L’échec des antivirus… c’est Symantec qui le dit

Symantec est une entreprise mondialement connue pour la vente liée de ses solutions antivirales. Quand vous achetez un ordinateur neuf, avec Windows pré-installé, en fonction des constructeurs, il n’est pas rare que vous y trouviez
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

15 thoughts on “L’échec des antivirus… c’est Symantec qui le dit”

    1. Ils le font déjà pour protéger leur réseau et détecter certaines attaques. Après de là à parler d’atteinte à la neutralité… un réseau neutre, c’est le top, mais un réseau neutre qui fonctionne tout le temps, c’est encore mieux. DOnc on a du réseau semi neutre mais qui fonctionne, en soi c’est déjà pas mal. Après pour la neutralité, il y a le vpn.

  1. oooouuuuuuuh le vilain troll que voilà: un article sur les antivirus avec en illustration un bras avec le logo Debian tatoué dessus.

    Non non je ne nourrirai pas le troll, promis.

    Pour en revenir au sujet, DAFVI est en gestation depuis un moment (il me semble d’ailleurs que c’est chez reflets que j’en ai entendu parler la première fois). Je viens de lire sur le site Officiel que nous pouvons espérer une version Windows pour octobre.
    Reflets va-t-il tester la bête?

  2. *éclair de lucidité*
    Ouh putain…. du dpi sur les postes, mais, mais… mais ils vont intercepter les données directement à la source :o Un cloud à l’échelle nationale sur les interceptions et l’analyse des flux (y compris sur mobile), la puissance de calcul répartie sur l’ensemble des PC de France et de Navarre W00T \o/

    Jaaaaaa … La Rekonkêteuh est en marcheuuuh ò/

    *fin de l’éclair de lucidité*

    ahem, désolé….

  3. – Le DPI peut inspecter un flux chiffré?
    – Le DPI peut comprendre qu’un exécutable télécharge une simple image png pour faire un xor entre celle-ci est un code présent en ressource pour créer une charge utile?
    – Le DPI peut différencier une connexion légitime vers ma banque ou une connexion effectuée par un malware bancaire?

    Ce truc n’est pas une solution, c’est un problème, ça l’a toujours été et ça le sera toujours.

    Qui peut faire croire qu’un AV est utile pour autre chose que l’argent qu’il rapporte aux entreprises?
    – Les méthodes d’injections dans un processus ne sont presques pas grilliée (sauf kasp qui fait plutôt bien le boulot) en 32 bits (en 64bits c’est pas la peine d’y penser, il n’y a pas de marché pour eux donc pas de produit correcte).
    – Des bugs permettant d’emprisonner du code inutile en sandbox et executer le payload en toute impunité.
    – Aucun des AVs connu ne se protège correctement, des concours sont organisé chaque année sur comment peter un AV correctement.

    Bref, un AV peut être utile s’il est codé dans une logique technique et non rentable.

    1. – Le DPI peut inspecter un flux chiffré?
      + Oui, voir « Rupture TLS »

      – Le DPI peut comprendre qu’un exécutable télécharge une simple image png pour faire un xor entre celle-ci est un code présent en ressource pour créer une charge utile?
      + Eventuellement, en faisant de la corrélation entre ce flux et les autres flux engendrés par la charge utile

      – Le DPI peut différencier une connexion légitime vers ma banque ou une connexion effectuée par un malware bancaire?
      + Bien sûr, en faisant des analyses statistiques sur certains facteurs: heure de la connexion, user-agent utilisé, fréquence des requêtes HTTP, j’en passe.

      Ce truc n’est pas une solution, c’est un problème, ça l’a toujours été et ça le sera toujours.

      Qui peut faire croire qu’un AV est utile pour autre chose que l’argent qu’il rapporte aux entreprises?
      – Les méthodes d’injections dans un processus ne sont presques pas grilliée (sauf kasp qui fait plutôt bien le boulot) en 32 bits (en 64bits c’est pas la peine d’y penser, il n’y a pas de marché pour eux donc pas de produit correcte).
      + Exemples? Ca m’intéresse d’un point de vue recherche.

      – Des bugs permettant d’emprisonner du code inutile en sandbox et executer le payload en toute impunité.
      + Je ne sais pas de quand date le dernier bug de ce genre, mais ça ne court pas les rues.

      – Aucun des AVs connu ne se protège correctement, des concours sont organisé chaque année sur comment peter un AV correctement.
      + Tout comme on trouve des bugs dans OpenSSL, TLS, et Debian.

      Bref, un AV peut être utile s’il est codé dans une logique technique et non rentable.

      Un AV n’est pas la solution miracle, je suis d’accord (et c’est même souvent le contraire), mais ça reste une couche de protection qui n’est pas négligeable chez les gens qui cliquent trop vite et les yeux fermés. Se débarrasser d’un malware bancaire est très facile, mais il faut quand même savoir où chercher. Le marché des AV vise les gens qui n’ont pas le temps / la débrouille suffisante pour chercher des solutions eux-mêmes.

