Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



Enquête sur un incident : vol dans une banque électronique



PAC et la problématique de la configuration automatique



10 astuces simples pour renforcer la sécurité de votre Mac
 
 

  Page d'accueil / Analyses

Quelle proactivité dans la lutte contre les virus ?

28.06.2006   |   comment

Oleg Gudilin
Senior Marketing Researcher, Kaspersky Lab

Désormais, les attaques par Malware occupent la première place au palmarès des menaces sur la sécurité informatique. Ces «programmes malveillants entraînent non seulement des pertes financières directes, mais elles servent également de points de départ pour l'exécution de toute une série d'autres menaces telles que le vol de données confidentielles et l'accès non autorisé aux données. De son côté, les éditeurs de logiciels antivirus ont adopté quelques nouvelles approches de la sécurité des structures informatiques: technologies proactives, diffusion forcée de vaccins critiques, augmentation notable de la fréquence d'actualisation des bases antivirus, etc. Cet article est le premier d'une série destinée à livrer des pistes aux utilisateurs parmi les nouvelles technologies proposées par les éditeurs de logiciels antivirus et à évaluer plus ou moins objectivement ces technologies. Nous entamons le cycle en nous penchant sur les technologies proactives.

Aujourd'hui, une des principales tendances n'est pas seulement l'augmentation du coût global des attaques virales mais également l'augmentation ininterrompue au cours des 15 dernières années du nombre de virus eux-mêmes. En 2005, la croissance de la «population» des virus a été tout simplement explosive. Ainsi, selon les données de Kaspersky Lab, le nombre de virus détecté chaque mois à la fin de l'année 2005 s'élevait à environ 6 368 tandis que la croissance globale pour l'année atteignait 117%, contre 93% pour l'année antérieure.

Le caractère de la menace est évident : le nombre de virus a considérablement augmenté et ces virus sont bien plus dangereux. Dans ce contexte, il était logique d'attendre la réaction des éditeurs de logiciels antivirus qui ont adopté des nouvelles approches de la protection contre les infections. Citons, parmi celles-ci, les technologies proactives, l'accélération de la réaction face à l'émergence de virus particulièrement dangereux capables de créer des épidémies ou la simple augmentation de la fréquence d'actualisation des bases antivirus. Nous allons ici nous pencher plus particulièrement sur l'approche proactive, présentée souvent comme la solution miracle contre tous les virus présents et à venir.

Introduction aux technologies proactives : forces et faiblesses

Les logiciels antivirus modernes adoptent deux démarches fondamentales pour l'identification des virus : les signatures et la méthode proactive/heuristique. Le principe de la première méthode est relativement simple: les objets analysés sur l'ordinateur sont comparés à des modèles (signatures) de virus connus. Cette technologie requiert le suivi permanent des nouveaux exemplaires de virus, leur description et leur inclusion dans la base des signatures. L'éditeur de logiciels antivirus doit donc posséder un service d'identification et d'analyse (le laboratoire antivirus). Les principaux critères qui définissent l'efficacité de cette méthode sont la vitesse de réaction face aux nouvelles menaces, la fréquence des actualisations et le nombre maximum de menaces identifiées.

Selon toute évidence, la méthode des signatures possède ses inconvénients. Le plus important d'entre eux, c'est le certain retard de la réaction face aux nouvelles menaces. Les signatures sont toujours ajoutées quelque temps après l'apparition du virus. Elles sont par définition réactives alors que les codes malveillants modernes sont capables d'infecter des millions d’ordinateurs dans un laps de temps très bref.

C'est pour cette raison que les méthodes proactives/heuristiques sont toujours plus populaires. Celles-ci ne requièrent pas la diffusion de signatures. Le logiciel antivirus analyse le code de l'objet et/ou le comportement de l'application exécutée puis, sur la base de règles internes, il décide du caractère malveillant ou non de l'application.

En principe, la technologie permet de découvrir les programmes malveillants toujours inconnus. De nombreux éditeurs de logiciels antivirus se sont empressés de présenter les méthodes proactives comme le remède miracle face aux vagues croissantes de nouveaux virus. Mais il n'en est pas vraiment ainsi. Afin d'évaluer l'efficacité de l'application de la démarche proactive et la possibilité de l'utiliser séparément de la méthode des signatures, il convient d'étudier minutieusement le principe de fonctionnement des technologies proactives.

La protection proactive se décline en quelques modes. Nous nous intéresserons à deux d'entre eux, les plus répandus: les analyseurs heuristiques et les inhibiteurs de comportement.

Analyse heuristique : forces et faiblesses

L'analyse heuristique permet d'étudier le code de l'objet à analyser et de définir, grâce à divers indices, si cet objet est malveillant ou non. A la différence des signatures, la méthode heuristique est capable d'identifier aussi bien les virus connus que les virus inconnus (c.-à-d. les virus créés après le module d'analyse heuristique).

La tâche de l'analyseur consiste à rechercher dans le code les signes (commandes) suspects propres aux programmes malveillants. Il s'agit d'une méthode d'analyse statistique. Par exemple, de nombreux programmes malveillants recherchent des fichiers exécutables, les ouvrent et les modifient. L'analyseur heuristique étudie le code d'une application et lorsqu'il découvre une commande suspecte, il augmente le «compteur suspicion» pour cette application. Si la valeur de ce compteur, après l'analyse, dépasse un seuil défini, l'objet est considéré comme suspect.

L'avantage de cette méthode se situe au niveau de sa simplicité et de sa rapidité. Toutefois, le taux de découverte de nouveaux virus reste assez faible et la probabilité de fausses alertes est élevée.

C'est la raison pour laquelle les logiciels antivirus modernes combinent analyse statistique et analyse dynamique. L'idée à l'origine de cette approche conjointe consiste à simuler l'exécution d'une application dans un environnement sécurisé virtuel avant que l'utilisateur n'exécute le fichier sur son ordinateur. C'est ce qu'on appelle «l'émulation en tampon» ou le «bac à sable». On trouve également dans les brochures marketing des différents éditeurs le terme «émulation d'un ordinateur virtuel dans l'ordinateur».

L'analyseur heuristique dynamique lit une partie du code de l'application dans le tampon d'émulation de l'antivirus et grâce à des «trucs» spéciaux, émule son exécution. Si des actions suspectes sont dévoilées au cours de cette «pseudo-exécution», l'objet est considéré comme malveillant et il ne pourra pas être exécuté sur l'ordinateur de l'utilisateur.

A la différence de la méthode statistique, la méthode dynamique est plus gourmande en ressources étant donné que l'analyse a lieu dans un espace virtuel sécurisé et que l'exécution de l'application sur l'ordinateur est reportée le temps de l'analyse. Ceci étant dit, l'analyse dynamique se caractérise par un taux d'identification des objets malveillants bien supérieur à celui de l'analyse heuristique et le risque de fausses alertes est considérablement réduit.

Pour conclure, signalons que les premiers analyseurs heuristiques ont fait leur apparition il y a bien longtemps et qu'à l'heure actuelle toutes les solutions antivirus exploitent des analyseurs plus ou moins modernes.

Inhibiteur de comportement, un programme d’analyse des applications

L'inhibiteur de comportement est un programme qui analyse le comportement de l'application lancée et qui bloque toute action dangereuse. A la différence des analyseurs heuristiques qui analysent les actions suspectes dans un environnement virtuel (heuristique dynamique), les inhibiteurs de comportement travaillent dans des conditions réelles.

Le principe de fonctionnement des premiers inhibiteurs de comportement était simple. Dès qu'une action potentiellement dangereuse était identifiée, un message invitait l'utilisateur à la bloquer ou à l’autoriser. Dans la majorité des cas, cette approche fonctionnait mais il arrivait que même des programmes légitimes, voire le système d'exploitation, produisent des actions «suspectes». Donc, si les connaissances en informatique de l'utilisateur n'étaient pas très poussées, ces questions pouvaient semer le doute.

La nouvelle génération d'inhibiteurs de comportement analyse non plus des actions individuelles mais bien des suites d'actions. En d'autres termes, la décision sur la dangerosité d'une application particulière est prise sur la base d'une analyse plus poussée. Le nombre de messages de confirmation adressés à l'utilisateur est réduit et la fiabilité de la détection augmente.

Les inhibiteurs de comportement modernes sont capables de contrôler un large éventail d'événements dans le système. Il s'agit avant tout du contrôle de l'activité dangereuse (analyse de l'activité de tous les processus exécutés dans le système, les enregistrements sans modification dans le système de fichiers ou la base de registres). Lorsqu'une application particulière exécute une série d'actions suspectes, l'utilisateur est prévenu de la dangerosité. De plus, l'inhibiteur de comportement est capable de déceler les rootkits, ces programmes qui dissimulent l'action d'un code malveillant sur des fichiers, des répertoires ou des clés du registre et qui cachent également les programmes exécutés, les services du système, les pilotes et les connexions de réseau.

Notons la fonction des inhibiteurs de comportement qui contrôle l'intégrité des applications et de la base de registres système de Microsoft Windows. Dans ce dernier cas, l'inhibiteur contrôle les modifications des clés de la base de registres et permet d'établir des règles d'accès à celles-ci pour diverses applications. Il est donc possible de rétablir un système à l'état antérieur à l'infection du fait de l'action des programmes inconnus.

A la différence des analyseurs heuristiques présents dans la grande majorité des logiciels antivirus modernes, les inhibiteurs de comportement sont moins fréquents. En guise d'exemple d'inhibiteur de comportement efficace de la nouvelle génération, citons le module de protection proactive (Proactive Defence Module) intégré aux logiciels de Kaspersky Lab.

Ce module propose toutes les fonctions décrites ci-dessus ainsi qu'un système efficace d'information de l'utilisateur sur la menace que représentent réellement ces actions dangereuses. Tout inhibiteur de comportement requiert à un moment ou à un autre l'intervention de l'utilisateur, ce qui suppose que celui-ci possède un certain niveau de connaissances en informatique. Dans les faits, les utilisateurs possèdent rarement l'expérience requise et c'est pour cela que le soutien en informations, en réalité une aide à la prise de décision, est une fonction indispensable de toute solution antivirus moderne.

En guise de synthèse, nous pouvons dire que l'inhibiteur de comportement peut prévenir la propagation de virus connus ou inconnus (créés après l'inhibiteur), ce qui est un avantage indéniable de ce type d'approche. Le principal inconvénient se situe au niveau de la réaction vis-à-vis de toute une série de programmes parfaitement légitimes. De plus, la prise de décision finale sur la dangerosité d'une application appartient à l'utilisateur, ce qui suppose une certaine qualification.

Protection proactive et vulnérabilités des applications

La « littérature » commerciale des éditeurs de logiciels antivirus laisse souvent penser que la protection proactive et l'analyse heuristique constituent la solution universelle contre les virus, qu'aucune actualisation n'est nécessaire et que par conséquent, le système est toujours prêt à repousser les attaques, même de virus qui n'existent pas encore. De plus, les brochures évoquent non seulement les nouvelles menaces, les vulnérabilités connues, mais également les menaces de la catégorie «zéro jour». En d'autres termes, les éditeurs prétendent que leurs technologies proactives sont capables de bloquer même les codes malveillants capables d'exploiter les vulnérabilités inconnues, c'est-à-dire les vulnérabilités pour lesquelles aucun correctif n'a encore été publié.

Malheureusement, ces documents présentent une certaine dose d'incompréhension et de ruse. En particulier, lorsqu'ils présentent la lutte contre les codes malveillants comme une lutte qui oppose les auteurs de virus aux méthodes automatiques (proactivité/heuristique). En réalité, la lutte oppose des êtres humains des deux côtés : auteurs de virus et experts de la lutte contre les virus.

Nous avons déjà abordé les différentes méthodes de protection proactive : l'analyse heuristique et les inhibiteurs de comportement. Elles reposent sur la «connaissance» que les programmes antivirus possèdent sur les codes malveillants. En réalité, les programmes tirent «leurs connaissances» (les ensembles de règles sur les comportements) des experts de la lutte contre les virus et ces derniers les ont obtenues par le biais de l'analyse des virus déjà connus. Ainsi, les technologies proactives sont totalement inefficaces contre les codes malveillants qui exploitent de nouvelles méthodes d'infection développées après la création de la règle. Il s'agit principalement des menaces de la catégorie «zéro jour». De plus, les auteurs de virus s'efforcent de trouver de nouvelles manières pour contourner les règles de comportement des antivirus, ce qui réduit également l'efficacité des méthodes proactives.

En résumé, les éditeurs de logiciels antivirus sont tout simplement obligés d'actualiser les règles de comportement et d'affiner leur heuristique afin de réagir aux nouvelles menaces. Evidemment, ces actualisations sont moins fréquentes que l'actualisation des signatures (modèles de code), mais elles se produisent néanmoins régulièrement et au vu de l'augmentation accélérée du nombre de nouveaux virus, elles seront de plus en plus fréquentes. Finalement, le secteur va revenir à la méthode des signatures, mais ces signatures seront des signatures du comportement et non plus du code.

En dissimulant ces faits aux utilisateurs (nécessité des mises à jour de la mise à jour proactive), certains éditeurs trompent leurs clients, aussi bien les entreprises que les particuliers, et la presse. Cela contribue à donner une représentation pas tout à fait exacte des possibilités de la protection proactive.

Signatures et méthodes proactives

Malgré leurs défauts, les méthodes proactives permettent en effet de découvrir certaines nouvelles menaces avant la publication des signatures correspondantes. Examinons la réaction des logiciels antivirus au ver Email-Worm.Win32.Nyxem.e (ci-après, Nyxem).

Le ver Nyxem (connu également sous le nom Blackmal, BlackWorm, MyWife, Kama Sutra, Grew et CME-24) infecte l'ordinateur lors de l'ouverture d'une pièce jointe contenant des liens vers des sites pornographiques ou via des fichiers en accès libre sur le réseau. En quelques secondes, le virus nettoie le disque dur et infecte 11 formats différents, y compris Microsoft Word, Excel, PowerPoint, Access et Adobe Acrobat. Le texte est remplacé par une succession aléatoire de caractères. Le ver Nyxem se caractérise également par son activation le 3 de chaque mois.

Un groupe d'étude indépendant de l'université de Magdebourg (AV-Test.org) a étudié la vitesse de réaction des éditeurs de logiciels antivirus face à l'émergence de Nyxem. Cette étude démontra que certains programmes avaient pu détecter le ver grâce aux technologies proactives, soit avant la publication de la signature:

Détection proactive de Nyxem à l'aide d'inhibiteurs de comportement
Kaspersky Internet Security 2006 (Beta 2) POSITIF
Internet Security Systems: Proventia-VPS POSITIF
Panda Software: TruPrevent Personal POSITIF

Détection proactive de Nyxem à l'aide d'analyseurs heuristiques
eSafe Trojan/Worm [101] (suspicious)
Fortinet suspicious
McAfee W32/Generic.worm!p2p
Nod32 NewHeur_PE (probably unknown virus)
Panda Suspicious file

Date de publication de la signature de Nyxem
BitDefender 2006-01-16 11:13 Win32.Worm.P2P.ABM
Kaspersky 2006-01-16 11:44 Email-Worm.Win32.VB.bi
AntiVir 2006-01-16 13:52 TR/KillAV.GR
Dr Web 2006-01-16 14:56 Win32.HLLM.Generic.391
F-Secure 2006-01-16 15:03 Email-Worm.Win32.VB.bi
VirusBuster 2006-01-16 15:25 Worm.P2P.VB.CIL
F-Prot 2006-01-16 15:31 W32/Kapser.A@mm (exact)
Command 2006-01-16 16:04 W32/Kapser.A@mm (exact)
AVG 2006-01-16 16:05 Worm/Generic.FX
Sophos 2006-01-16 16:25 W32/Nyxem-D
Trend Micro 2006-01-17 03:16 WORM_GREW.A
eTrust-VET 2006-01-17 06:39 Win32/Blackmal.F
Norman 2006-01-17 07:49 W32/Small.KI
ClamAV 2006-01-17 08:47 Worm.VB-8
Avast! 2006-01-17 15:31 Win32:VB-CD [Wrm]
eTrust-INO 2006-01-17 16:52 Win32/Cabinet!Worm
Symantec 2006-01-17 17:03 W32.Blackmal.E@mm
Source: Security Watch: Blackworm Blows Up On Friday (PC Mazagine, AV-Test.org)

Ainsi, huit logiciels antivirus ont pu identifier Nyxem à l'aide de méthodes proactives. Cela veut-il dire que les technologies proactives sont capables de remplacer la méthode «classique» des signatures ? Bien sûr que non. Afin d'analyser l'efficacité des méthodes proactives, il faut tester les antivirus sur un ensemble de virus et non pas sur un seul exemplaire (même s'il s'agit un exemplaire célèbre).

Andreas Clementi (www.av-comparatives.org) est un des rares chercheurs indépendants qui étudient l'application des technologies proactives à un large éventail de virus.Afin de vérifier si un logiciel antivirus est capable de déceler les menaces qui n'existent pas encore dans les signatures, il est possible d'utiliser les virus d'apparition récente, par exemple les virus des trois derniers mois. Il va de soi que dans ce cas, le logiciel antivirus est équipé des bases antivirus en vigueur il y a trois mois également. Ainsi, le programme doit assurer la protection contre des menaces dont il ne connaît pas l'existence. C'est précisément les résultats de ce genre de tests qu'Andreas Clementi diffuse.

D'après les résultats d'un test réalisé en 2005, les analyseurs heuristiques les plus efficaces étaient ceux d'Eset, de Kaspersky Anti-Virus et de Bitdefender.

Niveau de détection (heuristique) proactive
(Source : AV-comparatives.org)

Ce test fut réalisé sur un ensemble de 8 259 virus. Comme le montre clairement le graphique, le taux d'efficacité de découverte proactive le plus haut fut de 70%. Cela signifie que 2 475 virus sont passés au travers des mailles du filet. Il s'agit, vous en conviendrez, d'un nombre important.

Le même test mené par les experts de l’université de Magdebourg - AV-Test.org - en mars 2006 à la demande de PC World, montre que les leaders du test atteignent un niveau de détection heuristique de 60%. Cette étude a été effectuée sur des antivirus dont les signatures n’avaient pas été renouvelées depuis un et deux mois.

Niveau de détection (heuristique) proactive
(Source : PC World, AV-Test.org)

De plus, il ne faut pas oublier le revers de la médaille pour ces analyseurs heuristiques à taux d'identification élevé, à savoir le nombre élevé de fausses alertes. Pour cette raison, il est nécessaire de trouver un équilibre entre le niveau de détection et le nombre de fausses alertes pour assurer un fonctionnement normal de l'antivirus. Il en va de même pour les inhibiteurs de comportement.

Les résultats du test de AV-comparatives.org et AV-Test.org illustrent clairement que les méthodes proactives ne peuvent, à elles seules, garantir le niveau de détection requis. Les éditeurs de logiciels antivirus l'ont d'ailleurs très bien compris : malgré les déclarations sur les méthodes proactives, ils continuent à exploiter en parallèle la méthode classique de détection à l'aide des signatures. Signalons aussi que les développeurs de solutions qui reposent uniquement sur des technologies proactives (Finjan, StaForce Safe'n'Sec) doivent acheter auprès de tiers des licences d'utilisation des technologies «classiques» de signatures.

Bien sûr, les méthodes qui reposent sur les signatures ont également leur défaut. Mais à l'heure actuel, le secteur antivirus n'a encore rien développé qui pourrait remplacer complètement ces signatures. Par conséquent, en plus de la protection proactive, la vitesse à laquelle les nouvelles menaces sont ajoutées aux bases demeure un des plus importants critères d'évaluation de l'efficacité d'un logiciel antivirus.

Le tableau ci-dessous reprend la vitesse de réaction moyenne d'éditeurs de logiciels antivirus par rapport aux principaux virus de 2005. Le groupe de l'université de Magdbourg (AV-Test.org) a analysé le temps nécessaire aux éditeurs pour diffuser les mises à jour contenant les signatures. L'analyse a impliqué différentes versions des 16 vers les plus diffusés en 2005, dont Bagle, Bobax, Bropia, Fatso, Kelvir, Mydoom, Mytob, Sober et Wurmark.

Vitesse moyenne de réaction 2005
Entre 0 et 2 heures Kaspersky
Entre 2 et 4 heures BitDefender, Dr. Web, F-Secure, Norman, Sophos
Entre 4 et 6 heures AntiVir, Command, Ikarus, Trend Micro
Entre 6 et 8 heures F-Prot, Panda Software
Entre 8 et 10 heures AVG, Avast, CA eTrust-InocuLAN, McAfee, VirusBuster
Entre 10 et 12 heures Symantec
Entre 12 et 14 heures
Entre 14 et 16 heures
Entre 16 et 18 heures
Entre 18 et 20 heures CA eTrust-VET
Source : Classement du temps de réaction des logiciels antivirus (Andreas Marx of AV-Test.org).

Conclusions

Ce qui précède nous permet de tirer quelques conclusions importantes. L'approche proactive de la lutte contre les programmes malveillants est la réponse adoptée par le secteur antivirus pour faire face à l'augmentation du nombre de programmes malveillants et à l'accélération de leur diffusion. Les technologies proactives d'aujourd'hui permettent en effet de lutter contre de nombreux nouveaux virus mais cela ne signifie pas pour autant que les mises à jour régulières de la protection antivirus ne sont plus nécessaires. Au contraire, à l'instar des signatures, les méthodes proactives doivent également être actualisées.

L'utilisation de techniques proactives modernes ne peut pas garantir à elle seule un niveau élevé de détection de programmes malveillants. De plus, l'augmentation du nombre de détections entraîne, dans ce cas, une augmentation du nombre de fausses alertes. Bien entendu, les signatures présentent également des inconvénients mais à l'heure actuelle, les éditeurs de logiciels antivirus ne possèdent aucune alternative qui permettrait de remplacer complètement l'approche classique. Dans ces conditions, la vitesse de réaction face à l'émergence de nouvelles menaces demeure un important critère d'efficacité.

Niveau global de détection
(Source : AV-comparatives.org)

La protection antivirus qui se veut optimale doit associer la démarche proactive et la démarche classique. C'est la seule manière d'atteindre un niveau maximum d'identification des menaces. Le schéma ci-dessus illustre les résultats des tests réalisés par Andreas Clementi (www.av-comparatives.org) sur le niveau global (signatures+heuristiques) de détection de programmes malveillants. Il ne faut pas oublier que le test a été réalisé à l'aide d'une collection de plus de 240 000 virus et qu'un écart d'un pour cent représente environ 2 400 virus qui sont passés au travers des mailles.

Les utilisateurs de solutions antivirus ne doivent pas par conséquent faire totalement confiance aux déclarations « faussement marketing » de certains éditeurs. Les études indépendantes permettent de comparer les caractéristiques complexes des produits et elles sont les mieux adaptées pour évaluer en toute objectivité l'efficacité des solutions proposées actuellement sur le marché.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com