Prévisions météorologiques des virus : nuageux

Introduction

Ces derniers temps, lors de vos visites sur Internet ou à l’occasion de vos passages dans divers forums, vous avez certainement lu des articles et des commentaires liés à l’utilisation des technologies dématérialisées dans la lutte contre les virus.

Les avis divergent énormémentš: depuis les accusations des éditeurs dans des communiqués de presse sur l’inutilité des «šnuagesš» antivirus jusqu’aux affirmations que le cloud représente la solution à tous les maux. Ces discussions impliquent des utilisateurs et des experts sur les questions de sécurité qui, eux aussi, ont des avis divergents.

Cet article va essayer de dresser l’état des lieux en la matière. Il traitera uniquement de l’interaction en temps réel entre les logiciels antivirus pour particuliers installés sur des ordinateurs de particuliers et l’infrastructure dématérialisée de l’éditeur du logiciel antivirus. Les solutions logicielles en tant que service ou services hébergés ne seront pas abordées ici.

Pour simplifier, nous désignerons par le terme «šnuageš» antivirus l’infrastructure que l’éditeur du logiciel antivirus utilise pour traiter les informations obtenues des ordinateurs des utilisateurs des applications pour particuliers et qui signale les nouvelles menaces non détectées. Pour répondre aux objections quant au bien fondé de l’utilisation du terme «šnuageš», nous nous inspirons de la pratique en vigueur pour l’utilisation de ce terme dans ce contexte. Nous proposons de laisser le débat terminologique en dehors de cet article.

L’article cherche à définir ce que sont dans la réalité les «šnuagesš» antivirus et à définir leurs avantages et leurs faiblesses. Il s’adresse avant tout au lecteur qui souhaite comprendre ce qu’est la protection antivirus dématérialisée, connaître ses principes fondamentaux de fonctionnement et la place qu’elle occupe dans la protection antivirus de l’utilisateur.

Avant la dématérialisation ou les origines de l’avènement des «šnuagesš»

Au cours des vingt dernières années, la protection antivirus des utilisateurs a reposé principalement sur l’analyse à l’aide de signatures et l’analyse heuristique. Ces deux types d’analyse suffisaient amplement pour faire face au contenu malveillant carš:

  • De nouveaux programmes malveillants apparaissaient assez rarement et les quelques laboratoires antivirus des éditeurs de logiciels antivirus arrivaient sans peine à proposer des solutionsš;
  • La vitesse de réaction des mises à jour traditionnelles installées par le logiciel antivirus sur les ordinateurs des utilisateurs était tout à fait suffisante pour bloquer les menaces.

Toutefois, le développement en 2003 et 2004 des communications de masse, la hausse accélérée du nombre d’utilisateurs d’Internet et l’arrivée des entreprises sur Internet ont constitué des conditions favorables au développement de la cybercriminalité. Alors qu’au début les programmes malveillants étaient développés pour l’amusement et l’orgueil de l’auteur, la monétisation des avoirs virtuels des utilisateurs, la possibilité de les acheter pour de l’argent réel, a entraîné le développement actif de programmes malveillants pour gagner de l’argent.


Croissance du nombre de fichiers malveillants uniques
interceptés par Kaspersky Lab

La hausse du nombre de nouveaux fichiers malveillants a été accompagnée d’une augmentation des méthodes employées pour soutirer de l’argent aux utilisateursš: le cybercriminel a développé des techniques de plus en plus efficaces pour mener ses attaques.


Augmentation de la taille des mises à jour antivirus en mégo-octets par année
et prévisions pour 2010

La lutte qui oppose cybercriminels et éditeurs de logiciels antivirus s’est intensifée et chacune des parties en présence s’est mise à étudier en détail les outils et les méthodes de l’adversaire. En 2008 et 2009, la vitesse d’apparition de nouveaux programmes malveillants, qui était en augmentation constante, a atteint un niveau qui a rendu le système traditionnel de riposte basé sur la mise à jour insuffisant. Selon une étude réalisée au deuxième trimestre 2010 par la société NSS Labs, les éditeurs de logiciels antivirus ont besoin de 4,62 à 92,48 heures pour bloquer une menace Web. Il n’est plus possible d’accélérer la vitesse de réaction aux menaces à l’aide des mises à jour antivirus traditionnelles car le temps consacré à la découverte des programmes malveillants, leur analyse et les tests des mises à jour antivirus obtenues est déjà réduit au minimum.

