L'antivirus est mort, vive l'antivirus

100 %
Les antivirus qui détectent 100% des malwares ne peuvent pas exister.

Imaginons un monde où les logiciels antivirus ont cessé d’exister. Supposons que l’antivirus soit déjà mort, comme nous pouvons l’entendre dire parfois. Que nous reste-t-il ? La réponse est « rien », semble-t-il. Développons.

Il existe beaucoup de moyens de protection, mais la notion de protection au sens large peut s’envisager selon deux points de vue. Lorsqu’il n’y a pas d’attaques, il s’agit d’un ensemble de mesures qui donnent au sujet le sentiment d’être protégé. « Je suis protégé car j’ai pris des mesures de protection ». Néanmoins, personne ne saurait dire s’il se sent protégé à 100%. Nous ne pouvons en effet pas être certain d’avoir pris suffisamment de mesures.

La seconde acception est liée à la confrontation à la réalité, lorsqu’une attaque a eu lieu. Notre sujet peut voir si l’attaque a été contrée, si elle a été stoppée ou bien si ses mesures de protection n’étaient pas suffisantes. Or, en matière de sécurité informatique, lorsqu’il s’agit d’investir dans des outils de protection, on entend le plus souvent dire « ça suffira », autrement dit « pas trop d’investissement, nos mesures suffiront ». L’investissement dans la sécurité n’est pas vu comme une priorité, mais surtout, en fonction des « tendances », tel outil sera considéré comme le « must-have » et tel autre, comme obsolète. C’est ce qui amène certains à dire que l’antivirus n’est plus pertinent, qu’il n’est plus nécessaire, autrement dit, que l’antivirus est mort.

L’ensemble des technologies implémentées dans l’antivirus jouent leur rôle pour des millions de personnes au quotidien. Notamment, mais ce n’est pas tout, celui de détecter et de stopper les malwares d’hier, ceux qui circulent toujours, et qui continuent à infecter des PC. Sans l’antivirus, il y aurait peut-être encore plus de victimes. Au quotidien, l’antivirus détecte et bloque des malwares grâce aux bases de signatures, aux technologies heuristiques et à la protection préventive.

« Les antivirus détectent environ 25% des nouvelles menaces… pas 99% »

Cette idée de la mort de l’antivirus vient peut-être du fait que le taux de détection des malwares diminue. Les éditeurs d’antivirus affirment depuis plusieurs années : « Nous parvenons à détecter environ 25% des nouvelles menaces ». C’est pourquoi de nouvelles technologies préventives ont été développées.

Les tests qui montrent un taux de détection de 99% sont mensongersEt ces tests ont contribué à répandre l’idée que les antivirus ne servent à rien parce que les éditeurs mentent aux utilisateurs. Alors qu’il faut comprendre que ce taux de détection de 25% peut être suffisant dans certains cas et surtout que l’industrie cybercriminelle a tellement évolué qu’à chaque fois qu’un nouveau malware circule, les pirates ont pris beaucoup de mesures pour éviter qu’il soit détecté, au moins pendant les premières heures. Cela a toujours été ainsi.

Depuis une vingtaine d’années, les militaires et les structures étatiques au sens large testent les antivirus pour voir ce qu’ils peuvent détecter. A une époque, si les malwares n’utilisaient pas des technologies connues, les antivirus ne les détectaient pas. Aujourd’hui, il existe les technologies préventives et l’heuristique.

C’est grâce aux technologies de protection préventive que nous pouvons aujourd’hui et que nous pourrons demain contrer les attaques.

Le scanner antivirus (c’est-à-dire le moteur antivirus et les bases virales) a toujours comporté des limites. La plus grande est que le Labo qui travaille sur le scanner est obligé de voir et d’analyser le malware pour qu’il soit répertorié dans les bases. C’était possible aux premiers temps de l’antivirus. Aujourd’hui, avec 400 ou 500 000 malwares détectés par jour, il est impossible de tous les analyser. C’est pourquoi le développement de technologies qui permettent d’observer les processus, d’analyser l’ensemble des fonctions et des actions des processus sur une machine est de plus en plus nécessaire. Ceux qui seront les plus avancés dans ce domaine seront les meilleurs.

De nos jours, les malwares sont faits pour permettre aux cybercriminels de gagner de l’argent. C’est l’objectif numéro 1. L’évolution de tous les malwares (laissons à part les attaques ciblées), va dans ce sens : générer un chiffre d’affaires. Vol de mots de passe, vol de données personnelles et bancaires, mais également la mise en place de véritables « plateformes de services », ransomwares (mettre l’utilisateur en difficulté pour qu’il paie), bitcoin mining… Et pour être performants, tous ces virus doivent rester invisibles le plus longtemps possible sur une machine. Il y a encore plus d’argent investi, encore plus de ressources humaines au service de l’industrie cybercriminelle pour que le malware reste indétectable. Et si les antivirus sont morts pour certains experts, ils ne le sont pas pour les malfaiteurs. La majorité des virus créés sont testés sur le plus d’antivirus possible pour réussir à atteindre ce graal de l’invisibilité. Certains Trojans recherchent même sur les machines la présence de certains antivirus avant de se lancer.

Par ailleurs, nous observons également des cas de plus en plus critiques comme lorsque la source du malware se trouve à l’intérieur de la société qui produit un logiciel, logiciel dont tout le monde se sert et qui est considéré comme « propre ». Il l’est sans doute d’ailleurs, mais il existe une vulnérabilité dans son système de mises à jour…

Tout ce que nous avons découvert et mis en lumière sur ces nouveaux malwares, leur fonctionnement, les failles qu’ils exploitent, l’a été grâce à nos technologies antivirus et pas autrement.

L’avenir de l’antivirus ? Bonne question !

L’antivirus n’est pas un outil abstrait, c’est un outil très concret. Les antivirus pour Android vont continuer à voir leur rôle croître. MacOs et Linux sont également de plus en plus touchés par les malwares et demanderont donc sans doute le développement de nouvelles technologies pour les protéger.

Quant à Windows, la situation nous semble aujourd’hui très critique parce que Microsoft fait tout pour contraindre les antivirus. La dernière mise à jour concernant Meltdown en est encore une illustration. En premier lieu, les antivirus ont eu très peu de temps pour effectuer les tests nécessaires et en second lieu, dans cette histoire, Microsoft a transféré sa responsabilité sur les antivirus et sur les utilisateurs.

Par ailleurs, l’éditeur fait tout pour réduire les antivirus au niveau de l’antivirus embarqué dans l’OS Windows. Aujourd’hui, la situation est que nous sommes contraints, en tant qu’antivirus, à faire ce que nous dit Microsoft, alors que les cybercriminels eux, ne sont jamais contraints. On nous fait entrer dans une cage et on va observer les malfaiteurs de l’intérieur de cette cage. C’est le point d’inquiétude majeur concernant l’avenir des antivirus.

Mais malgré tout, la mort de l’antivirus est impossible pour une raison simple : son existence repose sur le « couple » malware/antivirus. Tant qu’il y aura des malwares, il y a aura des produits pour les contrer, qu’ils se nomment antivirus aujourd’hui ou autrement demain. Il existe énormément de recherches sur les technologies de lutte contre les malwares, et cela ne disparaîtra jamais. On pourrait dire que les antivirus disparaîtront le jour où il n’y aura plus de malwares. No comment.


A découvrir