Le contournement des antivirus, c'est un, sinon le, sujet tarte à la crème de la sécurité informatique. Car on sait que les antivirus peuvent être contournés. C'est un fait, c'est comme ça, et il faut apprendre à vivre avec. Et le seul bémol qui pourrait être mis à cette affirmation ne le serait pas du fait que certains outils soient meilleurs que d'autres, bien que ce soit vrai, mais parce que certaines techniques d'exploitation sont plus mauvaises que d'autres quant il s'agit de se passer en dessous du radar.

Car le principal défaut des antivirus est qu'ils fonctionnent par analogie avec ce qu'on connaît. C'est évident pour les bases de signatures qui répertorient des empreintes de codes malveillants connus, mais c'est aussi vrai pour les analyses par heuristique ou par exécution en environnement restreint. En effet, ces dernières techniques, si elles ne reposent pas sur des signatures de code, fonctionnent tout même par la reconnaissance de comportements ou d'actions connues pour être malveillantes, ou semblent indiquer d'une tentative d'abus du système. Dès lors, il est évident que les nouveautés tout justes sorties du four qu'elles en sont encore chaudes ont de grandes chances de passer inaperçues.

Bref, parce qu'ils reposent sur des techniques d'identification de ce qui est mauvais, ils sont limités et ne peuvent détecter, par exemple, des techniques d'exploitation novatrices. C'est d'ailleurs la ligne de défense des éditeurs, qui en profitent pour contre-attaquer en balaçant le vieil argument éculé de l'irresponsabilité de ceux qui se prennent à publier une technique de contournement.


Cependant, même considérant cette limitation de principe, les antivirus sont pour autant loin d'être inutiles, en ce qu'ils devraient au moins nous débarrasser de toutes les saloperies qui tournent à n'en plus finir chez les diffuseurs de malwares. Sauf que déjà en 2007, le magazine allemand c't publiait une étude montrant une baisse sérieuse de la capacité des antivirus du marché à détecter des codes nouveaux et des mutations de codes connus. Bref, que les moteurs heuristiques vantés à grand renfort de publicité avaient du plomb dans l'aile.

En outre, l'expérience montre qu'avec l'explosion de la vitesse de mutation des codes malveillants, les éditeurs d'antivirus ont de plus en plus de mal à suivre la cadence, même face à des codes datant d'une semaine ou deux et pas forcément obfusqués. D'autant qu'ils se trouvent dans une position bien inconfortable pour un défenseur : être face à un attaquant qui a la connaissance parfaite de la performance de vos moyens de défense. En effet, il suffit à ce dernier d'évaluer son code contre une batterie d'antivirus à jour et de le modifier jusqu'à ce qu'il passe à travers les mailles du filet avant de la lâcher dans la nature.

Bref, une situation pas glop qui devrait pousser à une humilité qui fait manifestement défaut dans le discours commercial des éditeurs d'antivirus qui n'hésitent pas à nous vendre de la protection 100% contre toutes les saloperies connues ou non. Il ne faut donc pas s'étonner qu'en tendant ainsi le bâton, les retours de manivelles soient sévères. Et ce n'est pas en créant des groupes d'évaluation indépendants fantoches qu'ils parviendront à retrouver un peu de crédibilité s'ils persistent dans cette voie.

Une humilité qui devrait d'ailleurs se trouver accentuée par cette fâcheuse manie qu'ont ces logiciels à générer des conflits sur les systèmes sur lesquels ils sont déployés. Quand ils ne se prennent pas l'envie de vous planter les trois quarts de votre parc bureautique... Et quand on voit qu'en plus, on paie pour ça, je comprends que certains soient un peu amers...


Donc, et bien que la messe soit dite depuis des années, il me semble que des piqûres de rappel régulières ne soient pas de trop pour remettre quelques pendules à l'heure. Cependant, il ne faudrait pas non plus tomber dans la facilité. Autant j'apprécie les travaux de gens comme Thierry Zoller ou Sergio Alvarez qui démontrent que les antivirus peinent à fournir ce qu'on est en droit d'attendre d'eux, autant je suis plus perplexe devant la publication de Matousec qui se résume à avancer des résultats sans les démontrer. Sans parler qu'en plus, elle ne présente aucune nouveauté.

Il serait intéressant à mon sens de discuter les réponses qui sont faites par les éditeurs, et qui ressemblent singulièrement à celles fournies après le PWN2RM d'iAWACS 2009. À savoir que si ce genre de code peut faire ce qu'il a à faire, c'est que la machine est déjà infectée. Et que la suite ne serait plus de la responsabilité de l'antivirus, quand bien même aurait-il failli à sa mission de détection...