David Grout (McAfee) "DeepSafe est une sécurité au plus proche du silicium"

Un an après avoir été racheté par Intel, McAfee vient d'annoncer le fruit de leur synergie : DeepSafe, qui veut assurer la sécurité au niveau des processeurs. Explications.

JDNSolutions. Concrètement, comment fonctionne DeepSafe ?

David Grout (McAfee). Premier élément à préciser : DeepSafe n'est pas un produit, mais plutôt une solution technologique qui va intégrer nos produits. C'est donc plus un framework, pour des solutions qui devraient, elles, être présentées en détails en octobre.

Cette solution est au plus proche du silicium : elle s'active avant le démarrage de l'OS en allant vérifier la mémoire du système. Elle va contrôler l'ensemble des accès à cette mémoire. Le scan s'effectue avant que le système d'exploitation démarre, mais également lorsqu'il est en cours d'utilisation. Cela lui permet notamment de déceler les rootkits, qui déjouent les solutions antivirus traditionnelles, les nôtres ou celles de nos concurrents. Selon notre laboratoire, plus de 1200 nouveaux rootkits sont détectés par jour. La menace est donc réelle.

La technologie est en phase bêta mais sa commercialisation est imminente. Elle fonctionne déjà : McAfee l'a prouvé lors de l'Intel Developer Forum, il y a quelques jours. Nous y avons démontré que DeepSafe pouvait détecter et empêcher un rootkit zero-day d'infecter un système en temps réel.

A noter que McAfee réfléchissait à cette protection en profondeur avant l'acquisition d'Intel, alors que nous étions simplement partenaires, mais le rachat a accéléré son développement.

 

DeepSafe permet donc d'assurer une protection inaccessible aux solutions antivirales "classiques", que McAfee commercialise aussi. Est-ce un aveu de faiblesse ?

C'est plutôt l'aveu que le monde des malwares évolue. Celui des fournisseurs d'antivirus aussi. La lutte antivirale est une course en avant, et les fournisseurs sont trop souvent en retard. La détection de signatures des virus est aujourd'hui un peu dépassée, et laisse d'ailleurs place à des analyses de réputation des programmes. De la même façon, les menaces se situent désormais en bas de la couche logicielle. Des attaques comme Stuxnet ou Aurora ont bien montré que les programmes informatiques parmi les plus dangereux actuellement pouvaient bien saboter du matériel.

"La détection de signatures des virus est aujourd'hui dépassée"

Les antivirus seront toujours une bonne protection, aussi utile pour nettoyer une machines infectée, mais de nouvelles attaques ont renouvelé les besoins. Nous avons compris qu'il existait une nouvelle demande.

Cette protection sous la couche OS assurée par DeepSafe est un virage significatif dans le secteur de la sécurité informatique. Il est sûr que d'autres acteurs vont à leur tour nous suivre et proposer des technologies similaires.

 

Quel impact a eu Intel sur McAfee depuis l'acquisition il y a un an ?

Les impacts ont été finalement limités. La filiale reste indépendante, tant au niveau de la gestion des produits que celle des clients. L'ADN de McAfee est conservé. 

Il y a cependant une volonté d'innovation commune, et des efforts ont été mutualisés en recherche et développement notamment. Les deux entreprises partagent aussi leurs expertises et projets de manière transparente.

DeepSafe, qui sera d'ailleurs commercialisé par McAfee et non Intel, n'est en fait pas la première solution résultant de la synergie Intel / McAfee. Il y a quelques mois, McAfee annonçait Cloud Security Platform, pour contrôler les accès aux applications Cloud. Cette nouvelle solution de Single Sign On intégrait déjà des technologies qu'Intel avait rachetées à une entreprise nommée ExpressWay...

Nous avons encore beaucoup de projets dans les cartons. D'autres annonces sur des technologies émergentes vont avoir lieu en 2012, notamment sur la sécurité des terminaux mobiles et des systèmes embarqués.

 

David Grout, est directeur Technique McAfee France. Il travaille chez McAfee depuis 2003.

Intel / Virus