Antivirus : de la difficulté d'innover en toute sécurité
C'est un fait souvent ignoré : l'antivirus est la toute première cible de l'attaquant. Car détourner un tel outil de confiance revient à contrôler totalement l'ordinateur. Et pour les éditeurs d'antivirus confrontés à de tels risques, innovation et sécurité deviennent alors deux forces opposées au coeur d'une difficile recherche d'équilibre. Des efforts qui échappent parfois au consommateur.
L'antivirus n'a vraiment pas la tâche facile : il doit d'un côté s'adapter sans relâche aux nouvelles méthodes d'attaques imaginées par les pirates, en développant notamment des techniques de protection inédites. Et il doit aussi, en même temps, lutter contre la concurrence en offrant à ses utilisateurs de nouvelles fonctionnalités toujours plus complètes.
Mais il doit surtout offrir toutes ces nouveautés en limitant au maximum sa propre surface d'attaque. qui augmente pourtant avec chaque fonctionnalité ajoutée ! Cela relève presque du cercle vicieux. En fait, l'antivirus est un acrobate en recherche permanente du bon équilibre entre ajouts de fonctionnalités innovantes et sécurité.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Donc, si un utilisateur estime que son antivirus n'innove pas assez vite, c'est peut-être que telle ou telle fonctionnalité en apparence très utile présentait en réalité un risque trop important pour la sécurité de l'ensemble. Ou alors que l'essentiel de ses innovations n'est pas visible à l'oeil nu, car surtout tourné vers sa propre protection !
Il bénéficie d'une confiance très importante de la part de l'utilisateur et jouit d'autorisations très larges sur le système. Il a notamment accès à tous les fichiers et à toutes les ressources du système et peut de ce fait accéder à de nombreuses informations très sensibles.
Certains lui reprochent même parfois d'être trop intrusif ! Il est donc important de comprendre que la première mission de l'antivirus est de se protéger lui-même contre les attaques et que si l'innovation des éditeurs est de moins en moins visible, ce n'est pas parce qu'il n'y en a pas.
Au contraire, l'antivirus innove sans relâche, car il est tourné vers l'intérieur pour assurer la sécurité de l'outil face à des attaques de plus en plus perfectionnées.
Et de telles attaques ciblées contre l'antivirus ne relèvent pas du scénario de fiction.
En octobre 2017, le Wall Street Journal rapportait que des pirates avaient attaqué un éditeur d'antivirus sud-coréen afin de piéger ses produits et avoir ainsi accès à un réseau militaire sud-coréen.
Avant cela, début mars 2017, une fuite de documents provenant de la CIA montrait que l'agence de renseignement américaine menait un effort soutenu pour découvrir des vulnérabilités exploitables au sein des principaux antivirus du marché.
Enfin, toujours en mars 2017, des chercheurs en sécurité publiaient leur rapport sur l'attaque « DoubleAgent », destinée à transformer de nombreux antivirus du marché en logiciels espions au service de l'attaquant. 14 antivirus bien connus étaient vulnérables à cette attaque particulière.
Voici donc ce qui se joue sous le capot de l'antivirus de monsieur tout-le-monde, des attaquants confirmés, motivés et pleins de ressources sont à l'affût de la moindre vulnérabilité afin de le détourner de sa mission et le pervertir pour en faire un logiciel espion ou tout simplement le neutraliser. Et chaque nouvelle version est examinée à la loupe afin d'en découvrir les éventuelles nouvelles vulnérabilités et surtout de tester ses malwares.
Cela exige de la part des bons éditeurs d'antivirus, conscients de ces menaces peu connues du grand public, d'avancer à pas mesurés. Chaque innovation doit être pesée à l'aune du risque qu'elle peut faire courir à l'antivirus, et des portes qu'elles pourraient ouvrir de manière involontaire.
En définitive beaucoup de créativité et d'expertise doivent être consacrées pour trouver les bonnes parades contre de tels attaquants sophistiqués, pour que l'antivirus non seulement soit toujours performant dans la détection des nouvelles menaces, léger pour le système et ne se retourne pas contre son propriétaire.
Ce travail de pointe ne se voit malheureusement pas toujours au premier regard, et les éditeurs qui le mènent consciencieusement ne peuvent pas toujours communiquer sur les innovations dans ce domaine, ce qui peut parfois donner le sentiment que les antivirus n'innovent plus ou pire encore qu'ils sont dépassés !
Ce n'est pas le cas et l'antivirus joue encore un rôle crucial dans la protection numérique des utilisateurs, particuliers et professionnels.
Boris Sharov, PDG - Doctor Web.
Sur le même thème
Voir tous les articles Open source