Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : Les antivirus servent-ils encore à quelque chose ?

L'antivirus est encore souvent la première réponse à la question de la cybersécurité en entreprise. Pourtant, son efficacité a sévèrement baissé au fil des ans, à mesure que les menaces évoluaient. Et les nouveaux services se disant révolutionnaires ne sont pas forcément la réponse qu'ils prétendent être... Pire, une absence de sécurisation de leurs propres services rend les antivirus eux-mêmes vulnérables à des compromissions de la part de criminels, les transformant en chevaux de troie.
Twitter Facebook Linkedin Flipboard Email
×

Cybersécurité : L'antivirus, un facteur de risque ?
Cybersécurité : Les antivirus servent-ils encore à quelque chose ?

Elle est belle est bien révolue l'époque où il suffisait d’installer un antivirus pour se protéger des menaces pesant sur son système d’information. Cette perception s’est aujourd’hui dissipée. Le fonctionnement traditionnel des antivirus ne leur permet plus depuis longtemps de tenir tête aux malwares, qui sont devenus polymorphes pour mieux échapper à la détection. A tel point qu'en 2014, le président de Symantec lui-même proclamait dans les médias que l'antivirus était mort. Deux ans plus tard, les antivirus sont toujours en vie, mais leur âge d'or est clairement terminé. Ils ne sont pas aidés en cela par Microsoft, dont le service Windows Defender, intégré par défaut aux versions récentes de Windows, les a rendu largement obsolètes.

 

Le machine learning à la rescousse ?

Certains comme Cylance se targuent d’une approche moderne qui s’appuie sur du machine learning pour automatiquement détecter les programmes malveillants, non plus grâce à la signature de leur code mais en fonction de leur comportement. Une technique effectivement novatrice mais qui devra faire ses preuves sur la durée.

 

D'autant plus que ces nouveaux acteurs ne sont pas toujours aussi révolutionnaires qu'ils le disent. Alexander Eckelberry, un entrepreneur et spécialiste en sécurité, a récemment pointé du doigt la dépendance de certains antivirus se disant "de nouvelle génération" au service VirusTotal de Google, qui recense les signatures de malwares répertoriés par la majorité des antivirus du marché. Au lieu d'effectuer le travail elle-même, ils se contenteraient de vérifier les signatures auprès de cet aggrégateur. Or VirusTotal a annoncé le 4 mai qu’il interdirait désormais l’accès à sa base de données à tout logiciel n’y contribuant pas lui-même. Une annonce dont l’impact pourrait être sérieux pour plusieurs de ces entreprises, parmi lesquelles Cylance donc, mais aussi Palo Alto Networks, Sentinel One ou Crowdstrike. Toutes nient évidemment ces pratiques, ou en réduisent la portée.

 

Les antivirus sont un facteur de risque

Mobiliser des ressources systèmes pour une efficacité discutable est une chose. Représenter un vecteur d'attaque pour les systèmes que l'on est censé défendre en est une toute autre. Tavis Ormandy, un chercheur en sécurité travaillant chez Google, publie depuis un an les failles qu’il trouve dans divers antivirus du marché. Qu'ils se destinent au grand public ou aux entreprises, aucun d’entre eux n’a été épargné par ces révélations jusqu’à présent. Le problème vient du fait que les antivirus ne respectent souvent pas les règles de base de sécurité du système d’exploitation, s’octroyant l’accès au cœur de l’OS de manière abusive.

 

Ces pratiques sont empirées par le fait que le code des antivirus ne semble généralement pas être inspecté avec la plus grande rigueur. Comme ci les éditeurs de ces programmes, dans leur rôle de protecteurs de systèmes et de pourfendeurs de logiciels vérolés, n’avait jamais imaginé qu’ils puissent eux-mêmes se voir compromis à des fins malveillantes. C’est pourtant bien le cas, et les experts en sécurité informatique s’accorde à dire que certains criminels en usent depuis des années. Si l'antivirus reste un outil important pour la protection des entreprises, il est donc à double tranchant et loin d'être une panacée. Mettre en œuvre une bonne hygiène de sécurité doit rester une priorité dans tous les cas de figures.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

Vincent L.
01/07/2016 16h28 - Vincent L.

Il y a d'autres outils sur le marché français qui adressent la même problématique. Voir par exemple Reveelium, développé par le start-up toulousain ITrust. Ils expliquent leur approche contre les APTs à travers sa détection en temps réel des anomalies : https://www.itrust.fr/cybersecurite%26bigdata

Répondre au commentaire | Signaler un abus

 
media