Logiciels de sécurité de nouvelle génération : savoir faire la part des choses

Logiciels de sécurité de nouvelle génération : savoir faire la part des choses

Remettons les pendules à l'heure face aux technologies de détection de logiciels malveillants dites « classiques » et dites de « nouvelle génération »

Remettons les pendules à l’heure face aux technologies de détection de logiciels malveillants dites « classiques » et dites de « nouvelle génération »

L’ère des dinosaures

De nos jours, les médias véhiculent couramment une certaine vision du marché des logiciels de sécurité. On part du principe qu’il existe une rupture entre les technologies de détection de logiciels malveillants de « première génération » ou « classiques » (que l’on qualifie parfois même de dinosaures, et dont on prétend invariablement qu’elles reposent uniquement sur la détection par signature à la demande) et les technologies de « nouvelle génération », soi-disant supérieures, qui n’ont pas recours aux bases de signatures. Cette idée est au cœur des stratégies de marketing de certaines entreprises de la « nouvelle génération », mais elle est loin de correspondre à la réalité.

La théorie de l’évolution

La théorie de l’évolution

Tout d’abord, je ne suis pas d’accord avec l’étiquette de « première génération ». Les suites de sécurité modernes classiques ne peuvent tout simplement pas être mises dans la même catégorie que les anciennes technologies de détection simple, comme l’analyse statique par signature, la détection des modifications ou les vaccins, pas plus que Microsoft Word ne peut être assimilé à ed ou à Edlin. Même s’ils poursuivent les mêmes objectifs fondamentaux que ces applications disparues depuis longtemps (qu’il s’agisse de détecter ou de bloquer des logiciels malveillants ou de créer ou de traiter du texte), les logiciels modernes offrent un bien plus grand éventail de fonctionnalités. Les versions les plus récentes des logiciels de traitement de texte comprennent aujourd’hui des fonctionnalités qui, il y a quelques décennies, auraient relevé du domaine de la publication assistée par ordinateur, des tableurs et des bases de données.

De l’origine des espèces

Les suites de sécurité modernes qui visent à détecter les programmes malveillants n’offrent pas un aussi large éventail de fonctions. Néanmoins, elles comportent des couches de protection générique qui vont bien au-delà des simples signatures (et même des signatures génériques). Elles ont évolué pour devenir des produits uniques en leur genre, intégrant au fil du temps des technologies qui n’existaient pas lors du lancement des premiers produits de sécurité. Décrire les nouveaux venus sur le marché comme s’ils étaient les seuls à transcender les technologies rudimentaires basées sur les signatures dénote une mauvaise compréhension du sujet et est entièrement faux.

Des signatures? Quelles signatures?

De nos jours, même les analyseurs commerciaux à détection simple ne se contentent pas de rechercher des échantillons précis et des signatures statiques. Ils détectent plusieurs empreintes numériques connues de familles de programmes malveillants en intégrant différents éléments autrefois considérés comme des technologies « génériques » pures : listes blanches, analyse heuristique, bloqueur de comportement, détection des modifications, etc. Je ne recommande toutefois pas de se fier uniquement à un analyseur à détection simple comme ceux offerts gratuitement par les entreprises classiques. Je conseille plutôt d’avoir recours à d’autres méthodes de protection, que ce soit en achetant une suite de sécurité de qualité commerciale ou en reproduisant l’approche multicouche de ce genre de solutions, avec des composants provenant de différentes sources, y compris un analyseur à détection simple. Cependant, cette approche nécessite un degré de compréhension des menaces et des technologies de sécurité qui n’est pas à la portée de tous. Ce ne sont d’ailleurs pas toutes les entreprises qui disposent d’une personne-ressource à l’interne. Certaines d’entre elles peuvent donc être vulnérables aux messages publicitaires ayant l’apparence de conseils techniques.

Revenir à l’essentiel

IL EST ÉVIDENT QUE LA DISTINCTION ENTRE LES PRODUITS DE LA “NOUVELLE GÉNÉRATION” ET LES “DINOSAURES” EST PLUS SOUVENT TERMINOLOGIQUE QUE TECHNOLOGIQUE.

