Antivirus et analyse comportementale

Le par  |  7 commentaire(s) Source : Par Aurélien Cabezon pour Vulnerabilite.com

Face à la multiplication vertigineuse des codes malicieux et aux limites des technologies antivirales basées sur le « pattern matching », les éditeurs de solutions se tournent désormais vers des solutions qui ne faisaient pas l’unanimité il y a encore quelques années.

Face à la multiplication vertigineuse des codes malicieux et aux limites des technologies antivirales basées sur le « pattern matching », les éditeurs de solutions se tournent désormais vers des solutions qui ne faisaient pas l’unanimité il y a encore quelques années. L’une d’elles, l’analyse comportementale, représente un véritable défi technique que la société Internet Security Systems (ISS) a décidé de relever.


Le « pattern matching » consiste à repérer au sein des fichiers (binaires, scripts…) des morceaux de code révélateurs de la présence d’un virus. Ces fragments de codes sont communément appelés « signatures ». Plus il existe de virus, plus la taille de la base de signatures est importante. Par conséquent, à court ou moyen terme, les performances du logiciel antivirus vont être impactées. De plus, le « pattern matching » éprouve beaucoup de difficultés à détecter les virus pour lesquels il ne dispose pas de signature. Voilà pourquoi cette technologie de trouve ses limites dans ses propres fondements. L’analyse antivirus comportementale pourrait permettre de soulager les antivirus traditionnels. Peu d’entreprises se risquent encore à mettre en œuvre cette technologie qui peut engendrer bien des effets de bord tels que les « faux positifs » trop nombreux et les temps de latences insurmontables…

La société américaine Internet Security Systems ( ISS ) a fait de cette technologie son cheval de bataille pour les années à venir considérant que l’analyse comportementale effective représente une solution radicale face aux nouvelles menaces informatiques. Ainsi ISS souhaite protéger les systèmes des virus informatiques avant même qu’ils n’atteignent le système d’exploitation.

Baptisée « VPS », la technologie d’ISS consiste dans un premier temps à piéger le code malveillant dans un environnement virtuel où il peut s'exécuter sans causer de dommages aux ressources réelles. Dans un second temps, VPS analyse en profondeur le code malveillant. La technologie VPS dispose d'une base de données de scénarios d'attaques (il n'en existe pas plus de 600) à laquelle elle peut comparer le code malveillant qui est en train de s'exécuter. Cela permet de créer une signature dynamique du code. La seconde fois que le code malveillant ou l'une de ses variantes se présentera, l’empreinte MD5 de ses caractéristiques sera comparée à celles des codes malicieux précédemment découverts. Si le code est détecté comme dangereux, il sera éliminé d'office sans que VPS ait à répéter l’analyse.

Vous avez dit « Sand Box » ' Ne vous y trompez pas. Ce procédé qui peut s’apparenter à la technique du « bac à sable » (Sand Box) n’est en rien comparable à la technologie d’ISS. VPS diffère en effet dans la façon de traiter les informations recueillies. La « sandbox » fournit en général un fichier de logs que l'expert en sécurité devra analyser manuellement. À la différence du « Sand Box », qui est avant toute chose un piège passif, la technologie d'ISS est capable d'apprendre de manière autonome.

« Cette technologie est révolutionnaire. De nos jours, la technologie la plus commune se base sur le « pattern matching ». Il n’est pas rare également de rencontrer des IPS exploitant le « sandboxing ». Cependant, les utilisateurs de ces deux technologies ne sont pas à l’abri d’éventuels dommages (virus, piratage…). La première technologie étant purement réactive, elle arrive toujours trop tard. Quant à la seconde, elle permet au virus d’être actif dans l’environnement de l’utilisateur… Par soucis de réelle prévention, VPS crée un système d’exploitation virtuel dans lequel le virus ne pourra en aucun cas causer de dommages et protègera totalement l’utilisateur. » dixit Jean-Paul Ballerini.


Bien que cette solution ne nécessite pas de mise à jour, elle permettrait de détecter et contrer plus de 90% des nouveaux virus et nouvelles menaces qui foisonnent sur la toile.


« Après une année de sa mise en fonction dans une ambiance de test, la technologie VPS sans mise à jour est toujours capable de détecter et contrer plus de 90% des nouveaux virus et nouvelles menaces qui foisonnent sur la toile, contre le 30%-40% des technologies traditionnelles. » ajoute Jean-Paul Ballerini.


ISS décline sa technologie « VPS » sur plusieurs niveaux. Afin de protéger les postes de travail, la solution « Proventia Desktop » en est équipée. Prochainement, « VPS » sera intégré aux appliances « Proventia M » pour la protection au niveau réseau.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #71533
nod32 fait ça depuis longtemps et est consideré comme ayant un des moteurs heuristique le plus performant , en plus des signatures virales <img src="/img/emo/cool.gif" alt="8:" />
Le #71535
N'est-ce pas non plus la technique de Viguard '' (quelquefois pas mal décriée)
Le #71540
non viguard ne fonctionne pas de la meme maniere , il fait une analyse du comportement du programme et non 1 analyse sur l apparence du code
Le #71542
Et au résultat final, ça donne quoi '
(je ne suis pas un pro en la matière )
En bref, qui est le meilleur '
Le #71543
l heuristique bien sur , si un virus est present avant l install de viguard par exemple celui ci ne verra rien du tous
Le #71550
Ok, merci loki !
Le #71552
ouai mais leur truc sa marche pas contre l'installation de windows
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]