mar. Déc 10th, 2019
wooxo - bruno roques

L’antivirus serait-il devenu obsolète ?

Une exclusivité cybertexperts.tech

Par Bruno Roques, Directeur R&D de Wooxo

Les 5 fonctionnalités clés des anti-virus de nouvelle génération, que vous soyez experts ou non !

Le monde des menaces informatiques est en perpétuelle évolution. Chaque année, de nouvelles tendances apparaissent et inquiètent le monde de la cybersécurité ! En 2017, le ransomware ou rançongiciel était la grande mode, en 2018, les attaques sans fichiers (fileless) était l’arme préférée des hackers. Selon les dernières études de Gartner et Forrester, en 2019 les enjeux de la sécurité des points d’accès et les attaques par exploitation des vulnérabilités des logiciels (attaques 0-day) seront au cœur du programme de cybersécurité des sociétés. 

 

Comprendre les limites :

De nos jours, les experts informatiques déconseillent de démarrer votre ordinateur sans avoir installé et mis à jour un logiciel anti-virus. Ces derniers sont principalement des applications qui s’exécutent en arrière-plan dans votre ordinateur et vérifient chaque dossier que vous ouvrez, analysent le trafic et lancent une recherche dans une base de données de menaces afin de pouvoir détecter la moindre signature informatique douteuse. Chaque virus à sa propre signature, comme une empreinte digitale. 

Même si le code du virus n’est pas exactement le même, la signature peut être identique. L’intérêt du scan est de détecter les virus avant même leur exécution. Ainsi, dès qu’un fichier est téléchargé sur le disque, l’analyse peut commencer.

 

L’impact des performances

Les programmes antivirus dits traditionnels exécutent plusieurs types de scans du système sans analyser les activités de l’utilisateur. Par exemple, l’antivirus peut vérifier en temps réel les fichiers en cours d’utilisation afin de s’assurer qu’ils ne sont pas contaminés.

Cependant, s’ils ne sont pas correctement configurés, ces programmes peuvent avoir un impact négatif sur la productivité et l’expérience utilisateur. 

De ce fait, de nombreux employés retardent les scans ou tout simplement les désactivent, ce qui peut mettre en danger l’organisation.

 

Les mises à jour régulières 

Les anti-virus actuels sont régulièrement mis à jour afin d’y intégrer les correctifs apportés par les menaces identifiées. Cependant, il est nécessaire de mettre à jour son antivirus, ce que de nombreux salariés ne font pas…. Même si le logiciel est mis à jour régulièrement, il est impossible pour les fournisseurs de dresser une liste exhaustive de nouveaux virus et d’attaques. Les hackers sont créatifs et trouveront toujours une nouvelle façon d’infiltrer votre système.

 

Les analyses basées sur les signatures 

Les anti-virus et anti-malwares sont principalement des applications basées sur la signature du code. Quelques années auparavant, cela était suffisant. Maintenant la situation a changé, elle soulève de sérieuses préoccupations : vos programmes recherchent des empreintes digitales déjà identifiées auprès des bases de données qui recensent les modèles de code anti-malware limitant leurs actions.

Par définition, ce type d’analyse est vouée à l’échec face aux nouvelles menaces qui utilisent des techniques innovantes pas encore répertoriées dans la base de connaissances de ces AV classiques. L’exploitation de failles 0-day sur des logiciels communément répandus (Google Chrome, Firefox, Acrobate Reader) ou directement sur des composantes même du système d’exploitation permettent une diffusion massive et très rapide de la menace. Des centaines de milliers de postes et serveurs se retrouvent contaminés en quelques heures à travers le monde avant que les bases de données des AVs classiques ne soient enrichis des signatures de ces nouveaux codes malveillants.

Wannacry fait partie de cette liste de plus en plus longue de malwares ayant infectés des centaines de milliers de machines en exploitant une faille 0-day au sein même du protocole historique de partage réseau de Windows malgré le temps de réaction, extrêmement rapide, des anti-virus classiques pour mettre à jour leurs bases de données.

 

Les attaques sans fichiers :

Aucun fichier sur le disque dur à scanner pour l’antivirus classique. Ces attaques se renforcent depuis plusieurs années jusqu’à atteindre leur paroxysme dans le courant 2018 selon l’institut Ponemon (plus de 77 % des attaques). Ces attaques exploitent des techniques de plus en plus ingénieuses pour contrer les anti-virus en s’appuyant sur les composants d’administration du système d’exploitation (PowerShell, WMI, …). Pas de code malveillant en tant que tel ici, donc rien à mettre sous la dent des systèmes de scan basés sur des signatures. 

 

5 fonctionnalités clefs qu’une structure devrait exiger pour son prochain antivirus

 

  • Protection contre les attaques 0-day (ZDP) : Prévenir des attaques 0-day nécessite un logiciel multicouche efficace qui analysera en profondeur le système. De nos jours, il existe des machines dédiées à l’identification des exploits 0-Day. Celles-ci sont basées sur des techniques de détection hybrides utilisant des algorithmes de statistiques et de comportement. Les programmes en cours sont examinés en détail afin de chercher une quelconque action suspecte qui pourrait correspondre à un exploit zero day.

 

  • L’analyse statique : Les logiciels malveillants se cachent toujours dans les fichiers et les dossiers, l’analyse statique est une fonctionnalité obligatoire qui consiste à analyser les fichiers avant leur exécution, à identifier le niveau des menaces et à les bloquer en cas de risque élevé. L’avantage de l’analyse statique réside dans le fait qu’elle vérifie également les fichiers au repos, qui ne sont souvent pas considérés comme une menace par un antivirus classique, et détectent donc un programme malveillant avant qu’il n’ait été exécuté.

 

  • L’émulateur d’environnement (ou Sandbox) : L’utilisation d’un émulateur d’environnement (ou Sandbox) est une autre approche dans la détection des changements de signatures. Le principe est le suivant : les programmes suspects sont isolés dans un environnement virtuel dédié et exécutés afin de détecter un quelconque comportement malsain, voire le bloquer. Un émulateur seul ne sera pas suffisant pour fournir un niveau de sécurité efficace. Cependant, couplé à une sécurité prédictive, comme du machine learning, le niveau de protection augmentera de manière significative.

 

  • L’analyse en condition réelle (Host Intrusion Prevention) : Ce moteur va analyser les programmes en cours d’exécution et détecter les comportements suspects, notamment lors de l’accès aux serveurs. Cette fonctionnalité est extrêmement utile contre les attaques de virus sans fichiers. Par exemple, visiter un site internet, utiliser Microsoft Word ou exécuter Powershell est légitime, cependant leur activation simultanée peut résulter d’une attaque de phishing qui conduit l’utilisateur vers un site Web malveillant. Par conséquent, le moteur peut se rendre compte qu’il ne s’agit pas d’une situation normale de fonctionnement et bloque les programmes infectés.

 

  • Le machine learning : Le machine learning est une branche de l’intelligence artificielle permettant aux machines d’apprendre en leur donnant une grande quantité de données à traiter. Bien que les fonctionnalités mentionnées précédemment vont protéger le système de manière satisfaisante, le machine learning va apprendre et extraire les caractéristiques comportementales utiles pour détecter des actes malveillants. Il crée une logique de détection appliquée aux programmes en cours d’exécution. Cet apprentissage permanent est ce qui permet au moteur de détecter les menaces encore inconnues !

 

La recherche d’antivirus fait toujours partie intégrante de la sécurité de l’entreprise, mais elle ne peut plus se limiter à cette fonctionnalité. Ce n’est qu’une des caractéristiques recherchées lors de l’élaboration de la stratégie de cybersécurité. En parallèle de l’aspect préventif, il ne faut jamais négligez une sauvegarde curative puissante telle qu’un plan de sauvegarde et de restauration.

 


A propos de Wooxo 

Editeur français de solutions de protection des données professionnelles depuis 2011, Wooxo élimine les risques d’interruption d’activité liés à la perte de données informatiques en les sauvegardant contre tous types de sinistres : Physiques, Humains et Cyber.

 Lauréate de plusieurs distinctions (Les succès du Numérique 2017, Les trophées de la Distribution 2017,…) Wooxo est également membre d’HexatrustCybermalveillance.gouv.fr, Transition numérique et la French Tech.

Wooxo propose une solution complète de sauvegarde de données Labellisée France Cybersecurity, du matériel au logiciel, en passant par l’hébergement et le SAV : un service clé en main à destination des TPE et PME européennes. 

Les équipes de Wooxo travaillent pour garantir un plan de reprise d’activité efficace, sensibiliser les entreprises aux risques des cyberattaques et rassembler une communauté d’acteurs engagés dans la lutte contre la Cybercriminalité.

1 thought on “L’antivirus serait-il devenu obsolète ?

Comments are closed.

%d blogueurs aiment cette page :