Anti-virus : Panda Software explore l’analyse comportementale

Sasser, Netsky, Blaster, Slammer… autant de virus qui se sont distingués par leur vitesse de propagation impressionnante. Une efficacité de contamination résultant d’une combinaison entre les méthodes d’intrusion en réseau, indépendantes de toute intervention humaine, et l’exploitation des failles de Windows. Aussi efficaces ont-elles été, ces méthodes de contamination devraient connaître un avenir de plus en plus restreint.

C’est du moins l’objectif visé par les éditeurs d’antivirus dont la stratégie de défense évolue pour s’adapter aux nouvelles formes d’attaques virales. « Le raccourcissement des cycles d’infection oblige les éditeurs à évoluer », explique Emmanuel Tonnelier, directeur du développement chez Panda Software France, « la technologie qui repose sur la signature virale atteint ses limites. » Des limites humaines plus que techniques. La détection et l’éradication d’un virus repose sur l’analyse de son fonctionnement (le reverse engineering) et le développement d’un antidote qui impose quelques heures de travail. Autant d’heures nécessaires à la mise à jour de l’antivirus que le code malicieux met à profit pour se propager.

La technologie basée sur l’analyse comportementale apparaît de plus en plus comme une parade possible à ce type de propagation virale. Le principe est simple : l’application de sécurité analyse le comportement spécifique de chaque programme et/ou fichier en cours d’exécution et bloque son action en cas de dépassement d’un certain niveau de sécurité fixé, éventuellement, par l’utilisateur. Autrement dit, en bloquant de manière préventive les fichiers suspects, le système se veut proactif et non réactif comme le sont les antivirus traditionnels. Comme dit le proverbe, mieux vaut prévenir que guérir. Un principe adopté depuis plus de 10 ans par le français Tegam avec son logiciel Viguard (voir édition du 19 avril 2004). Microsoft a déjà évoqué un module d’analyse comportementale dans son projet d’antivirus maison. McAfee devrait également proposer très prochainement un produit similaire. Et Panda Software s’apprête à lancer TruPrevent en version française (les versions anglaises et espagnoles sont déjà disponibles).

Dans l’absolu, cela devrait suffire

TruPrevent a nécessité deux ans de développement. Il s’installe comme un module indépendant de l’antivirus même si l’éditeur le commercialisera notamment en accompagnement de ses solutions de sécurité. Du coup, il fonctionne avec les antivirus concurrents et, plus simplement, sans antivirus. « L’antivirus classique conserve ses potentialités car il a prouvé son efficacité à partir d’une base de plus de 80 000 signatures virales », estime Emmanuel Tonnelier qui place donc TruPrevent en complément des produits traditionnels. Il reconnaît cependant que, associé à un bon firewall, TruPrevent peut se passer d’antivirus. « Dans l’absolu, cela devrait suffire mais en réalité, notamment avec les PC familiaux utilisés par plusieurs personnes, le risque d’infection reste une éventualité non négligeable. » Dans les faits, face à une attaque système, TruPrevent met en quarantaine le fichier suspect et l’envoie au laboratoire de Panda Software qui s’engage à développer une parade, si besoin, dans les 24 heures. Une remontée des tentatives d’attaques virales partagée par tous les éditeurs d’antivirus et qui bénéficie, à sa manière, aux utilisateurs.