mardi 5 mars 2013

La nécessaire réinvention de l'antivirus

Tout semble indiquer que l'antivirus devienne à la sécurité informatique ce qu'une société de gardiennage est à la sécurité domestique: une solution standard qui ne sera que peu d'utilité face à des tueurs déterminés et lourdement armés. Il est temps de faire appel à des gorilles plus rusés et plus coriaces...


Vieille école

Quelques mois plus tôt, Mikko Hypponen - figure la plus médiatique de la firme F-Secure - estimait que les antivirus ne sont d'aucune utilité contre les « malwares militaires » car leurs concepteurs disposent de budgets colossaux et d'un temps illimité pour parfaire leurs attaques, et surtout testent méticuleusement la furtivité de leurs codes face aux solutions de sécurité grand public avant de les libérer dans la nature.


« En bref, notre objectif en tant qu'industrie est de protéger les ordinateurs contre les malwares. À ce jour, nous avons échoué face à Stuxnet, Duqu et Flame. Ce qui rend nos clients nerveux. En réalité, les antivirus grand public ne peuvent vous protéger contre des malwares ciblés crées par des états-nations dotés de ressources conséquentes et de budgets protubérants.[...] Il n'y a point de combat loyal entre attaquants et défenseurs lorsque les attaquants ont accès à nos armes. »

Hypponen ne se fait aucune illusion, estimant que la meilleure protection contre des attaques ciblées repose sur une défense en couches, des systèmes de détection d'intrusion, des antivirus classiques et une surveillance active du trafic entrant et sortant. Toutefois, il omet de mentionner le cybercrime organisé qui, sans pour autant disposer de ressources comparables à celles des gouvernements, testent également l'efficacité de ses malwares face aux antivirus grand public depuis belle lurette. D'où une perpétuelle course-poursuite entre les éditeurs d'antivirus et les hackers.

Au printemps 2012, le cheval de troie Flashback avait gagné en notoriété en infectant plus de 600 000 ordinateurs Apple de par le monde, machines pourvues du système d'exploitation Mac OS pourtant réputé plus solide que son concurrent Windows.

Ce malware utilisait une tactique assez conventionnelle dans l'univers du hacking ou du cybercrime: il prenait d'abord la forme d'un faux programme d'installation du plugin Flash Player, désactivait l'application intégrée de surveillance de l'activité réseau et le module Xprotect (qui référence et actualise régulièrement les définitions de malwares envoyées par Apple), puis ouvrait une backdoor afin d'être contrôlé via un serveur distant. En outre, Flashback personnalisait sa signature et protégeait des segments critiques de son code grâce à un schéma de chiffrement fondé sur l'identité de la machine infectée, mettant sérieusement à mal les méthodes classiques d'analyse et d'identification des malwares par les éditeurs d'antivirus.

En effet, ces derniers ont pour habitude de soumettre des échantillons de malwares à une analyse automatique afin d'identifier leurs caractéristiques et de produire des librairies de signatures... qui seront ensuite insérées dans les prochaines mises à jour de votre antivirus. Entre 2010 et 2011, la firme Symantec avait analysé et identifié de 286 millions à 403 millions variantes uniques de malwares (soit +41% en une seule année) tandis que son homologue Kapersky faisait de même avec plus d'un milliard d'échantillons de malwares.

Cette tâche herculéenne doit énormément à de pharaoniques procédés d'automatisation et devient littéralement sisyphienne car les malwares gagnent rapidement en sophistication et en personnalisation. Confrontés à leur prolifique spéciation, les éditeurs d'antivirus peinent lourdement à tenir la cadence face aux concepteurs de malwares, très au fait du business model de leurs adversaires.

Pour peu que Flashback soit un indicateur de tendances, F-Secure, Symantec, Kapersky et compagnie subiraient une véritable explosion de leurs délais/coûts d'analyse et d'identification des malwares et donc une sévère remise en question de leur modèle technico-économique.

Nouvelle vague

Considérant que l'antivirus relève d'une ligne Maginot toujours nécessaire mais aisément contournable, un chercheur et une start-up ont changé de fusil d'épaule : il s'agit surtout de nuire sournoisement aux tireurs embusqués plutôt que compter uniquement sur la vitre pare-balles...

La première idée-maîtresse consiste à analyser et identifier les malwares grâce aux technologies de virtualisation.

Chercheur au Georgia Institute of Technology's Information Security Center, Paul Royal a développé la solution Ether. Cet analyseur « transparent et externe » de malwares repose sur la technologie Intel VT de virtualisation et opère séparément du système d'exploitation hôte. Immergé dans un environnement imperceptible, stérile et/ou inoffensif, le malware ne tente guère de modifier sa signature et/ou de dissimuler son mode opératoire pendant qu'Ether analyse en détail son comportement et transmet ses caractéristiques à l'antivirus résidant dans le système d'exploitation hôte.

Néanmoins, Royal admet que sa solution (de loin plus étendue et plus poussée que le navigateur Invincea ou le « bac à sable » d'Avast qui n'est qu'une API virtualisée) comporte des failles et doit gagner en amélioration.

La seconde idée-maîtresse repose sur le principe du pot-de-miel (ou honeypot déjà connu en cybersécurité) et consiste à leurrer les hackers et leurs malwares. 

En effet, l'immense majorité des solutions de sécurité dédiées aux ordinateurs et aux sites Web se veulent des forteresses interdisant tout accès illégitime ou frauduleux aux données sensibles. En vain.

La solution anti-malware de la start-up Mykonos cible essentiellement les outils automatisés de détection-exploitation de vulnérabilités utilisés par les hackers sur le Web. Ainsi, lorsque les lignes de code insérées dans les pages Web par Mykonos sont modifiées via les méthodes usuelles de piratage, l'adresse IP de attaquant est identifiée, un supercookie est injecté dans son navigateur Web et/ou les caractéristiques de son terminal sont enregistrées. Aussitôt, il est constamment « intoxiqué » en données factices : API, formulaires d'entrée, mots de passe, etc. Dès lors, la détection de vulnérabilités prendrait une trentaine d'heures au lieu de quatre ou cinq, de surcroît pour un résultat nul ou inexploitable.

David Koretz, PDG de Mykonos, estime que la sécurité des terminaux et des serveurs devrait également intégrer un « pot de miel » aussi dynamique que perfectionné, a fortiori contre des esprits malveillants de plus en plus ingénieux et déterminés... au risque d'accélérer l'éternelle course-poursuite entre attaquants et défenseurs.

Aux yeux des éditeurs d'antivirus, les approches de Paul Royal et de David Koretz ont l'immense mérite de leur créativité sans pour autant faire table rase de leur modèle technico-économique. Seront-elles pour autant efficaces contre les malwares militaires ?

Globalement, la conception de malwares viserait d'abord et surtout à augmenter le coût en temps et ressources du cybercrime... qui deviendrait alors un risque limité et/ou gérable par les victimes potentielles, à l'instar du braquage dans les secteurs de la banque et du transport de fonds. Vaste programme.

2 commentaires:

CIDRIS a dit…

Bel article.

A noter aussi que l'on peut s'appuyer sur une forme de "crowd sourcing" type Virus Total...

Qu'en dis-tu ?

Amicalement,

C.

Ouadou a dit…

Le besoin d'antivirus est lié aux carences de certains fournisseurs d'OS en termes de sécurité. D'autres OS existent avec des critères de qualité qui font que la sécurité est moins menacée. Faut-il acheter une cabane en bois et payer un gardien, ou acheter une maison moderne avec une porte blindée ?