Sécurité - Les idées reçues dans les comparatifs

Falkra - libellules.ch, tous droits réservés.

 

 

 Dans la série des idées reçues en sécurité, les comparatifs et les comparaisons dans le domaine de la sécurité logicielle. On prend parfois les comparatifs et certains résultats d'analyse pour ce qu'ils ne sont pas et ne prétendent pas être en matière d'antivirus. Les choses hélas sont bien compliquées…  comparer, même des fichiers est difficile, c'est donc l'occasion d'approfondir ce que le premier dossier avait entamé.

 

comparatif antivirus

 

La première partie aborde les comparaisons de fichiers et la seconde les comparatifs d'antivirus eux-mêmes.

 

L'analyse en ligne sur plusieurs moteurs : fichier sain ou infecté ?

 

 Commençons par le plus simple : les services d'analyse en ligne, comme VirusTotal, Jotti, Virscan et autres, qui proposent d'uploader un fichier sur leur serveur, et plusieurs dizaines d'antivirus avec des bases de données à jour le scannent. On vous propose un rapport des différents résultats de chaque antivirus afin de comparer.

 

Se baser seulement sur un rapport de ce type n'est pas fiable pour déterminer la reconnaissance ou non d'un malware par un antivirus. Lesdits services ne s'en cachent pas et l'affichent en toutes lettres, il n'y a pas de garantie sur la nocivité ou non d'un fichier, mais c'est une indication intéressante.

 

virustotal

 

Vous avez sans doute remarqué que dans ces services, le numéro de version des antivirus est affiché sur les pages de VirusTotal, mais curieusement ils ne correspondent pas aux versions que vous avez à la maison. Ce sont pourtant bien les versions mais des moteurs de scan. D'anciennes versions, en l'occurrence. Les éditeurs mettent souvent en place sur ces services d'anciennes versions de leurs antivirus, avec des bases de données récentes, mais beaucoup moins d'heuristique par exemple.

 

Cela permet pour ne pas communiquer directement à leurs concurrents les taux de détections de leurs produits, et l'état de leurs analyses et recherches.  Les taux de détections affichés sont donc faussés si on ne regarde que VirusTotal et les autres services pour comparer les détections.

 

Je l'ai constaté plusieurs fois, pour avoir passé bien du temps à envoyer des échantillons aux différents éditeurs pour améliorer les détections. Très souvent, un fichier affiché comme non-détecté sur VirusTotal est en réalité détectable depuis un moment.

Pourquoi ?

 

L'heuristique a son mot à dire. Pour reconnaître un fichier infectieux, il y a une multitude de critères ; on s'imagine souvent qu'un antivirus ne fait que passer en revue l'intégralité du contenu de chaque fichier à analyser, pour en lire le contenu en quête de code identifié comme suspect.

 

Il y a plusieurs façons d'arriver à une détection positive. Une base de signature contient des empreintes de fichiers et des portions de code identifiées comme plus petit dénominateur commun d'un fichier infectieux. Plus l'échantillon de code est petit, plus on a de chances, une fois reconnu, de détecter les variantes, qui possèderont aussi cette empreinte. Plus l'empreinte est grande, plus on risque de rater les nouvelles variantes.

 

Les bases de données des antivirus n'embarquent pas que ces empreintes, elles contiennent aussi des descriptifs de caractéristiques de fichiers (par exemple la taille, les propriétés, l'emplacement sur le disque dur, le nom, le packer utilisé pour compresser l'exécutable, l'empreinte du packer et les informations sur l'auteur (ce que l'on voit dans les propriétés du fichier, onglet détails, etc.).

 

comparatif antivirus

 

Quand l'antivirus reconnaît une portion de code clairement identifiée, la détection est optimale. L'heuristique fournit rapidement une solution non-optimale, mais permet de détecter les fichiers réellement infectieux. Plus il y a de critères de détections, meilleure est la base de données. Lorsqu'un antivirus change de version majeure, c'est souvent pour changer en profondeur le moteur de scan et la base de données.

 

Les résultats sont à interpréter.

 

Vous l'avez compris, un fichier détecté peut l'être parce qu'on l'a identifié, ou parce que ses caractéristiques sont reconnues par l'heuristique et le dernier moteur de scan, d'autres techniques sont utilisées, comme l'analyse comportementale. En consultant VirusTotal et les autres services proposant des moteurs de scan anciens, les résultats peuvent être faussés, et le paramétrage de l'antivirus n'est pas communiqué. Soit votre fichier est identifié de manière optimale, même par l'ancien moteur, soit il n'est pas marqué positif dans le rapport parce que seul le dernier moteur de scan peut l'identifier.

 

On utilise parfois ces services comme référence pour déterminer la capacité de réaction des équipes qui alimentent les bases de données d'un antivirus, ce n'est pourtant pas nécessairement et automatiquement représentatif de l'état actuel de la détection.

 

Effet pervers, si vous envoyez vous-même des fichiers aux éditeurs, et qu'ils produisent des détections optimales, sans heuristique, vous pourrez adapter votre produit aux comparatifs, et aux services comparatifs en ligne, et vous faire une bonne publicité. Ces services en ligne restent des outils précieux et très utiles, mais comme toute chose en sécurité, le résultat produit doit être interprété et ne pas faire l'objet d'une lecture aveugle mais confortable et rapide.

 

Seconde partie >>




1997- 2021 Editions Libellules - Tous droits réservés