Ces mêmes experts en sécurité vous invitent à désinstaller le vôtre et à acquérir des technologies de nouvelle génération qui collecteront, analyseront et détecteront automatiquement les intentions d’attaques ou de corruption de données dès qu’elles naîtront dans l’esprit de personnes malintentionnées. Ces spécialistes maîtrisent parfois plus ou moins bien le sujet. La plupart des réponses à cette question ne sont bien entendu pas si négatives, exception faite des publicités classiques réalisées par certaines marques d’antivirus. Elles proviennent parfois de certains spécialistes de ce domaine qui tentent de donner leur avis… ou simplement de vendre leurs produits.
J’ai découvert il y a quelques semaines la nouvelle thèse de Lastline Labs : l’antivirus n’est pas mort, il ne peut simplement pas suivre le rythme d’apparition des virus. Cette entreprise considère que les antivirus sont impuissants face aux nouvelles menaces car elle aurait constaté, après avoir envoyé des échantillons au célèbre site Web VirusTotal, qu’aucun antivirus n’était capable de détecter un échantillon de type « zero-day », même après plusieurs jours. Cela n’a rien de surprenant, et ca n’étonnera pas non plus les personnes qui connaissent le fonctionnement de VirusTotal : ce service dispose d’un ensemble de moteurs antivirus basés sur les signatures auxquels sont envoyés les échantillons. Cette méthode fonctionne évidemment pour les virus connus mais elle ne peut convenir, par définition, aux menaces de type « zero day ».
Si vous modifiez une chaîne de caractères dans tout échantillon de malware connu, celui-ci ne sera plus reconnu (sa signature ne correspondra plus à celle répertoriée) et il ne sera pas identifié par les dizaines de moteurs. C’est précisément la raison pour laquelle tous les antivirus dignes de ce nom ne dépendent pas uniquement de moteurs fonctionnant avec des signatures. Ils sont complétés par de nombreuses autres technologies que certains essaient de « vendre » avec un nouvel emballage : de l’analyse comportementale, des outils de reconnaissance ou des techniques heuristiques, à la détection de pointe des menaces, en passant par l’intelligence collective (dans le cloud ou non), le profilage de malwares, les listes blanches, la threat intelligence (renseignements sur les menaces) ou la threat correlation. Nous ne pouvons nous exprimer au nom des autres mais chez Bitdefender nous utilisons au moins 5-6 autres protections « de pointe » ou « de nouvelle génération », ce qui explique en partie que nous obtenions de bons résultats lors de tests objectifs.
Cette information m’aura au moins permis de m’intéresser à la technologie de protection avancée de Lastline contre les menaces, le sandboxing, qui effectue les actions suivantes : elle recueille un échantillon auprès de ses utilisateurs, le fait « exploser » dans une sandbox (généralement une machine virtuelle) et l’observe pendant quelques minutes avant de poser un diagnostic et d’actualiser les informations sur le fichier/processus dans son cloud. Je suppose qu’on ne devrait cependant pas parler ici de signatures.
Mais il est sans doute plus inquiétant que ce type d’affirmation émane également de personnes représentant de célèbres éditeurs, comme le Vice-Président de Symantec (pour plus d’informations, veuillez cliquer ici). Cela a certes fait les gros titres mais ceux qui ont réellement lu l’article ont compris qu’il ne s’agissait que de « techniques de ninja » appliquées au marketing afin de promouvoir une nouvelle gamme de produits et qu’il n’était bien entendu pas question pour Symantec de fermer sa division Antivirus.
En résumé, nous sommes confrontés à des réalités incontestables :
1. Identifiez les causes profondes, notamment :
2. Identifiez les données qui sont réellement importantes à vos yeux (les vôtres, celles de vos clients et de vos partenaires) et définissez qui a le droit d’y accéder.
Essayez de considérer ces informations importantes du point de vue des risques : que se passera-t-il si ces données sont modifiées, divulguées ou ne sont pas accessibles ? Une fois que vous avez déterminé ce qui est le plus important :
Et si en fin de compte vous faites encore confiance aux experts et décidez que vous pouvez DÉSACTIVER VOTRE ANVIVIRUS, attendez-vous à devoir le RÉACTIVER très vite.
Pour découvrir ce que les entreprises font réellement, consultez nos livres blancs.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024