07 février 2008
Un labo français pour évaluer l'efficacité des logiciels antivirus
Le
2 novembre 1988, le ver Morris contamine quelque 6 000 ordinateurs,
soit 10 % des PC connectés à l'époque au Web. C'était la première
grande infection informatique. Aujourd'hui, les virus font partie du
quotidien des internautes. Et la menace est toujours réelle.
« Un code malveillant correctement programmé pourrait paralyser Internet en une poignée de secondes »,
rappellent Olivier Festor,
chercheur à l'Inria, et Jean-Yves Marion, professeur à l'Ecole nationale supérieure des Mines de Nancy.
Une première en France
C'est
pour étudier de façon scientifique et indépendante les virus et les
différentes techniques employées par les pirates que ces chercheurs
mettent sur pied un laboratoire dédié. Une première française dans le
domaine civil, car les autres unités de ce genre dépendent du ministère
de la Défense, comme le Laboratoire de virologie et de cryptologie créé
en 2001.
N'ayant
pas encore de statut officiel, ni de budget complet, cette nouvelle
unité s'appelle pour l'instant Laboratoire de haute sécurité civile.
Elle dépend du ministère de l'Enseignement supérieur et de la Recherche
via trois entités officielles que sont le CNRS (Centre national de la
recherche scientifique), l'Inria (Institut national de recherche en
informatique et en automatique) et Nancy-Université.
Traquer les rétrovirus
Comprenant
actuellement cinq personnes (deux enseignants-chercheurs et trois
thésards et ingénieurs), ce laboratoire visera deux grands objectifs.
Le premier
« ne sera pas le plus intéressant scientifiquement
puisqu'il s'agira de récolter les codes malveillants qui traînent sur le Web ».
Les
captures se feront notamment sur un ensemble de réseaux de fournisseurs
d'accès (Orange, Free, Alice, Neuf, etc.). Dans ce cas, des microsondes
seront connectées chacune à un fournisseur sur la base d'un abonnement
ADSL de particulier. Le deuxième objectif risque de faire du bruit
puisqu'il s'agit de créer un audit des antivirus qui soit réellement
indépendant des éditeurs. Ces logiciels seront soumis à de multiples
codes malveillants.
« Les
antivirus actuels n'agissent que sur des codes malveillants dont on
connaît déjà la signature. Or, nous avons en tête les travaux du
lieutenant-colonel Eric Filiol, du Laboratoire de virologie, sur
notamment les rétrovirus, c'est-à-dire les codes malveillants qui se
servent des failles des antivirus pour attaquer,
indique Jean-Yves Marion.
En détectant de nouveaux virus, nous espérons mettre au point des méthodes
d'analyses heuristiques bien plus puissantes que celles utilisées par les antivirus actuels. »
S'il
obtient le feu vert de son ministère de tutelle, ce laboratoire
pourrait vendre les résultats de ses audits et de ses avancées en
matière de défense informatique.
Installé
à Nancy, ce laboratoire analysera les virus et le comportement des
antivirus. Il devrait être opérationnel au début de 2008.
10 décembre 2007
Les antivirus, ça ne marche pas....
Une étude publiée par l'éditeur d'antivirus Panda révèle que la plupart des entreprises et particuliers utilisant un antivirus correctement mis à jour, sont tout de même infectés.
1,5 million de PC de particuliers et 1200 réseaux d'entreprises. C'est le panel utilisé par Panda Software pour une étude sur l'état d'infection d'ordinateurs protégés par un antivirus. Les résultats ne sont pas glorieux.
37% des PC personnels seulement sont protégés par un antivirus correctement mis à jour. Mais néanmoins, parmi ces derniers, 23% sont toutefois infectés par des virus qui auraient dus être détectés. L'infection est ici caractérisée par la présence d'un processus malin chargé en mémoire.
Les entreprises ne sont pas mieux loties puisque 72% des réseaux testés (parmi ceux de plus de 100 postes de travail) étaient infectés. Il s'agit cette fois-ci de malwares actifs tentant de se propager dans le LAN.
Certes, la situation n'est pas nouvelle. Des ordinateurs protégés par un antivirus et néanmoins infectés sont une constante observée par les professionnels de la sécurité depuis des années. Les raisons sont diverses: erreurs humaines ou antivirus défaillant, que ce soit à cause de son moteur ou d'un fichier de signatures passé à travers les mailles du filet du contrôle qualité. Nous avons d'ailleurs pu constater, par le passé lors de nos comparatifs, que des antivirus, tels que ceux de Symantec ou de Panda, pouvaient laisser un virus connu infecter l'ordinateur qu'ils étaient censés protéger.
Cependant, la tendance tend à montrer que les virus récents sont bien plus aggressifs. Rarement plus sophistiqués, ils sont en revanche plus véloces: des virus nichés dans des sites web sont renouvellés méthodiquement en quelques heures afin d'échapper à toute détection.
Si cette étude n'apprend rien de bien nouveau, elle a le mérite de cerner le phénomène. Il reste cependant nécessaire d'interpréter avec prudence les résultats: derrière cette étude perce l'intention (légitime) de Panda de mettre en avant ses solutions TruePrevent HIPS et Collective Intelligence. Lesquelles ne sont pas déficientes en soit, mais la volonté marketing reste présente. En outre, il n'est pas exclu que des faux positifs parsèment les résultats de cette étude.
Allez sur ce lien pour en savoir plus !
L'étude de Panda Software (en anglais)
20 novembre 2007
Logiciels anti-virus
Les logiciels antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles :
la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ; la détection d'instructions suspectes dans le code d'un programme (analyse heuristique); la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ; la détection d'ordres suspects ; la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, ...
Une sélection d'antivirus, à voir.
Firewall ???
Pour résumer....
Le pare-feu est aujourd'hui considéré comme un des piliers de la protection d'un réseau informatique. Il permet d'appliquer une politique d'accès aux ressources réseau.
Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent le Web (une zone dont la confiance est nulle), et au moins un réseau interne (une zone dont la confiance est plus importante).
Le filtrage se fait selon divers critères. Les plus courants sont :
l'origine ou la destination des paquets (Adresse IP , ports,) les options contenues dans les données (fragmentation, validité, etc.) les données elles-mêmes (taille, correspondance à un motif, etc.) les utilisateurs pour les plus récents