      C’est vrai que les technos de détection par signature et heuristique ne tiennent plus la route depuis longtemps (dans des environnements plus où moins critiques, j’entends – au lecteur de décider si consulter son compte bancaire en ligne fait de son ordinateur un environnement critique ou s’il s’en sert juste pour mater des films). D’autres technologies plus « intelligentes » (mais aussi plus chères, et pas adaptées à tous les millieux !) sont en train de voir le jour. C’est déjà un pas géant vers le progrès que de reconnaître que sa propre techno commence à devenir obsolète.

    2. Sans parler qu’un AV rajoute des fois des vulns dans le kernel (hooks SSDT mal foutus qui check pas les params usermode qui sont passés), et qu’en x64 patchguard empêche la détection d’injection de code (les callbacks donnent moins d’info que des hooks SSDT).

      Sinon, DPI en entreprise => strip ssl sur le proxy de sortie / inspection des mails / PJ en automatique => sandbox d’analyse (fireeye power) / signaux faible.

      Bon, quand à savoir que fireeye est facilement détectable par un malware, et que dans tous les cas un malware ciblant spécifiquement une entreprise (je parle du point d’entrée) n’infectera volontairement pas des VM… bref.

      Reste les signaux faibles (métadonnées, volumétrie…) et l’apprentissage du réseau, qui pourront cramer génériquement un malware en train de sortir. Sauf si c’est un truc de ouf qui communique autrement que par le réseau.

      ps : DAFVI est quasi-mort, trop de retard, perfs à chier (< clamAV), etc.
      ps2 : amha chez SEP ils préparent une sandbox + central + agent de surveillance sur postes
      ps3 : en entreprise y'a de + en + de win7 x64

  4. Bluecoat a également réagi à l’annonce de symantec.

    C’est surtout que le business des virii ne peut continuer à marcher que lorsque les systèmes d’exploitation ont encore quelque chose d’ouvert.

    Certains disent que les virii ont fortement décliné quand microsoft a supprimé le support des socket raw sous windows par exemple … et il y a eu un second déclin avec la généralisation du superviseur et des comptes publics/admin.

    Il y a aussi la disparition du support amovible (reste les clés usb et leur autorun.inf ceci dit). On peut dire qu’internet a « tué » les antivirus ancienne génération. Les survivants ont mutés.

    Aujourd’hui il n’est plus possible de mettre un virus sur le marché, et d’introduire sa solution antivirus dans la journée qui suit sans se faire gauler.

    Alors oui, il y a une sacré légende urbaine qui court sur ce point, mais clairement quand il n’y a qu’une seule société antivirus qui publie une solution 24h après l’apparition de la saleté … y’a de quoi avoir de sacré doutes.

    1. D’un autre côté, ce n’est plus le virus qui pourrit la vie, mais le « malware ».. oui enfin les logiciels de merde qui cherchent absolument à se greffer sur votre pc « mais siiiiii accepte nous on est gratuiiiiit » et qui changent vos paramètres ou tentent de vous forcer la main pour payer….SearchDial, Conduit, MyBackup etc….

      Le but n’est plus de flinguer un pc, mais de le parasiter et de faire banquer l’utilisateur.

  5. Je sais pas toi Blue mais, l’idée de confier la sécurité d’une infrastructure pro ou privée, personnelle, à une boite qui fait du DPI pour des dictatures avec tout le côté obscur que ça représente, ne m’enchante pas.

    C’est super cool de voir qu’enfin on reconnait au grand jour l’inutilité d’un anti virus depuis des années. Maintenant, le DPI a bon escient me parait évident, mais c’est un procédé qui peut être détourné à tout moment. il faudra un vrai cadre légal entourant ces pratiques même si les intentions sont louables à terme (je l’espère).

    Peut être que les antivirus (je suis pas à jour) et leur développeurs pourront proposer des solutions autres qu’une simple logiciel à la con. une vraie solution comme tu l’expliques : VPN, crypto, etc …

    Snow

  6. hello, question de néophyte, mes excuses par avance.
    En quoi la virtualisation peut-elle servir à la protection des données véhiculées sur le réseau ?
    Les VM envoient des flux qui peuvent être inspectés comme tous les autres non ?

    thanks

    1. Hello,

      oui tu as parfaitement raison, virtualisée ou pas une application communique sur le réseau. L’intérêt de virtualiser des applications est de renforcer la protection du contexte dans le cadre d’une anonymisation.
      Je te prends un exemple simple :
      – tu superpoke un copain sur facebook,
      – en même temps tu chat sur un canal irc russe pour acheter du plutonium.
      Si tu ne virtualise pas ton chat, une correlationd e session, une fois ton trafic reconstitué, permettra de dire que c’est bien toi qui achetait de l’uranium puisque tu superpokais un pot sur fb ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *