Et si les antivirus devenaient inutiles ?

Des chercheurs du centre de sécurité de l'Institut de technologie de Georgie ont analysé une nouvelle méthode de création de malwares qui pourrait rendre les détections automatisées de virus inopérantes.

Sur mesure, jamais deux fois pareil. C’est ce que pourraient être demain les virus informatiques qui se promèneront sur la Toile. Et le futur est déjà parmi nous, puisque Flashback, le cheval de Troie (trojan) qui a beaucoup fait parler de lui, en contaminant plusieurs centaines de milliers de Mac en avril dernier, en a été un des premiers exemples.

Polymorphisme avancé

Pour autant, cette première étape pourrait bien paver la voie à un véritable enfer pour les chercheurs en sécurité informatique. Selon Paul Royal et quelques autres chercheurs du centre de sécurité de l’Institut de technologie de Georgie, cette capacité à muter, ou tout au moins à s’adapter à chaque machine, pour être différent en fonction des ordinateurs contaminés. Et pourrait porter un sérieux coup aux systèmes d’analyse automatisée dans nos antivirus. Le polymorphisme dans ses plus beaux atours. C’est ce que laisse entendre un article publié dans la revue du MIT, qui résume rapidement les travaux que Paul Royal présentera lors de la conférence Black Hat de Las Vegas cette semaine.

Le système des DRM détourné

L’ironie, c'est que ces pirates informatiques, créateurs de virus, utilisent une technique de « licence », comme les systèmes de DRM destinés à empêcher la copie de contenus protégés. Faisant de chaque fichier signé sur une machine un élément unique, facilement traçable et repérable. A la différence que ce système de « licence » unique rend caduque les méthodes d’analyse basées sur des comparaisons à partir de ce qu’on appelle la signature, soit l’ensemble d’éléments communs à un virus ou à une famille de virus.

Or comment l’antivirus pourra-t-il être sûr d’avoir à faire à un virus si ce dernier est toujours légèrement différent ? Et si une partie des actions du virus est chiffrée ? C’est l’analyse automatisée qui devient ainsi quasiment caduque. Evidemment, les chercheurs de plusieurs éditeurs se penchent déjà sur la question et annoncent que la détection automatisée n’est pas impossible, mais rendue plus difficile. Ce que Paul Royal résume ainsi : « Malheureusement, cela fait partie de l’asymétrie de ce genre de sujets. Les attaquants ont très peu de travail à fournir pour rendre difficile le travail d’analyse des défenseurs. »

Des solutions à trouver

Et la difficulté pourrait être énorme car, pour réussir à contrecarrer ce genre de virus, les solutions pourraient devoir prendre des formes aussi extrêmes que la création d’une machine virtuelle, semblable à celle de l’utilisateur, pour recréer les conditions exactes de la contamination et, ainsi, identifier le malware. Mais en l’occurrence, les utilisateurs auront-ils envie que le contenu de leur PC puisse être ainsi potentiellement « répliqué » ?

Déjà les spécialistes s’inquiètent que la présentation des travaux de Paul Royal ne fasse qu’attirer l’attention des développeurs de virus et autres chevaux de Troie et ne leur facilite en définitive la tâche. « Cette présentation n’est pas une raison pour jeter ses outils d’analyse […] C’est supposé être un avertissement. Nous devons tous nous préparer », martèle le chercheur.

Je trouve ca assez marrant, le polymorphisme des virus informatique n'a rien de nouveau.

Il est d'ailleur assez marrant de voir la taille du manuel d'un antivirus celebre datant de 1996 qui expliquait d'ailleur tout ça. Actuellement, je ne suis pas sur qu'ils soient livré avec une documuentation aussi précise.

__________________
"Un probleme bien posé est a moitié résolu"

Faut aussi dire que les antivira actuels, gratuits ou payants n'ont qu'une fonction: empecher un virus de rentrer.
A la difference des Mc afee d'il y a 15 ans, TOUS les antivira sont totalement incapable de nettoyer un fichier. Tout fichier contaminé sera effacé sans pouvoir etre nettoyé.
C'est en cela que les editeurs d'antivira ont reussi un coup de poker magistral: vendre des produits de plus en plus daubesques et devenant de plus en plus inoperants pour un prix de plus en plus elevé...

Et voila on y vient, on introduit une grosse peur chez les gens en proposant des solutions "on the cloud" ou toute donnée personnelle sera stockee et utilisable voir monnayable par les entreprises chargees du stockage. Et la boucle est bouclee...
Et pour ceux qui refusent ces services, ca sera les premiers a etre victimes d'attaques de prétendus pirates... Car en fait, chaque editeur d'antivira possede une equipe de pirates chargé de disseminer de nouveaux vira pour faire vendre leur camelote... Et ensuite facile d'accuser des pirates.
En fait, les pirates ne sont pas interessés par les ordis publics et leur contenu (a part pour zombifier des machines et accroitre une puissance de feu), la cible des pirates, ce sont des institutions et entreprises.

C'était pas symantec qui s'était fait prendre la main dans le sac avec dans leurs base de donnée d'une définition pour un virus qui n'était pas encore sorti ?

__________________
"Un probleme bien posé est a moitié résolu"

euh je me souviens plus, mais de plus en plus de soupsons verifiés donc certains, prouvent que certains organismes officiels et non officiels utilisent des vira fabriqués par les equipes de developpeurs informatiques rattachés a des fabriquants d'antivira pour infecter sciemment certains organismes et entreprises a but malefique et pour ensuite recuperer des donnees ou les corrompre, voir introduire des donnees "illegales", ce qui serait impossible legalement et en tout cas fortement contestable....

Bonjour
Tu n'es quand même pas assés naif pour imaginer que Stuxnet a été créé par un jeune boutonneux devant son PC.
Gilles

bien sur que non... mais des preuves s'accumulent pour impliquer certains etats (dont la France, etat classé comme devenu foncierement anti democratique par plusieurs associations reputees, dont amnesty international.)
D'ailleurs la France a enormement oeuvré pour que l'UE accepte le traité ACTA apres un refus initial... Quand on sait ce qu'imlplique ACTA en terme de creation de moyens de surveillance a base de troyens et vira... Stuxnet est de l'eau benite comparé a ce qui nous attend...