Limites et défis des antivirus

1 - Définitions

L’antivirus est un logiciel capable de détecter et de supprimer des virus informatiques présents dans différents types de stockage. L’efficacité de celui-ci est étroitement liée à des mises à jour fréquentes durant lesquelles sont introduites les nouvelles formes de virus. Un virus est un programme malveillant capable d’infecter des fichiers en entraînant éventuellement un dysfonctionnement de différentes formes comme un redémarrage machine, des suppressions de fichiers,… Le « faux positif » est le blocage de fichier légitime par l’antivirus suite à un filtrage trop sévère Le « faux négatif » est la non-détection de virus réel par l’antivirus suite à un filtrage insuffisant.

 

2 - Fonctionnement des antivirus

La plupart des antivirus fonctionnent selon trois modes :

• En mode statique : L’utilisateur active l’antivirus à la demande.
• En mode dynamique : L’antivirus tourne de manière continuelle en analysant tous les événements et actions de la machine
• En mode planifié : l’antivirus se lance selon une planification établie par l’utilisateur ou l’administrateur

 Les antivirus peuvent effectuer deux types d’analyse :

• Analyse de contenu du fichier
  • Par analogie : ainsi l’antivirus reconnait un virus déjà connu à partir d’une base de signature contenant les empreintes des codes malveillants. Cependant, l’antivirus n’arrive pas toujours à détecter les mutations des virus. Le maintien à jour de la base de signatures virales est le principal inconvénient de ce mode.
  • Par analyse spectrale : L’antivirus recherche à partir d’une liste d’instructions d’un programme des caractéristiques de virus ou de vers. L’inconvénient de cette technique est qu’elle génère plus de fausses alertes. L’avantage est qu’elle peut détecter des nouveaux virus même s’ils mettent en œuvre des techniques de polymorphisme.
  • Par heuristique : Cette technique a pour principe de reconnaitre des comportements ou des actions identifiées comme malveillantes ou comme une tentative d’abus du système, tout ceci à partir de signatures de code. Le principal inconvénient de cette technique est que l’antivirus se trouve vite limité en face de techniques d’exploitations novatrices.

• Analyse dynamique : L’antivirus analyse les comportements et les actions suspectes ou anormales d’un fichier lors de son exécution ou de son utilisation. Ainsi certains virus inconnus peuvent être découverts si ces derniers utilisent des techniques déjà connues. En mode dynamique, des ralentissements peuvent être constatés et les fausses alertes peuvent être nombreuses.

 Pour analyser des données ou des fichiers, les antivirus doivent résoudre différents problèmes.

 

3 - Les antivirus ont des défis à résoudre

Les bogues

Les antivirus sont des logiciels à part entière et à ce titre ne sont pas exempts de bogues. Ainsi, la complexité de détection des virus peut amener deux principaux types d’erreurs :

• La sur-détection de virus, autrement dit le « faux positif », est un bogue pouvant entraîner des dysfonctionnements du SI. La récente déconvenue de McAfee en est un bon exemple. Ainsi la mise à jour DAT de McAfee pouvait provoquer la mise en quarantaine du fichier système « svchost.exe » détecté comme virus "W32.wecorl.a", entraînant le blocage de milliers d’ordinateurs.

• La non-détection de virus, autrement dit le « faux négatif », est un bogue pouvant entraîner des dysfonctionnements dans la sécurité du SI.

Des formats multiples

L’antivirus doit traiter de multiples formats et types de fichier tels que les exécutables (EXE, DLL, SYS,…), des documents (DOC, XLS, PPT,…), des archives compressés (ZIP, RAR, TGZ,…) des paquets exécutables (UPX, FSG,…) et des fichiers média (JPG, GIF, AVI,…). Chacun de ces formats peut être quelque peu complexe, d’où la difficulté des antivirus de traiter tous ces formats d’une manière appropriée. 

La décompression

La plupart des vulnérabilités des antivirus sont présentes dans deux composants :

• Décompression d’exécutable
• Décompression de données

Ainsi les antivirus doivent décompresser les exécutables et les données afin de les analyser. Le problème avec la décompression des exécutables et des données est que le traitement est complexe, ce qui peut être source de vulnérabilités.

La rapidité de mutation des virus

Les codes malveillants mutent d’une manière très rapide, laissant peu de chance aux anti-virus de s’adapter, même pour les codes non obfusqués. Les antivirus utilisent généralement la recherche de signatures afin d’identifier un code malveillant. Cependant, la détection à base de signature ne permet pas d’assurer une protection contre une attaque ciblée faisant intervenir un code développé sur mesure et non encore présent dans la base de signature de virus (puisque le virus n’a pas été largement diffusé et donc identifié par les éditeurs d’antivirus).

Les antivirus, avec leurs faiblesses connues, sont la cible de nombreuses attaques.

 

4 - Les antivirus sont une cible d’attaque

Les privilèges systèmes requis par les programmes antivirus, en font des cibles d’attaque privilégiées. De la même façon, les différents composants de l’antivirus (moteur d’analyse, module de décompression, etc.) peuvent être vulnérables et exploités par des attaquants.

Cependant ce type d’attaque nécessite une bonne connaissance système, et une bonne connaissance du fonctionnement des logiciels antivirus. Tous ne sont pas sujets au même type de vulnérabilités. Il en existe de nombreuses :

• neutralisation de l’antivirus (arrêt du logiciel, ou blocage des traitements),
• contournement de l’antivirus via des « rootkits » (ex. technique de contournement décrite par MATOUSEC).
• exploitation d’une moteur d’analyse (ex. récente vulnérabilité de l’antivirus SOPHOS),
• exploitation des modules de décompression (ex. vulnérabilité dans Symantec concernant le traitement des archives RAR et CAB,  vulnérabilités concernant les fichiers ZIP et RAR dans les anti-virus de F-Secure).

 

5- Conclusion

L’antivirus reste une protection indispensable dans un système d’information. Cependant elle n’est ni suffisante, ni infaillible. Le récent challenge (iAWACS) du laboratoire de l’ESIA, a montré l’existence de nombreuses vulnérabilités en utilisant des techniques agressives contre les produits antivirus du marché. L’évolution des technologies de l’information, le niveau de compétence et de connaissance partagés par les attaquants, montrent qu’il est fondamental d’être conscient de leurs limites et que la sécurité ne peut pas reposer sur eux seuls.

Dans le cadre de la lutte antivirus dans un contexte industriel, l’entreprise doit assurer le respect de bonnes pratiques, indispensables pour maintenir un niveau de sécurité satisfaisant du système d’information. Les mises à jour régulières de l’antivirus, des bases de signatures, du moteur d’analyse sont un préalable. Accompagner si possible d’un cycle de qualification simple et efficace, elles permettraient d’éviter les récents déboires connus avec la mise à jour de McAfee qui a bloqué plusieurs milliers de postes utilisateurs.

Cependant, une solution antivirus ne peut assurer seule la sécurité de l’ensemble du système d’information, des mesures techniques et humaines doivent également l’accompagner.