Antivirus : une bataille perdue d’avance ?

Cloud

La fréquence des attaques infectieuses et la durée nécessaire au développement et à la diffusion des parades rendent les antivirus basés sur l’analyse des signatures virales de moins en moins efficaces.

Les antivirus traditionnels ont-ils un avenir ? On pourrait en douter à la lecture d’une étude réalisée par une équipe du laboratoire de recherche de Hewlett-Packard à Bristol (Grande-Bretagne) et rapportée par The New Scientist. Annoncée comme la première sur la question, cette étude conclut que les méthodes actuelles de lutte antivirale sont devenues obsolètes. Tout simplement parce que « les virus se répandent plus vite que les correctifs antiviraux », estime Matthew Williamson, chercheur chez HP, « le temps de mettre à jour l’antivirus, les dégâts sont déjà faits. »

Rappelons que les éditeurs d’antivirus se basent sur la signature du programme et l’analyse de son code pour trouver une parade avant de la distribuer aux clients – encore faut-il que ces derniers soient attentifs aux mises à jour. Une phase d’analyse et de développement qui laisserait le temps aux vers et autres attaques virales de se répandre avant de rencontrer une quelconque opposition. Autrement dit, face aux tout nouveaux virus, les systèmes informatiques dotés de solutions antivirales seraient aussi démunis que s’ils ne disposaient d’aucun système de protection. Et de citer l’exemple de Slammer qui, en janvier 2003, a infecté 78 000 machines en une demi-heure.

Les limites des bases antivirales

L’autre point discutable des technologies antivirales basées sur les signatures des agents infectieux tient dans la constitution de la base de données des signatures. Celle-ci grossit avec l’arrivée des nouveaux virus (lesquels sont de plus en plus nombreux selon Network Associates, voir édition du 31 mars 2003). L’analyse et la comparaison, notamment, de chaque pièces jointes des e-mails entrants avec la base antivirale sollicite de plus en plus de ressources système. Et il est impossible d’alléger cette base en supprimant les correctifs des virus les plus anciens sous peine de les voir réapparaître en force. Pour autant, « la méthodologie de la base antivirale ne doit pas être supprimée », estime le chercheur. Mais elle doit évoluer vers une méthode d’anticipation.

Ainsi, certaines applications antivirales s’appuient sur les comportements douteux du système, au risque de faire passer un logiciel classique pour un ver malicieux et de générer ainsi un sentiment de panique chez l’utilisateur peu au fait de cette méthode d’analyse. Malgré ces désagréments, c’est la stratégie choisie par Teagam avec son produit Viguard. Plutôt que de comparer les signatures des virus avec une base, Viguard surveille en permanence l’intégrité du système basé sur des règles de fonctionnement établies par défaut ou par l’administrateur (voir édition du 25 février 2003). Selon l’éditeur, Viguard aurait permis d’arrêter les récents virus. Une efficacité contestée par nombre de ses détracteurs qui reprochent notamment au logiciel de ne posséder aucune méthode de désinfection et de valider les virus présents avant l’installation sur le système. A priori, l’antivirus parfait n’est pas encore né.