Journal d'investigation en ligne et d'information‑hacking
par bluetouff

L'échec des antivirus... c'est Symantec qui le dit

Symantec est une entreprise mondialement connue pour la vente liée de ses solutions antivirales. Quand vous achetez un ordinateur neuf, avec Windows pré-installé, en fonction des constructeurs, il n'est pas rare que vous y trouviez une version des solutions de sécurité de cet éditeur, gracieusement offerte pour une durée donnée (3 mois, 6 mois, un an...). Ensuite plus moyen de le mettre à jour sans passer à la caisse, ni même de le désinstaller proprement.

Symantec est une entreprise mondialement connue pour la vente liée de ses solutions antivirales. Quand vous achetez un ordinateur neuf, avec Windows pré-installé, en fonction des constructeurs, il n'est pas rare que vous y trouviez une version des solutions de sécurité de cet éditeur, gracieusement offerte pour une durée donnée (3 mois, 6 mois, un an...). Ensuite plus moyen de le mettre à jour sans passer à la caisse, ni même de le désinstaller proprement. Ce business model a permis à Symantec d'assurer une part significative de son chiffre d'affaires sur le marché grand public, tout content qu'il était d'être "protégé"... et une fois "protégé", on fait n'importe quoi, pour finir par se rendre compte qu'au final, un antivirus, ça ne remplace quand même pas une bonne paire de neurones en éveil. Après moult réinstallations, on finit par se dire qu'au final, un antivirus, en dehors de considérablement ralentir son système, c'est surtout utile quand c'est déjà trop tard.

Le petit monde de la sécurité a une spécificité qui lui est propre. Pour vendre une solution, il faut vous faire peur. Peu importe si cette dernière est efficace ou non, et par définition un antivirus ne peut être "efficace", la peur est le principal moteur du business de la sécurité informatique. Le second moteur de ce marché est intimement lié au premier, il s'agit de l'ignorance. L'ignorance impliquant la peur de l'inconnu, nous avons là le ticket gagnant pour définir un champs lexical propice à jouer sur cette peur de l'inconnu pour proposer des solutions qui posent souvent plus de problèmes qu'elles n'en résolvent.

C'est donc aujourd'hui une petite révolution chez Symantec. Une révolution marketing en fait puisque le vice président de Symantec pour la sécurité de l'information, annonce lui même la mort des antivirus. Dans une interview accordée au Wall Street Journal, Brian Dye, déclare :

«Nous ne pensons pas à l’antivirus comme une source de revenus de quelque façon que ce soit»

Sévèrement burné le mec...

Mais si les antivirus sont voués à l'échec, et que la cybercriminalité évolue perpétuellement, c'est bien que d'autres solutions sont dans les bacs. Tout est aujourd'hui question de bon sens... enfin ! Après 20 ans de profonde léthargie sécuritaire, se rendrait-on enfin compte qu'il vaut mieux prévenir le mal par des dispositifs adaptés (firewalling, virtualisation des applications, isolation du système et des données sensibles, chiffrement systématique des données et des flux...) que de le guérir, ce qui est la seule chose que l'on peut attendre d'un antivirus, une fois que le mal est fait, que les données ont fuitées, que la machine infectée a servi à d'autres attaques au sein d'un botnet...

On ne peut donc que se réjouir de voir Symantec annoncer la fin d'une escroquerie qui n'a que trop durée. Enfin ça c'est sur le papier. Car dans les faits, la notion d'antivirus est loin d'être morte et enterrée. Et chose peu commune sur Reflets, nous allons, enfin, pouvoir dire (presque) du bien des solutions d'inspection en profondeur des paquets... le DPI.

Le DPI, s'il est utilisé ailleurs qu'en cœur de réseau par un taré qui a envie de fliquer sa population, peut se présenter comme une solution permettant d'identifier un flux entrant ou sortant d'une machine, contrôler l'intégrité de ce flux, et donc définir s'il y a un risque ou non pour agir sur ce flux :

  • en le bloquant ;
  • en isolant la charge utile suspecte (le payload) ;
  • en prévenant l'utilisateur qu'une action réfléchie de sa part est souhaitée...

Tout ceci serait parfait si cette technologie n'avait pas le même défaut obscurantiste que les définitions antivirales qui sont les méthodes et recettes permettant de reconnaitre un malware, ou un protocole, ou n'importe quel bout de code ou flux de données, pour en contrôler l'intégrité. Mais pour une fois, il faut également le reconnaitre, la France n'a pas souhaiter rester sur le carreau et a décidé de se lancer dans l'aventure d'un démonstrateur antiviral, que nous connaissons sous le nom imprononçable mais tout bien souverain, de DAVFI. Et ce n'est pas un hasard si l'on retrouve Qosmos au sein de ce consortium qui vise à fournir "un antivirus fiable, maîtrisé et performant pouvant être intégré à terme dans une offre complète à destination des administrations, opérateurs d'importance vitale (OIV), des entreprises et des particuliers".

Equiper les particuliers et les entreprises d'un "antivirus fiable", capable de "détecter les variantes inconnues de codes connus et de prévenir l’action de codes réellement inconnus" est une chose (et hop un point TEGAM), qu'il soit, sur le papier presque libre, en est une autre. Car c'est justement la tambouille interne de reconnaissance protocolaire, la base de données de signatures applicative, qui restera, elle, fermée.

Bref, le futur proche des antivirus qui ne meurent pas vraiment s'annonce passionnant, et au final, on ne peut que se réjouir de voir une technologie comme le DPI là où il devrait toujours rester, aux extrémités du réseau et entre les mains des utilisateurs et non d'officines de surveillance au cul du tuyau d'un opérateur.

Mais quoi qu'il en soit, tout aussi souverain et surpuissant soit notre DAVFI, il ne sera efficace que s'il est utilisé accompagné d'autres solutions de prévention des risques, j'insiste sur la virtualisation et le chiffrement systématique, et une éducation des utilisateurs à qui il faut arrêter de faire croire qu'un logiciel, tout aussi souverain soit-il, le protégera de lui-même.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée