A l’autre bout du monde, un développeur réalise un malware, en créant un nouveau morceau de code qu’aucun antivirus n’a jamais vu auparavant. Ce n’est pas un exploit particulièrement créatif, juste une légère modification d’un cheval de Troie existant, mais cela devrait être suffisant pour contourner les défenses basées sur les signatures…
Dans d’autres cas, il n’y a pas d’humain impliqué : le malware est créé par un programme automatisé qui contre constamment les techniques de détection connues, de sorte qu’il ne sera pas reconnu par les systèmes antivirus ou de prévention d’intrusion (IPS). Les chercheurs estiment que, sur Internet, une moyenne de 70 000 à 100 000 nouveaux échantillons de malwares sont créés et distribués chaque jour, souvent par le biais de processus automatisés.
Le « polymorphisme » des programmes malveillants qui s’auto-modifient automatiquement leur permet de passer inaperçu quelques temps aux yeux des logiciels anti-malwares. Ils peuvent changer de forme très rapidement et assez efficacement.
Les programmes malveillants d’aujourd’hui sont de plus en plus prolifiques et sophistiqués et de ce fait, le problème est de plus en plus important chaque jour.
“Les pirates utilisent des procédés automatiques pour le génération de leurs programmes d’attaque“, explique Roger Thompson, chercheur pour les menaces émergente d’ICSA Labs, qui a étudié les programmes malveillants pendant plus de 20 ans. “Pendant des années, les entreprises ont utilisé des scanners de signature comme principal moyen de défense. Mais ce n’est plus suffisant plus.“
La plupart des entreprises comptent encore beaucoup sur la technologie des antivirus comme principal moyen de défense contre les logiciels malveillants. La plupart des systèmes antivirus professionnels identifient les logiciels malveillants grâce à une liste noire, une sorte de base de données de malwares connus puis bloquent et éliminent tout code qui se trouve sur la liste. Le principe de la technologie antivirus, c’est qu’il est possible d’identifier des caractéristiques de manières uniques pour tous les logiciels malveillants connus. Sa « signature » sera alors utilisée pour l’empêcher de pénétrer dans l’entreprise.
Mais avec les nouveaux malwares créés chaque jour, chaque minute, une sorte de “zero-day”, les systèmes antivirus ne peuvent pas suivre, et leurs listes noires sont devenues lourdes et lentes à utiliser. Ce problème a suscité de plus en plus d’inquiétude pour de nombreux fournisseurset ils ont commencé à chercher des façons différentes de reconnaître les logiciels malveillants non pas par leurs signatures mais par la façon dont il se comportent.
“La chose intéressante avec les malware c’est que, même si il y a des millions de cas différents, il y a réellement seulement quelques types de comportements qui existent, et ils diffèrent grandement du comportement d’un programme légitime“, explique Dennis Pollutro, président et fondateur de Taasera, un fournisseur de produits de sécurité qui se prépare à déployer cette année une technologie de nouvelle génération pour la défense contre malware. « Si une application inconnue tente d’accéder à certaines fonctions, ou si elle tente d’installer ou de remplacer un programme existant, par exemple, alors vous savez qu’il est malveillant. Vous pouvez l’identifier par ce qu’il fait, même si ce dernier n’a jamais été vu auparavant.“
Ca ce sont des chiffres que l’on fait en se basant sur des statistiques de malware déjà existant. Si l’on prend en compte leurs rythmes de transformation en se basant là encore sur des statistiques. mais combien font réellement mouche? combien sont analyser réellement sur cette étude? Car les vecteurs de propagation n’évolue eux pas vraiment donc quel en sont les effet?
Les commentaires sont fermés.