaine. Il s'est avéré que le logiciel antivirus s'adaptait à tout sauf à l’évolution du modèle de la menace.
La technologie des anti-virus a été efficace au moment où le codage de virus était pratiqué par seulement quelques hackers, les malwares étant basés sur de l'auto-réplication au sein des réseaux et la plupart des infections diffusées grâce à une interaction physique. L’anti-virus était même essentiel dans un environnement IT où les serveurs n’existaient pas ; où les données les plus critiques restaient sur le poste de travail de leur auteur.
Le paysage des menaces a considérablement évolué et est aujourd’hui très différent de ce qu’il pouvait être il y a quelques années. Les malwares ont désormais de multiples variantes et sont conçus à la demande et hébergés sur des serveurs répartis aux quatre coins du globe. Ils se propagent par des ordinateurs infectés ou par emails. Les hackers n’utilisent pratiquement plus le même échantillon de malware, ce qui rend leur signature inutile. Là n’est pourtant pas le pire qu’il pouvait arriver aux anti-virus. L’émergence du BYOD et de multiples périphériques a clairement sonné leur glas. Comme si la perte d’efficacité des anti-virus pour protéger les appareils gérés par l’ordinateur n’était pas suffisante, Ils n’ont plus aucune utilité pour les appareils non gérés qui se connectent désormais au réseau. Dans un environnement où la plupart des actifs de valeur ne sont pas stockés sur un périphérique spécifique mais dans des data centers (physiques ou virtuels), une solution qui ne protège pas des menaces issues de périphériques non gérés, a une efficacité réduite.
Les nouvelles solutions de sécurité fonctionnent sur l'hypothèse que des périphériques connectés au réseau d’une entreprise sont potentiellement compromis. Certains tentent d'identifier les appareils infectés au sein du réseau, d’autres d'atténuer les effets de l’infection, en protégeant le référentiel de données. Dans certains cas, ces solutions interagissent même ensemble dans le but d'isoler les machines infectées des données sensibles de manière rapide et efficace.
Si les anti-virus ont été très utiles pendant 20 ans, il est désormais temps de prendre conscience de cette évolution et de passer à autre chose. Les entreprises doivent réinvestir leurs budgets dédiés aux anti-virus dans une nouvelle génération de solutions. La seule question que je me pose aujourd’hui est : quelle technologie de sécurité me permettra de partir à la retraite sereinement ?
A propos de l'auteur