Les éditeurs d'antivirus épousent le cloud computing

Pour réduire la fenêtre d'exposition, diminuer la consommation de ressources et lutter contre l'expansion des packers, ces codes malveillants chiffrés, l'antivirus fait désormais appel à une puissance d'analyse externalisée. Efficacité garantie ?

Les éditeurs d'antivirus dégainent leur nouvelle arme née du mariage du cloud computing, concept actuellement très en vogue, et de l'analyse antivirale temps réel. Pour ceux demeurés dans les nuages ces derniers mois, le cloud computing consiste en l'utilisation de la mémoire et des capacités de calcul d'ordinateurs et de serveurs répartis dans le monde (ou rassemblés dans des datacenters), et liés par un réseau, tel Internet.

Il s'agit ainsi pour une entreprise utilisatrice d'exploiter une puissance de calcul externalisée. Pour les éditeurs, c'est proposer sur le marché de nouvelles offres en mode SaaS (Software as a Service), un autre terme lui aussi très en vogue à l'heure actuelle. L'industrie antivirus entre donc à son tour dans cette ronde du cloud computing et du SaaS permettant d'offrir une protection contre les menaces informatiques dans des délais plus brefs.

Plusieurs antivirus, dont McAfee, Trend Micro et Panda Security ont d'ores et déjà annoncé leur propre implémentation de cette nouvelle technique de lutte : Elles ont pour noms Artemis pour McAfee, Smart Protection Network chez Trend Micro et Intelligence Collective pour Panda Security. Les éditeurs, en quête d'un renouveau, auraient-ils cédé à l'opportunisme de suspendre à leurs produits la bannière à la mode du cloud computing ?

Du côté de McAfee on revendique avant tout la maturité technologique et les limites des techniques habituelles de détection face à l'évolution des méthodes des créateurs de programmes malveillants. 

Face à la multiplication des packers, les antivirus perdent en efficacité

"Depuis deux ans, nous avons produit de lourds efforts pour intégrer toujours plus de packers à notre moteur afin de permettre la détection. Mais face à la multiplication de ces packers, dont l'intégration finit par alourdir l'analyse, les antivirus perdent en efficacité. Le développement du cloud computing, sa maturité, nous offre la possibilité d'implémenter une nouvelle technologie de détection. C'est une opportunité, et une nécessité", argue Alexis Bourbion, ingénieur avant-vente sécurité.

Une position partagée par Trend Micro. "Les utilisateurs pourront s'appuyer sur des ressources en ligne et un outil d'analyse dont l'approche tient plus de la remédiation qu'à de la détection par signature. Nous avons pris conscience que cette problématique de détection avait un impact fort sur les ressources de la machine. Nous allions clairement dans la mauvaise direction. Cette approche nous paraît la seule efficace à moyen et court terme", juge Frédéric Guy, responsable Business Developpement.

L'application du cloud computing à l'analyse antivirale répond à plusieurs problématiques. D'abord réduire la fenêtre de vulnérabilité entre la détection d'un nouveau programme malveillant et la mise à disposition de sa signature ou le blocage de l'attaque. Ainsi un utilisateur ouvrant un fichier suspect déclenchera l'envoi d'une requête (avec son empreinte et son vecteur) vers le datacenter hébergent le moteur antivirus et une base complète de signatures. Si le code analysé s'avère malveillant, l'utilisateur sera alerté en quasi temps réel du risque (de l'ordre de la milliseconde selon les éditeurs).

Le processus temps réel intervient comme un complément des signatures quotidiennes

Un code non encore répertorié remonté au datacenter du laboratoire antivirus sera enregistré, et une protection élaborée, via une signature ou un paramétrage du poste de travail afin d'en éviter l'infection. La solution contre le programme malveillant conçue permettra quoi qu'il en soit de protéger ensuite les utilisateurs confrontés à la même tentative de contamination. Quant aux signatures habituelles, envoyées quotidiennement aux entreprises équipées d'antivirus, elles ne disparaissent pas, le processus temps réel intervenant comme un complément.

Cette technologie de sécurité externalisée permet de répondre à un deuxième enjeu : la consommation de ressources du poste de travail. L'antivirus installé sur le poste se mue en effet en client léger s'appuyant sur une base de signatures allégée (8 Mo au lieu de 25 chez McAfee. Avec une explosion des variantes des programmes malveillants, la base de signatures en local se faisait de plus en plus envahissante, et l'analyse consommatrice de ressources.

Mais l'analyse antivirale déportée est aussi présentée par les éditeurs comme une réponse aux pratiques des cybercriminels, et en particuliers à leur usage croissant des packers. Il s'agit en quelque sorte d'une couche logicielle utilisée pour compresser et/ou chiffrer le code. Si les packers sont utilisés légitiment par les éditeurs de logiciels, ils le sont aussi par les créateurs de virus pour dissimuler aux moteurs antivirus le contenu de leur code. MPack est ainsi un packer bien connu, en constante évolution.

Les antivirus, pour détecter des programmes malveillants, doivent donc pouvoir pénétrer les méthodes d'obfuscation appliquées par le biais des packers.

"La grosse difficulté en matière de détection c'est de pouvoir ouvrir les paquets et déchiffrer à la volée les contenus. De nouveaux packers sortent tous les jours. L'intérêt d'Artemis est de pouvoir concentrer en un même point tous les packers au lieu de les redéployer systématiquement auprès des clients, et donc en leur apprennant en quelque sorte une nouvelle langue à chaque fois. Ainsi Artemis est la centralisation de l'ensemble des dictionnaires pour ces langues chez l'Avert", détaille Alexis Bourbion.