Principe de fonctionnement des «šnuagesš» antivirus

Comme nous l’avons dit ci-dessus, le terme «šnuageš» antivirus désigne dans cet article l’infrastructure que l’éditeur de logiciel antivirus utilise pour traiter les informations envoyées par les ordinateurs des utilisateurs des applications pour particuliers afin d’identifier les menaces inconnues et de réaliser de nombreuses autres tâches. La technique de conservation et de traitement des données n’est pas connue de l’utilisateur. Le logiciel antivirus sur l’ordinateur de l’utilisateur envoie seulement une requête au «šnuageš» afin de voir si des informations sur cette application/cette activité/ce lien/cette ressource sont disponibles. Suite à la requête il reçoit la réponse «šoui, les informations existentš» ou «šnon, il n’y a pas d’informationsš».

Commençons par indiquer les différences qui existent entre le «šnuageš» et le système de mises à jour antivirus.


Communication de l’utilisateur avec le serveur de mises à jour

 


Communication de l’utilisateur avec le «šnuageš»

Variantes de la communication entre l’utilisateur et l’infrastructure antivirus

Le système de mises à jour suppose que le vecteur des échanges entre l’éditeur de logiciel antivirus et de l’utilisateur va toujours dans une direction, à savoir vers l’utilisateur. Il n’y a aucun retour d’informations de l’utilisateur, par conséquent il est impossible d’identifier efficacement les activités suspectes, d’obtenir des informations sur la distribution de la menace et sur les sources de diffusion. Bien souvent, les éditeurs de logiciels antivirus reçoivent ces informations avec un certain retard et via d’autres canaux d’informations.

Dans le cas du «šnuageš», la communication est bidirectionnelle. De nombreux ordinateurs, connectés au «šnuageš» via un serveur central, signalent au «šnuageš» les sources d’infection et toute activité suspecte découverte. Une fois que les informations obtenues ont été traitées, elles sont accessibles aux autres ordinateurs connectés au «šnuageš». Via l’infrastructure de l’éditeur de logiciel antivirus (et non pas directement), les utilisateurs sont capables de partager efficacement des informations sur les attaques dont ils ont été victimes et sur les sources de ces attaques. On obtient ainsi un réseau antivirus intelligent unique qui travaille comme un ensemble.

La différence clé entre les «šnuagesš» et les technologies antivirus actuelles se situe au niveau de la détection. Alors que les technologies de la génération antérieure (par exemple, les signatures) fonctionnaient au niveau des objets fichiers, les «šnuagesš» antivirus fonctionnent au niveau des métadonnées. Voici un exemple pour expliquer ce que sont les métadonnées. Prenons un fichier. Le fichier est un objet. Les métadonnées sont les données relatives à ce fichierš: l’identifiant unique du fichier (fonction cache), les informations relatives à son apparition dans le système, son comportement, etc. La détection de nouvelles menaces dans les «šnuagesš» repose sur les métadonnées. Les fichiers eux-mêmes ne sont pas transmis au «šnuageš» pour l’analyse initiale. Cette démarche permet de récolter pratiquement en temps réel des informations depuis des dizaines de millions de participants volontaires au réseau antivirus distribué fin de détecter les programmes malveillants inconnus. Après le traitement des métadonnées, les informations relatives au contenu malveillant qui vient d’apparaître sont transmises à tous les participants au réseau d’informations.

Par exemple, si l’utilisateur du logiciel antivirus accepte de participer au Kaspersky Security Network (KSN), le produit commence à envoyer deux types de métadonnées aux serveurs de Kaspersky Labš:

  • Les informations relatives aux infections ou aux attaques contre l’utilisateurš;
  • Les informations sur l’activité suspecte de fichiers exécutables sur l’ordinateur de l’utilisateur.

Il convient de rappeler que ces informations sont transmises uniquement avec l’accord de l’utilisateur.

Le système spécialisé identifie les menaces et confirme l’absence d’erreurs dans les décisions prises, puis recherche la source de la diffusion des menaces. Les sources découvertes subissent également une vérification de contrôle automatique afin d’exclure les faux positifs. Les informations reçues par le système spécialisé sur les menaces qui viennent de voir le jour et sur les sources de diffusion sont rapidement mises à disposition de tous les utilisateurs du logiciel.

Les métadonnées relatives aux infections sont utilisées pour l’entraînement du système spécialisé. Il peut ensuite réagir rapidement aux nouveaux développements des individus malintentionnés et identifier en temps réel les menaces actives sur les ordinateurs des utilisateurs. Les informations sur les infections utilisées pour l’entraînement reprennent les verdicts obtenus à l’aide de la détection heuristique et de la détection à base de signature. Il faut souligner que l’efficacité maximale de la protection de l’utilisateur est obtenue par l’utilisation conjointe des «šnuagesš» antivirus et des technologies en vigueur de lutte contre les programmes malveillants.

Grâce à la collecte et au traitement des données relatives à l’activité suspecte recueillies chez chaque participant au réseau, la protection dématérialisée se transforme en puissant système spécialisé consacré à l’analyse de l’activité cybercriminelle. Les données nécessaires au blocage des attaques dont est victime l’ordinateur de n’importe quel utilisateur sont transmises à tous les participants au «šnuageš», ce qui permet d’éviter de nouvelles infections.

Avantages et défauts des «šnuagesš»

Avantages

  • Vitesse de réaction. Il s’agit d’un des principaux avantages de la protection dématérialisée. La vitesse de détection et de blocage dépasse sensiblement celle des mises à jour antivirus habituelles. Si la mise à jour des signatures requiert quelques heures, les technologies dématérialisées n’ont besoin que de quelques minutes pour découvrir et détecter de nouvelles menaces.

    Défauts

    • Détection uniquement selon la fonction cache de l’objet. Les premières versions de l’infrastructure dématérialisée utilisent en effet la détection uniquement selon les fonctions cache (dont la valeur sert d’identifiant unique du fichier). Toutefois, à l’heure actuelle, les sociétés qui ont compris que cela ne suffisait pas intègrent d’autres approches qui permettent de détecter une famille complète de menaces (y compris des menaces polymorphes) à l’aide d’une signature dans le «šnuageš». Bref, les «šnuagesš» cessent de devenir réactif et adoptent la détection proactive tant attendue.
    • Problème du trafic sur les canaux à bande passante étroite (DialUp/GPRS/etc.). Ici aussi, il s’agit d’un problème qui touchait les premières versions des «šnuagesš». L’introduction d’approches adaptatives de gestion du trafic apporte une solution efficace à ce problème.
    • Fonctionnement uniquement avec des fichiers exécutables. Oui, la technologie existante vise à identifier les menaces uniquement dans les fichiers exécutables. Toutefois, des réussites ont été enregistrées dans la détection d’objets d’autres types. Ainsi, ce défaut devrait prochainement disparaître.
    • Manque de fiabilité du réseau. Ce point est évidemment un problème crucial. La conception même des «šnuagesš» suppose que l’interaction avec l’utilisateur doit être réalisée via les canaux de réseau. Par conséquent, si la communication avec l’infrastructure dématérialisée n’est pas réalisée via le réseau, la protection n’est pas disponible. Mais vu que la protection dématérialisée n’est pas considérée comme un élément totalement séparé des technologies actuelles de protection, la méthode basée sur les signatures peut prendre la relève en cas de perte de la connexion, ce qui signifie que l’ordinateur est toujours protégé.
    • Absence d’authentification et de vérification de l’exactitude des données envoyées par les sources. Il s’agit aussi d’un problème qui se posait aux niveaux des premières versions de l’infrastructure dématérialisée. La solution consiste simplement à vérifier la légalité de la source des données.

    Ainsi, le seul défaut qui ne peut être supprimé pour l’instant est la nécessité d’une connexion stable pour garantir la protection de l’utilisateur. Donc, une solution pour tous les autres défauts sera introduite dans la prochaine version de la protection dématérialisée dans Kaspersky Security Network.

