David Dallet’s weblog

Cet article a pour objet d’expliquer en des termes simples qu’une politique de sécurité basée uniquement sur un antivirus (”conventionnel”) tenu à jour est une politique de sécurité défaillante.

Cet article est surtout destiné à ceux qui en sont réduit à utiliser Microsoft Windows (toutes versions: 95, 98, Millenium, 2000, XP, Vista, Seven…).

Quelle est l’approche d’un antivirus “conventionnel”?

(Image par Chris Dewey, sous licence Creative Commons CC-BY-ND 2.0)

Un antivirus conventionnel est globalement un programme qui inspecte le contenu des fichiers ouverts et qui compare le contenu du fichier à une liste (restreinte) de menaces connues.

Pour prendre une image simple, avoir une politique de sécurité basée uniquement sur un tel antivirus, c’est un peu comme laisser grande ouverte la porte de chez soi, embaucher un vigile musclé et lui demander d’appliquer bêtement la consigne suivante :

“Tu laisses rentrer tout le monde sauf ceux qui sont sur tes fiches, et une fois que les gens sont rentrés tu ne fais rien.”

Ah, et en plus pour avoir une image correcte, il faudrait afficher à l’entrée de la maison en gros : “Le vigile ne surveille pas l’intérieur et laissera rentrer tout le monde, sauf ceux sur ses fiches”.

Vous doutez de la pertinence de la comparaison, vous pensez que certains éléments différent largement? Allons donc un peu plus loin dans le détail…

Pour commencer, un employé de la sécurité ne pourrait mémoriser des milliers de têtes, ni demander à tout le monde de patienter le temps qu’il regarde sur une liste comportant un millier de photographie. Un antivirus peut au contraire comparer à bien plus de menaces connues…

Seulement :

1. des virus inconnus par des éditeurs d’antivirus, il y en a pleins…
2. il est très facile de transformer un virus connu en un virus inconnu (ça peut même être prévu pour être effectué sans intervention humaine, et la mutation peut se faire à une vitesse énormément supérieure à celle des virus biologiques)
3. pour que le ralentissement causé soit “acceptable”, les bases de virus utilisées sont volontairement très restreintes

Bref dans les deux cas, celui de l’antivirus comme celui de la comparaison imagée, ça ne va pas du tout…

Et les antivirus non conventionnels?

Les antivirus que je qualifierais de non conventionnels sont ceux qui surveillent le comportement des programmes, en utilisant une approche dite heuristique ou comportementale.

Et de ce côté là, la plupart du temps la technique est loin d’être suffisamment aboutie pour apporter une protection suffisante.

Par contre, pour maintenir leur ventes et vous faire croire à une protection efficace, certains éditeurs d’antivirus sont prêt à aller loin, même vraiment très loin. Certains pourront penser par exemple au cas de l’affaire Guillermito, dans laquelle pas mal de moyens ont été employés pour faire taire quelqu’un qui souhaiter montrer les grosses lacunes d’un antivirus soit-disant innovant (le gars s’est notamment pris un procès pour contrefaçon, il a subi des lettres l’accusant d’être un terroriste international, etc.).

En cas de dégâts, il faut d’abord les observer…

Maintenant qu’en est-il pour les dégâts? Nombreux sont ceux qui se disent “ba de toute façon si mon PC est infecté au pire je réinstalle Windows”.

Bien, ce moyen de raisonnement a une faille grossière : en plus de pouvoir réparer (ce qui implique d’avoir de bonnes sauvegardes ou de ne rien produire) il vous faut détecter qu’il y a eu des dégâts.

Dans la vraie vie, même si vous laissez votre porte grande ouverte et qu’il n’y a personne pour surveiller, il est peu probable que votre maison soit transformée en base de lancement de missiles ou que quelqu’un y place des micros.

En revanche, dans le cas de logiciels, votre PC peut être transformé sans que vous le sachiez en “machine zombie” envoyant entre autres des spams publicitaires au profit de vendeurs de contrefaçon de médicaments (et au final, ça peut faire des vrais morts).

Parfois aussi, les machines infestées se contentent de devenir une menace discrète pour leur propriétaire, en transmettant à son insu des données personnelles. Les formes de la menace et les buts peuvent être multiples et variés, mais les identifiants de comptes et les numéros de carte bancaires sont des données qui intéressent grandement certains cyber-délinquants…

Bref ne croyez pas qu’un virus est systématiquement un programme qui va vous écrire “haha c’est méchant virus, ton PC ne marche plus et tu dois tout réinstaller”.

Conclusion

Avoir une machine sécurisée devient de plus en plus une nécessité (souvent ignorée) pour un individu lambda.

Face aux menaces, les antivirus sont loin de constituer une solution satisfaisante (même tenus à jour ils ne protègent pas de tout), et ils créent souvent pas mal de problèmes annexes (ils ralentissent souvent le système de façon considérable).

Sur la plupart des machines Windows, vous pouvez y ajouter pare-feu, anti-spyware et autres “outils de sécurité”, mais cela risque tout au plus de rendre la situation moins mauvaise. Je ne dis pas qu’il ne faut pas le faire, au contraire, mais le fait est que ça ne suffit pas.

Pour résumer clairement mon point de vue, sécuriser une machine c’est avant tout se reposer sur des bases solides (autrement dit de préférence un autre système d’exploitation que Microsoft Windows) ainsi que garantir un minimum de connaissance et de conscience chez les utilisateurs.

Je reviendrais prochainement sur le sujet, en indiquant à quel point le geste anodin de branchement d’une clé USB peut déboucher sur des conséquences sans que l’utilisateur en ait conscience.