Certaines entreprises de la nouvelle génération gardent jalousement le secret du fonctionnement de leurs produits; par comparaison, les antimaliciels classiques ressemblent à des logiciels libres. Cependant, il est tout de même évident que la distinction entre les produits de la « nouvelle génération » et les « dinosaures » est plus souvent terminologique que technologique. Je ne crois pas que les produits de la « nouvelle génération » ont supplanté mieux que ne l’ont fait les solutions « classiques » ces approches élémentaires pour combattre les logiciels malveillants, définies il y a belle lurette par Fred Cohen (dont l’utilisation et la définition du terme « virus informatique » en 1984 ont pour ainsi dire lancé le secteur des logiciels de sécurité) :

  • identifier et bloquer les comportements malveillants;
  • détecter les modifications inattendues et inappropriées;
  • repérer les signes indiquant la présence de logiciels malveillants connus ou inconnus.

Bien entendu, les manières de mettre en œuvre ces approches ont beaucoup changé, mais cette évolution n’est pas réservée aux produits de nouvelle date. Par exemple, ce que l’on désigne généralement sous le nom d’indicateur de compromission pourrait tout aussi bien être décrit comme une signature, plutôt faible de surcroît. Plusieurs entreprises ne peuvent établir clairement la différence entre l’utilisation qu’elles font des technologies d’analyse, de surveillance et de blocage des comportements, d’analyse de trafic, etc., et celle qu’en font les antimaliciels classiques. Elles choisissent donc plutôt de véhiculer une vision trompeuse des « technologies dépassées » et saupoudrent leurs communications marketing de mots à la mode.

Bienvenue dans la machine

Examinons par exemple la glorification de « l’analyse heuristique » et de l’apprentissage automatique « pur » en tant que technologies permettant de distinguer la nouvelle génération de l’ancienne. En réalité, l’apprentissage automatique n’est pas l’apanage d’un seul secteur du marché. Les progrès en matière de réseaux neuronaux et de traitement parallèle sont tout aussi utiles pour les logiciels de sécurité classiques que dans d’autres domaines de l’informatique. Par exemple, sans un certain niveau d’automatisation du processus de classification, nous ne serions pas en mesure de faire face aux centaines de milliers d’échantillons devant être examinés pour assurer la précision de notre technique de détection.

L’UTILISATION DE TERMES COMME “APPRENTISSAGE AUTOMATIQUE PUR” DANS LES COMMUNICATIONS MARKETING DES PRODUITS DE NOUVELLE GÉNÉRATION RELÈVE DU PROCÉDÉ STYLISTIQUE, ET NON DE LA RÉALITÉ TECHNOLOGIQUE.

Toutefois, l’utilisation de termes comme « apprentissage automatique pur » dans les communications marketing des produits de nouvelle génération relève du procédé stylistique, et non de la réalité technologique. Cela pourrait laisser croire que l’apprentissage automatique en lui-même offre non seulement une méthode de détection plus efficace que toute autre technologie, mais que cette méthode est si efficace qu’elle ne requiert aucune supervision humaine. Dans les faits, les approches basées sur l’apprentissage automatique sont bien connues et couramment utilisées dans le secteur des antimaliciels classiques, mais, comme toutes les approches, elles présentent des avantages et des inconvénients. Les créateurs de logiciels malveillants connaissent généralement aussi bien les technologies d’apprentissage automatique que les entreprises de sécurité informatique. Ils consacrent autant d’efforts à les contourner qu’ils ne le font pour les autres technologies visant à détecter les programmes malveillants.

Un comportement exemplaire

Un comportement exemplaire

De la même manière, les entreprises de la nouvelle génération qui parlent de l’analyse heuristique comme s’il s’agissait d’une grande découverte sont au mieux mal informées. Le terme « analyse heuristique » et les technologies basées sur cette approche sont utilisés depuis des décennies dans le secteur des antimaliciels classiques. En fait, presque toutes les méthodes de détection allant au-delà des signatures statiques peuvent être définies comme de l’analyse heuristique.

