Antivirus et analyses alternatives.

Traditionnellement, l’analyse antivirus s’effectue en comparant un programme potentiellement hostile avec une liste de signatures caractéristiques de programmes malveillants. Le problème est que le système est toujours en retard d’une étape par rapport aux virus, trojans et autres programmes hostiles. Après une revue de ce problème, nous présentons quelques techniques alternatives.

Les virus et autres attaques malveillantes représentent une menace constante sur les infrastructures des entreprises, et par delà posent un réel problème sur leurs activités mêmes au fur et à mesure qu’un grand nombre de process migrent vers le virtuel. Les nouveaux codes malicieux qui se créent tous les jours se basent, presque tous, non pas sur leur qualités particulières, mais sur un comportement du système attaqué, comportement non prévu par le créateur originel du programme.

Il est en effet extrêmement difficile pour les développeurs d’une application un tant soit peu importante de prévoir comment tous les composants du programme vont réagir dans toutes les éventualités imaginables. Ecrire un code est une tâche relativement aisée. Comprendre en détail tous les comportements du code dans toutes les situations s’avère par contre une opération extrêmement coûteuse en temps, en capital humain et en argent, et la complexité est d’autant plus importante lorsqu’un grand nombre de développeurs a participé au projet, rendant son appréhension plus difficile. Ajoutons à cela le fait que des programmeurs peuvent malencontreusement modifier le programme et créer de nouveaux comportements, et on se retrouve devant une tâche insurmontable : créer une application infaillible est quasi-impossible et on en est réduit à courir après la catastrophe à coups de patches.

Dans un environnement personnel, le recours aux mises à jours et l’utilisation d’antivirus qui utilisent une base de signatures de virus suffit le plus souvent à pallier à ce problème. Dans un environnement professionnel régi par des contraintes extrêmement tendues, une troisième voie doit être ajoutée dans la prise en charge des attaques malveillantes : l’analyse antivirus heuristique. L’analyse heuristique se base sur des fonctions d’extractions qui considèrent les applications comme un agrégat de fonctions et de relations mathématiques, ce qui permet d’effectuer l’opération sans prise en compte de la nature intrinsèque du programme.

Les techniques antivirus heuristiques actuelles recourent à plusieurs approches face aux codes potentiellement malicieux:
– l’analyse du code binaire : le langage machine est décompilé à la volée par l’antivirus en un langage de plus haut niveau et ensuite analysé.
– la surveillance de l’exécution du programme (Runtime Execution Monitoring) : en cas d’anomalies, le programme est alors neutralisé. Le principal inconvénient est que l’anomalie n’est détectée par l’antivirus que lorsqu’elle est exécutée. Un mail qui contient un virus en pièce jointe ne sera alors jamais neutralisé puisque par défaut la charge nuisible n’est pas encore exécutée.
– la vérification de l’intégrité : l’antivirus vérifie qu’aussi bien le programme cible potentielle de l’attaque que le programme éventuellement hostile sont intacts. Dès que l’un de ces deux programmes ne correspond plus à sa signature originelle, le processus est arrêté. Au lieu de partir d’une base de signature de virus qui sera toujours en retard, on part sur une base de signature de code en nombre limité, stable et toujours pertinent. Le problème est qu’un antivirus recourant à la vérification de l’intégrité ne détecte pas l’utilisation nuisible mais imprévue des fonctionnalités légitimes du code. On peut alors se retrouver au mieux à endiguer un problème dont on ne peut empêcher l’apparition.