Sécurité IT : Google ferme les vannes de VirusTotal
Pour exploiter la base de signatures de VirusTotal, les éditeurs antivirus doivent désormais y connecter leur moteur de détection. Pourquoi cette décision ?
Les règles du jeu ont changé sur VirusTotal.
Pour accéder à la base de signatures compilée par ce service en ligne de détection de malware, il faut désormais apporter sa pierre à l’édifice.
D’après Google, dont VirusTotal est filiale depuis 2012, il s’agit d’éviter les « abus ». En l’occurrence, ceux commis par des éditeurs antivirus qui se contentent de réutiliser les données produites par des concurrents sans y apporter de valeur ajoutée.
Dans une contribution blog, le groupe Internet de Mountain View résume : « VirusTotal est né il y a 12 ans comme un service collaboratif destiné à promouvoir l’échange d’informations pour renforcer la sécurité sur Internet. […] Pour que cet écosystème fonctionne, quiconque s’appuie sur le travail de la communauté doit rendre quelque chose en retour ».
En l’état actuel, une cinquantaine d’éditeurs antivirus sont affiliés à VirusTotal, dans lequel ils ont intégré leur technologie. Sur la liste figurent Symantec, Sophos, Intel, Microsoft, Kaspersky, Fortinet, BitDefender, Avira ou encore Trend Micro.
On partage…
Certains s’appuient sur le service sans pour autant y connecter leur moteur de détection. Parmi eux, Palo Alto Networks, qui assure à Reuters que le changement de politique n’aura « pas d’impact sur [ses] clients ».
Même discours chez Cylance, qui a décidé de ne pas partager sa technologie, estimant que ses produits « n’en [souffriraient] pas ». Au contraire, « cela stimulera l’innovation dans les entreprises qui s’appuient exclusivement sur VirusTotal », selon le directeur de la recherche Jon Miller… qui ne cite personne.
Raimund Genes, directeur technique de Trend Micro, s’inscrit dans la même veine : « Ce n’est pas l’esprit du service d’y accéder et d’en tirer un bénéfice sans s’investir en retour ».
… ou pas
Les experts en sécurité informatique craignent que ces restrictions fassent, tout du moins sur le court terme, le bonheur des hackers. Non seulement en réduisant les performances de certains services, mais aussi en compliquant la détection des faux positifs (menaces pressenties, mais qui n’en sont pas en réalité).
Ce débat anime depuis plusieurs années la communauté VirusTotal. Au moins un éditeur s’estimant floué se serait déjà fait justice en générant de fausses signatures.
Du côté des principaux concernés par la fermeture des vannes (que Google estime être « dans l’intérêt de tous »), on explique ne pas partager de technologies « pour d’évidentes raisons de concurrence ».
Basé, en complément aux moteurs antivirus, sur des dizaines d’analyseurs d’URL, de traducteurs et d’outils de caractérisation de fichiers, VirusTotal enregistre chaque jour plus d’un million de soumissions, selon les chiffres officiels.
Crédit photo : Gajus – Shutterstock.com