Sélection naturelle et artificielle

Le journaliste Kevin Townsend m’a demandé récemment :

« Existe-t-il une manière pour les entreprises du secteur d’aider les utilisateurs à comparer les produits de détection des maliciels de première […] et de deuxième génération […] et à faire un choix éclairé? »

Si l’on fait abstraction des termes « première » et « deuxième génération », qui prêtent à confusion, la réponse est bien entendu positive. En fait, certaines des entreprises qui se targuent d’être « de deuxième génération » et qui prétendent que leur technologie est trop avancée pour être testée ont tout de même enfoncé des portes ouvertes en s’efforçant de comparer l’efficacité de leurs produits avec ceux des entreprises de « première génération ». Par exemple, au moins une entreprise de la nouvelle génération a recours aux échantillons de maliciels pour ses propres présentations. S’il est soi-disant impossible de comparer différentes générations de produits dans un environnement d’essai indépendant, comment peut-on prétendre que ces démonstrations sont valables lors d’un exercice de relations publiques? Autre affirmation mensongère véhiculée par les entreprises de la nouvelle génération : les produits de première génération n’arrivent pas à détecter les maliciels sans fichiers résidents en mémoire. Au contraire, nous le faisons depuis des décennies. Une présentation particulièrement malhabile se basait sur une étude des plus approximative reposant sur des demandes d’accès à l’information pour « prouver » que les antimaliciels « classiques » ont « échoué lamentablement », sans faire de distinction entre les attaques réussies et les autres.

Vrais et faux tests

Il est encore plus courant de faire un mauvais usage des rapports de VirusTotal (VT), ou autres services similaires, en prétendant qu’ils peuvent servir pour faire l’essai de différents moteurs antivirus, ce qui est entièrement faux. Comme l’affirme l’entreprise :

« VirusTotal ne devrait pas être utilisé pour établir des statistiques comparatives sur les différents logiciels antivirus. Les moteurs antivirus sont des outils sophistiqués pouvant comporter des fonctions de détection ne fonctionnant pas dans l’environnement VirusTotal. C’est pourquoi les résultats des analyses de VirusTotal ne doivent pas servir pour comparer l’efficacité des différents produits. »

Il est vrai que VT « teste » des fichiers en les exposant à différents moteurs de détection. Toutefois, le service ne fait pas appel à toute la gamme d’outils des antimaliciels. Il ne met donc pas à l’épreuve leur efficacité réelle. Une entreprise de nouvelle génération s’est vantée d’avoir détecté un échantillon d’un logiciel de rançon un mois avant que ce même échantillon ne soit soumis à VirusTotal. Toutefois, au moins une entreprise classique avait elle-même détecté cette empreinte numérique un mois avant que l’entreprise de nouvelle génération n’en fasse l’annonce. Il est impossible d’évaluer l’efficacité d’un produit à partir des rapports de VirusTotal, puisqu’il ne s’agit pas d’un service d’essai et qu’il ne reflète qu’une partie des fonctionnalités des produits utilisés. Sans cela, les services d’essai réputés comme Virus BulletinSE LabsAV-Comparatives et AV-Test, qui font de grands efforts pour s’assurer que leurs tests sont aussi précis et représentatifs que possible, ne serviraient à rien.

Un premier pas vers la coopération

L’un des plus spectaculaires revirements de situation en 2016 s’est produit lorsque VirusTotal a modifié ses conditions d’utilisation afin d’empêcher les entreprises de la nouvelle génération de profiter des échantillons soumis à VT par les entreprises « de première génération » sans elles-mêmes contribuer au service. Selon le blogue de VirusTotal :

« […] toutes les entreprises devront maintenant intégrer leur analyseur à l’interface publique de VT pour recevoir en retour les résultats des autres antivirus par l’intermédiaire de l’interface API de VirusTotal. De plus, les nouveaux outils d’analyse souhaitant se joindre à la communauté devront présenter une attestation ou des rapports d’examens indépendants de testeurs de sécurité, conformément aux pratiques exemplaires de l’Anti-Malware Testing Standards Organization (AMTSO). »

Plusieurs entreprises de nouvelle génération ont d’abord réagi en répliquant que c’était injuste, que les « dinosaures » se liguaient contre elles et que, puisqu’elles n’utilisaient pas de signatures, elles n’avaient pas besoin de VT et que cela leur importait donc peu. Toutefois, il semble que plusieurs joueurs importants ont par la suite décidé de se conformer à ces exigences en se joignant à l’AMTSO, acceptant par le fait même de faire l’objet d’essais indépendants. (J’entends par là de véritables essais, et non de faux tests menés avec VirusTotal.) Les entreprises de la nouvelle génération avaient l’habitude d’affirmer que leurs produits ne pouvaient pas être testés, particulièrement par les testeurs représentés par l’AMTSO, qu’elles jugent partiaux; c’est peut-être signe qu’elles réalisent que les consommateurs ne se fient pas tous seulement aux publicités pour prendre leurs décisions d’achat.

