Antivirus : éradiquer les attaques virales

Utilisation : protéger le système d’information

L’antivirus assure la détection d’activité ou de code viral au sein des systèmes. Cantonnés, dans les années quatre-vingt, aux seuls postes de travail et à l’analyse de disquettes, les antivirus sont désormais également déployés sur les serveurs de fichiers, les passerelles de messagerie, etc. Ils assurent le contrôle d’une multitude d’éléments : courriers, programmes exécutables, scripts systèmes ou documents (pour les macro- commandes). Dernièrement, la surveillance du contenu des pages web (JavaScript, ActiveX…) est entrée dans le champ d’action de l’antivirus.

Principe de fonctionnement : base de signature ou générique ?

Les antivirus exploitent deux techniques distinctes. Une approche est fondée sur la recherche de signatures virales. L’autre est qualifiée de « générique » et regroupe l’ensemble des méthodes de détection qui ne recourent pas à la signature. La recherche de signatures virales est la technique la plus ancienne, la plus répandue et la plus fiable. Une signature est une série d’octets représentatifs d’un virus donné. Si cette suite est découverte au sein d’un objet susceptible d’être infecté (mémoire vive, secteurs du disque dur, exécutable…), l’antivirus donne l’alerte. Mais la méthode à ses limites : l’antivirus ne peut détecter que les virus dont il connaît la signature. Pour pallier ce handicap, et détecter notamment les virus polymorphes ou les variantes de parasites connus, le format des signatures s’est considérablement complexifié. Il s’apparente aujourd’hui à un vériTABLE langage de description. Mais cette ingéniosité ne suffit pas. Même protégés, les systèmes demeurent exposés aux nouveaux virus tant que la base de signatures virales n’a pas été mise à jour. La seule réponse que peuvent apporter les éditeurs est de fournir une signature quelques heures après la découverte d’un virus. Les épidémies mondiales de 2001 ont montré que cela était insuffisant. En outre, l’augmentation du nombre de virus connus condamne à terme le recours aux bases de signatures, dont la taille ne cesse de croître. Si elles ne font pas appel aux signatures, les techniques génériques ne peuvent identifier un virus. Un antivirus générique se contente de donner l’alerte si le comportement du système semble résulter d’une infection virale. La première de ces méthodes de détection est l’analyse heuristique. L’objectif est d’examiner l’objet suspect et de rechercher les structures de code propres aux virus, telles des routines d’infection. L’analyse comportementale est la seconde technique générique. Il s’agit pour l’antivirus de détourner les appels systèmes essentiels (accès disque, déplacement en mémoire…) et de les comparer, en temps réel, à une liste de règles qui définissent un comportement viral typique. Malheureusement, avec ces deux méthodes, les fausses alertes peuvent être nombreuses, au point de rendre l’antivirus inutilisable. La troisième approche générique courante est le contrôle d’intégrité. L’antivirus calcule une empreinte cryptographique des fichiers du système afin de détecter leur éventuelle modification. Hélas, si la technique est infaillible, elle ne donne l’alerte qu’après la bataille. En outre, elle est difficile à installer convenablement sur un système au sein duquel de nombreux fichiers changent à chaque démarrage, comme Windows.

Acteurs : un marché qui s’est concentré

Face à toutes ces difficultés, les antivirus dans leur majorité utilisent une base de signatures, parfois associée à quelques timides moteurs génériques (heuristiques, principalement). C’est le cas de Norton Antivirus (Symantec), VirusScan (Networks Associates Technology), Viruswall (Trend Micro), Sophos ou F-Secure, qui représentent le gros du marché des antivirus d’entreprise dans le monde. Des éditeurs tels Tegam (en France) et Finjan Software offrent pour leur part des solutions plus « génériques », mais dont le succès commercial est plus confidentiel.

Alternatives : vers l’antivirus hybride

Avec ou sans signatures, aucune de ces solutions n’est aujourd’hui entièrement satisfaisante. L’entreprise est livrée à elle-même entre, d’une part, des produits dont les bases de signatures sont obligatoirement obsolètes et, d’autre part, une technologie générique prometteuse mais peu répandue, délicate à mettre en oeuvre et sujette à de nombreuses fausses alertes. L’alternative ne pourra venir que d’antivirus hybrides, mêlant correctement et équitablement toutes les méthodes de détection. Hélas, aucun projet commercial crédible n’a encore été annoncé en ce sens.

À la pêche aux virus

Le pire ennemi de l’antivirus est le virus furtif actif en mémoire. Il contrôle totalement le système, et fait croire à l’antivirus que les fichiers sont sains, ou les désinfecte à la volée lors de l’analyse, pour les réinfecter lorsque l’antivirus est passé. Pour parer à cela, certains produits lancent des « appâts » en mémoire, des programmes vides qu’ils récupèrent après les avoir exécutés. Si l’appât revient modifié, le système est infecté. Et en substituant la version infectée au modèle original, l’antivirus dispose d’une copie propre du virus.

Dates clés

Vers 1980 : premier virus
Xerox crée ce qui est considéré comme le premier antivirus de l’histoire… pour une utilisation interne ! Un ver « utile » concocté par les ingénieurs de Xerox est devenu incontrôlable au sein du laboratoire, nécessitant un « vaccin » pour parvenir à l’arrêter.
1988 : premier antivirus
Le premier antivirus pour PC est écrit. Il désinfecte et protège du virus Brain, apparu deux ans auparavant. L’année marque aussi l’éclosion de nombreux antivirus, tous artisanaux et gratuits, ou presque.
1989 : IBM se soigne
IBM envoie IBM Scanning Software à ses clients. C’est le premier antivirus d’un éditeur majeur. Depuis un an, le logiciel était développé et utilisé en interne, à la suite d’une infection massive du virus Cascade.
1990-1991 : naissance de l’industrie antivirale
Nombre d’antivirus majeurs voient le jour : VirusScan de McAfee, Norton ThunderByte de Symantec, Sophos, Dr Solomon, F-Prot de Frisk Software.
1994-1998 : ça se complique…
De nouveaux procédés viraux (macrovirus, scripts VBS) et vecteurs (Internet, e-mails, Windows 95) forcent les antivirus à s’adapter ou à disparaître, tandis que la consolidation entamée en 1991 se poursuit.

Auteur de l’article : comitedentreprise.com