Vidéo: LE Meilleur Antivirus 2020 ? Je Scanne 1200 VIRUS et Offre des Cadeaux! (Novembre 2024)
La conférence Black Hat a attiré plus de 7 000 participants cet été et 25 000 personnes ont assisté à la conférence RSA au printemps. La participation à la 8e Conférence internationale sur les logiciels malveillants et non désirés est mesurée par dizaines, et non par milliers. Il vise à présenter les dernières recherches scientifiques en matière de sécurité, dans une atmosphère permettant une interaction directe et franche entre tous les participants. La conférence de cette année (Malware 2013) a été inaugurée par Dennis Batchelder, directeur de Microsoft Malware Protection Center, qui a souligné les problèmes difficiles auxquels l'industrie des logiciels malveillants est confrontée.
Au cours de la présentation, j’ai demandé à M. Batchelder s’il pensait pourquoi Microsoft Security Essentials se situait au bas de la liste dans de nombreux tests indépendants, suffisamment bas pour que de nombreux laboratoires la traitent maintenant comme une base de comparaison avec d’autres produits. Sur la photo en haut de cet article, il mime ce que les membres de l'équipe antivirus de Microsoft ne ressentent pas à propos de cette question.
Batchelder a expliqué que c'est ainsi que Microsoft le veut. Les fournisseurs de services de sécurité ont tout intérêt à démontrer leur valeur ajoutée par rapport aux éléments intégrés. Les données de Microsoft montrent que 21% seulement des utilisateurs de Windows ne sont pas protégés, grâce à MSE et Windows Defender, contre 40%. Et bien sûr, chaque fois que Microsoft peut augmenter ce niveau de référence, les fournisseurs tiers devront nécessairement l’aligner ou le dépasser.
Les méchants ne s'enfuient pas
Batchelder a souligné des défis importants dans trois domaines principaux: des problèmes pour l’industrie dans son ensemble, des problèmes d’échelle et des problèmes de test. Parmi ces propos fascinants, l'un des points qui m'a le plus frappé est sa description de la façon dont les syndicats du crime peuvent tromper les antivirus en leur faisant un sale boulot.
Batchelder a expliqué que le modèle antivirus standard suppose que les méchants s'enfuient et se cachent. "Nous essayons de les trouver de mieux en mieux", a-t-il déclaré. "Le client local ou le nuage dit" bloque le! " ou nous détectons une menace et essayons de remédier à la situation ". Mais ils ne s'enfuient plus; ils attaquent.
Les fournisseurs d’antivirus partagent des échantillons et utilisent la télémétrie à partir de leur base installée et leur analyse de réputation pour détecter les menaces. Dernièrement, cependant, ce modèle ne fonctionne pas toujours. "Et si vous ne pouvez pas faire confiance à ces données", demanda Batchelder. "Et si les méchants attaquaient directement vos systèmes?"
Il a indiqué que Microsoft avait détecté "des fichiers spécialement conçus, destinés à nos systèmes, qui ressemblaient à la détection d'un autre fournisseur". Une fois qu’un fournisseur l’a identifiée comme une menace connue, elle l’a transmise à d’autres, ce qui augmente artificiellement la valeur du fichier créé. "Ils trouvent un trou, fabriquent un échantillon et posent des problèmes. Ils peuvent aussi injecter la télémétrie pour falsifier la prévalence et l'âge, " a noté Batchelder.
Ne pouvons-nous pas tous travailler ensemble?
Alors, pourquoi un syndicat du crime se donnerait-il la peine de fournir de fausses informations aux éditeurs de logiciels antivirus? Le but est d'introduire une signature antivirus faible, celle qui correspondra également à un fichier valide requis par un système d'exploitation cible. Si l'attaque réussit, un ou plusieurs éditeurs de logiciels antivirus vont mettre en quarantaine le fichier innocent sur les ordinateurs victimes, en désactivant éventuellement leur système d'exploitation hôte.
Ce type d'attaque est insidieux. En introduisant de fausses détections dans le flux de données partagé par les fournisseurs d'antivirus, les criminels peuvent endommager des systèmes sur lesquels ils n'ont jamais mis les yeux (ou les mains). De plus, cela pourrait ralentir le partage des échantillons entre les fournisseurs. Si vous ne pouvez pas supposer qu'une détection passée par un autre fournisseur est valide, vous devrez passer du temps à la vérifier avec vos propres chercheurs.
Gros problème nouveau
Batchelder rapporte qu’ils reçoivent environ 10 000 de ces fichiers "empoisonnés" chaque mois par le biais du partage d’échantillons. Environ un dixième de un pour cent de leur propre télémétrie (provenant d'utilisateurs de produits antivirus de Microsoft) consiste en de tels fichiers, et c'est beaucoup.
Celui-ci est nouveau pour moi, mais ce n'est pas surprenant. Les syndicats de criminels de logiciels malveillants ont des tonnes de ressources et ils peuvent consacrer une partie de ces ressources à subvertir la détection par leurs ennemis. Je vais interroger d'autres fournisseurs sur ce type "d'antivirus armé" dès que j'en aurai l'occasion.