Un partage équitable

LES ENTREPRISES, TOUTES GÉNÉRATIONS CONFONDUES, TIRENT PARTI DES RESSOURCES DE VIRUSTOTAL ET DE LEUR VASTE ENSEMBLE D’ÉCHANTILLONS.

Pourquoi certaines entreprises de la nouvelle génération ont-elles finalement décidé de collaborer avec VirusTotal? VT partage les échantillons reçus avec toutes les entreprises et offre une interface API pouvant être utilisée pour vérifier automatiquement des fichiers avec tous les moteurs utilisés par le service. Cela permet aux entreprises non seulement d’avoir accès à un ensemble d’échantillons communs fournis par les entreprises classiques, mais aussi de les comparer avec des échantillons de nature indéterminée et avec ceux détectés par leurs propres outils, nourrissant ainsi leurs algorithmes d’apprentissage automatique, s’il y a lieu.

Pourquoi s’en priver? Ce n’est pas sans rappeler la manière dont les entreprises établies de longue date utilisent VirusTotal. La différence tient au fait qu’avec la mise à jour des conditions d’utilisation, les avantages sont maintenant partagés par tous. Les entreprises, toutes générations confondues, tirent parti des ressources de VirusTotal et de leur vaste ensemble d’échantillons. VirusTotal en sort gagnant en tant qu’agrégateur de données et fournisseur de services de qualité. Tous les autres profitent de l’existence d’un service gratuit qui permet de vérifier des fichiers suspects avec une vaste gamme de produits. Le service devrait améliorer sa précision en élargissant encore davantage cet éventail de produits pour inclure des technologies moins classiques. De plus, les nouveaux participants pourraient être moins enclins à faire un usage abusif des rapports de VT pour mener de faux essais à des fins publicitaires s’ils sont eux aussi susceptibles de faire l’objet de telles tactiques.

Essais complets

La tendance aux essais complets adoptée par les testeurs membres de l’AMTSO au cours des dernières années est un pas dans la bonne direction pour évaluer objectivement les produits aux approches moins classiques. (À tout le moins, avec autant d’objectivité qu’avec les produits classiques.) Toutefois, d’aucuns pourraient arguer que les testeurs ont recours à des méthodologies plutôt conservatrices. Il n’y a pas si longtemps, les essais statiques avaient la cote (dans une certaine mesure, c’est toujours le cas chez les testeurs ne faisant pas partie de l’AMTSO, alors que cette organisation déconseille leur utilisation depuis ses débuts). Malgré ses défauts, l’AMTSO est plus grande (et plus désintéressée) que la somme de ses parties; elle rassemble une grande diversité de chercheurs provenant à la fois d’entreprises et d’organismes d’essais, et les experts en marketing y sont peu présents. Ainsi, les tenants de différentes positions n’exercent pas une grande influence dans l’organisation pour promouvoir leurs propres intérêts. Si la nouvelle génération peut serrer les dents et adopter cette culture, tous en sortiront gagnants. Par le passé, l’AMTSO a souffert de la présence d’organisations qui avaient pour objectif de manipuler certains résultats, ou même pire encore. Un meilleur équilibre entre entreprises et testeurs de la vieille et de la nouvelle école a de bonnes chances d’échapper à de telles manœuvres.

À l’ère cénozoïque

Il y a plusieurs années, j’ai conclu un article dans Virus Bulletin en ces termes :

« Pouvons-nous imaginer un monde sans logiciels antivirus, puisqu’il semble qu’on leur administre déjà les derniers sacrements? […] Est-ce que les entreprises qui se moquent des logiciels antivirus tout en tirant profit de leurs recherches sauraient égaler l’expertise des gens qui travaillent dans les laboratoires d’antimaliciels à l’heure actuelle? »

Nous avons peut-être obtenu une réponse à ces questions. Malgré tout, si la soi-disant nouvelle génération accepte ses limites, modère l’agressivité de ses stratégies marketing et reconnaît les avantages de coopérer avec des entreprises aux forces et aux aptitudes différentes, il se peut que la cessation des hostilités soit bénéfique pour tous.

Cet article est adapté du chapitre correspondant tiré du rapport d’ESET sur les tendances pour 2017, Security Held Ransom (La sécurité en otage).

Discussion