    Points litigieux

    Il existe une autre catégorie de problèmes de la protection dématérialisée qui est souvent débattue sur Internet et qui est considérée comme un défaut de celle-ci mais qui ne l’est pas en réalité. Nous souhaitons attirer votre attention sur ces problèmes et expliquer pourquoi il ne faut pas les considérer comme des défauts.

    • Possibilité que l’utilisateur reçoive une réponse de l’individu malintentionné au nom de l’éditeur de logiciels antivirus. L’ajout d’une signature numérique aux données envoyées résout ce problème.
    • Les «šnuagesš» ne peuvent protéger l’utilisateur dans le cadre d’une analyse à la demande (soit une analyse qui n’est pas réalisée en temps réel, mais à la demande de l’utilisateur) étant donné le nombre élevé de requêtes envoyé par le scanneur au serveur du «šnuageš». La protection dématérialisée peut découvrir sans problème les menaces lors de l’analyse à la demande. Toutefois, il faut répondre à la question suivanteš: l’analyse à la demande se justifie-t-elle dans le cadre d’une protection contre des menaces activesš? Comme le montre la pratique, l’analyse à la demande n’est pas du tout efficace dans la lutte contre les menaces actives. Quand les systèmes de protection à l’accès sont activés (identification des menaces en temps réel lorsqu’un objet infecté est sollicité), ils assurent la première ligne de défense de l’utilisateur. Si l’analyse à la demande découvre quelque chose lors que les systèmes d’analyse en temps réel sont activés, il s’agira seulement d’un programme malveillant «šau reposš» qui sera de toute manière bloqué lorsqu’il sera exécuté ou sollicité par d’autres applications. Autrement dit, le recours à l’analyse à la demande dans la protection dématérialisée est possible, mais ne se justifie pas du point de vue de l’efficacité de la protection de l’utilisateur contre les menaces actives.

    Protection dématérialiséeš: panacée ou buzzš?

    Nous avons étudié le contexte qui a débouché sur la création des «šnuagesš» antivirus, nous avons présenté brièvement le fonctionnement de la protection dématérialisée et évoqué ses avantages et ses défauts.

    Quelle place occupe-t-elle dans le secteur de la lutte contre les virusš? Donne-t-elle de quelconques bénéfices ou n’a-t-elle apporté rien de vraiment nouveauš?

    La protection dématérialisée n’est pas la solution miracle qui va nous débarrasser des cybercriminels. Mais elle a démontré ses avantages dans la pratiqueš: vitesse élevée de détection et de blocage des nouvelles menaces, blocage non seulement de la menace mais également de ses sources de diffusion. Ceci permet de parler d’une nouvelle étape dans le développement des technologies de lutte contre les virus. De plus, tous ces avantages sont accessibles dans le cadre du fonctionnement automatique du système spécialisé, avec un taux de faux positifs réduit.

    La protection dématérialisée n’est pas seulement un buzz médiatique, mais bien une technologie efficace de protection des utilisateurs. Et au fil de son développement, son rôle et sa puissance dans le secteur de la protection contre les virus ne vont faire qu’augmenter.

    Mais il ne faut pas considérer la protection dématérialisée comme une technologie isolée de protection de l’utilisateur. Oui, les «šnuagesš» peuvent fonctionner de manière totalement autonome sans utiliser la riche expérience accumulée en matière de détection des menaces. Mais l’efficacité d’une telle démarche serait loin d’être idéale. L’efficacité maximum de la protection est obtenue lors de l’utilisation conjointe des technologies de protection qui ont déjà fait leur preuve et du système de protection antivirus dématérialisée. Cette approche réunit le meilleur des deux mondesš: l’auto-apprentissage du système dématérialisée sur la base des connaissances accumulées par les analyses heuristiques et sur la base de signatures, la vitesse de réaction du «šnuageš» aux menaces, le faible niveau d’erreurs et l’exhaustivité des menaces détectées.

    Les lecteurs sont invités à envoyer leurs questions sur la protection dématérialisée à l’adresse Yury.Mashevsky(arobase)kasperky(point)com. Les réponses seront présentées dans les prochains articles.

    Pour les utilisateurs qui ne parlent ni russe, ni anglais, je souhaiterais qu’on indique l’adresse des bureaux locaux capables de traduire les questions. Merci.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *