Cybersécurité : Les antivirus servent-ils encore à quelque chose ?

L'antivirus est encore souvent la première réponse à la question de la cybersécurité en entreprise.

Pourtant, son efficacité a sévèrement baissé au fil des ans, à mesure que les menaces évoluaient.

Et les nouveaux services se disant révolutionnaires ne sont pas forcément la réponse qu'ils prétendent être...

Pire, une absence de sécurisation de leurs propres services rend les antivirus eux-mêmes vulnérables à des compromissions de la part de criminels, les transformant en chevaux de troie.

Partager
Cybersécurité : Les antivirus servent-ils encore à quelque chose ?

Elle est belle est bien révolue l'époque où il suffisait d’installer un antivirus pour se protéger des menaces pesant sur son système d’information. Cette perception s’est aujourd’hui dissipée. Le fonctionnement traditionnel des antivirus ne leur permet plus depuis longtemps de tenir tête aux malwares, qui sont devenus polymorphes pour mieux échapper à la détection. A tel point qu'en 2014, le président de Symantec lui-même proclamait dans les médias que l'antivirus était mort. Deux ans plus tard, les antivirus sont toujours en vie, mais leur âge d'or est clairement terminé. Ils ne sont pas aidés en cela par Microsoft, dont le service Windows Defender, intégré par défaut aux versions récentes de Windows, les a rendu largement obsolètes.

Le machine learning à la rescousse ?

Certains comme Cylance se targuent d’une approche moderne qui s’appuie sur du machine learning pour automatiquement détecter les programmes malveillants, non plus grâce à la signature de leur code mais en fonction de leur comportement. Une technique effectivement novatrice mais qui devra faire ses preuves sur la durée.

D'autant plus que ces nouveaux acteurs ne sont pas toujours aussi révolutionnaires qu'ils le disent. Alexander Eckelberry, un entrepreneur et spécialiste en sécurité, a récemment pointé du doigt la dépendance de certains antivirus se disant "de nouvelle génération" au service VirusTotal de Google, qui recense les signatures de malwares répertoriés par la majorité des antivirus du marché. Au lieu d'effectuer le travail elle-même, ils se contenteraient de vérifier les signatures auprès de cet aggrégateur. Or VirusTotal a annoncé le 4 mai qu’il interdirait désormais l’accès à sa base de données à tout logiciel n’y contribuant pas lui-même. Une annonce dont l’impact pourrait être sérieux pour plusieurs de ces entreprises, parmi lesquelles Cylance donc, mais aussi Palo Alto Networks, Sentinel One ou Crowdstrike. Toutes nient évidemment ces pratiques, ou en réduisent la portée.

Les antivirus sont un facteur de risque

Mobiliser des ressources systèmes pour une efficacité discutable est une chose. Représenter un vecteur d'attaque pour les systèmes que l'on est censé défendre en est une toute autre. Tavis Ormandy, un chercheur en sécurité travaillant chez Google, publie depuis un an les failles qu’il trouve dans divers antivirus du marché. Qu'ils se destinent au grand public ou aux entreprises, aucun d’entre eux n’a été épargné par ces révélations jusqu’à présent. Le problème vient du fait que les antivirus ne respectent souvent pas les règles de base de sécurité du système d’exploitation, s’octroyant l’accès au cœur de l’OS de manière abusive.

Ces pratiques sont empirées par le fait que le code des antivirus ne semble généralement pas être inspecté avec la plus grande rigueur. Comme ci les éditeurs de ces programmes, dans leur rôle de protecteurs de systèmes et de pourfendeurs de logiciels vérolés, n’avait jamais imaginé qu’ils puissent eux-mêmes se voir compromis à des fins malveillantes. C’est pourtant bien le cas, et les experts en sécurité informatique s’accorde à dire que certains criminels en usent depuis des années. Si l'antivirus reste un outil important pour la protection des entreprises, il est donc à double tranchant et loin d'être une panacée. Mettre en œuvre une bonne hygiène de sécurité doit rester une priorité dans tous les cas de figures.

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS