[accueil]
Entretien avec Mikko Hyppönen, responsable de la recherche chez F-Secure
« Windows Update est un botnet »
Dans la version 2010 de votre logiciel de sécurité vous avez changé de moteur antivirus (vous n'utilisez plus celui de Kaspersky). Pourquoi ?
Nous avons toujours utilisé plusieurs moteurs ensemble. Certains moteurs maison et d'autres que nous utilisons sous licence, cela dépend de quelle couche nous parlons. Dans la version 10 que nous venons de sortir, nous utilisons le moteur BitDefender sous licence à côté de plusieurs moteurs maison comme BlackLight, notre moteur de détection des rootkits. Et la principale raison pour laquelle nous collaborons ainsi, c'est pour être sûr d'avoir les perfomances dont nous avons besoin, le taux de réussite et aussi moins de lourdeur. La principale chose que nous avons changée dans la version 2010, c'est qu'elle nécessite bien moins de mémoire et est bien plus rapide pour scanner. Et c'est en partie dû au changement de moteur tiers.
Le fait d'assembler plusieurs moteurs ne ralentit pas la machine ?
Le plus long lors d'un scan avec la version 2010, ce sont surtout les lectures sur le disque. Dès que vous avez chargé une fois le fichier en mémoire, c'est rapide de l'analyser avec différents moteurs. Cela dépend de comment vous faites. Nous avons fait beaucoup d'efforts pour optimiser les perfomances. Vous savez, la plus grosse critique que nous avions reçue pour notre version précédente était que certes le taux de détection était très bon mais, si vous n'aviez pas assez de mémoire, cela ralentissait l'ordinateur. Maintenant nous consommons bien moins de mémoire et nous allons plus vite.
Combien de virus sont référencés dans votre antivirus ?
Je ne sais pas. Ce nombre n'a plus de sens désormais. Nous recevons chaque jour en moyenne 160 000 fichiers « bruts ». Certains jours, cela peut atteindre 300 000 fichiers. Ce sont tous les échantillons que nous recevons de différentes sources : de nos clients, de nos partenaires, de fournisseurs d'accès Internet, des « pots de miel », des fichiers que nous échangeons avec d'autres société antivirus. Cela inclut tout. Parfois quand une personne pense avoir un virus, elle fait une archive ZIP et nous l'envoie, cela fait des centaines de fichiers d'un coup. On reçoit donc des fichiers texte, des fichiers avec des virus, des fichiers corrompus, des fichiers en double, etc... Quand on retire les fichiers sains, les corrompus et ceux où il y a des menaces déjà connues, il reste de 5 000 à 15 000 nouveaux malwares par jour. C'est immense. Concernant le total, je ne peux plus vous donner un nombre. La principale raison est que je ne peux plus faire de statistiques, le nombre est tellement important que nos détections sont très génériques de nos jours. Avant, nous pouvions détecter chaque virus sous un unique nom, lui donner une identification unique. Par exemple, si vous voulez faire la comparaison avec les téléphones, je peux vous dire que nous détectons exactement 492 virus, parce que le nombre n'est pas si important. Sur PC, c'est peut être des millions, je ne sais pas.
Combien de personnes travaillent chez vous sur ces analyses ?
F-Secure a maintenant plus de 800 employés dans une vingtaine de pays. Plus de la moitié travaille à la recherche et au développement.
Combien de temps leur faut-il pour comprendre un nouveau malware ?
Nous essayons de nous éloigner de la traditionnelle rétro-ingénierie. Nos analystes ne cherchent plus à regarder les malwares un par un, ils regardent les grands flots et cherchent à détecter des familles complètes en un coup. En fait, il est désormais rare qu'ils regardent à l'intérieur dans les malwares pour voir comment ils fonctionnent, ils ne font ça que pour les cas importants ou ceux pour lesquels des clients ont demandé une description complète, comme nous avons fait avec Conficker que nous avons complètement analysé en ingénierie inversée du début à la fin. De nos jours, on ne le fait plus, ou alors seulement de petites parties. Nous essayons de nous focaliser sur la masse en d'automatisant. Il y a 5 ou 6 ans, nous obtenions de 50 à 100 échantillons par jour. Nous assignions alors chaque échantillon à une personne. Nous avions assez d'analystes pour cela. Maintenant avec 5 000 à 15 000 échantillons par jour, cela n'est plus possible quelque soit le nombre d'analystes que nous ayons. Il a donc fallu automatiser le processus, c'est sur quoi nous avons travaillé ces cinq dernières années, F-Secure a investi des millions.
Pensez-vous que le niveau technique des virus a baissé ?
Bien sûr, il y a des tonnes de variantes qui viennent par exemple de logiciels générateurs. Mais nous voyons aussi des choses bien plus compliquées comme Conficker ou Mebroot. Je n'aurais pas imaginé que les auteurs de virus auraient les ressources pour faire quelque chose de ce niveau. Nous estimons qu'il aurait fallu plus d'un an à un développeur professionnel pour y arriver.
Vous dites avoir automatisé votre processus de détection. N'est-ce pas aussi un risque de fausses alarmes ?
C'est le risque. Nous avons une grosse collection de cas connus, nous les avons passés en liste banche. Nous ne faisons pas de fausses alarmes sur des fichiers systèmes, des jeux connus ou d'autres. Mais les fausses alarmes, ça arrive. Ca arrive sur des fichiers pas communs, par exemple sur des programmes internes à des sociétés dont nous n'avons pas de copie. Ce que nous faisons maintenant pour lutter contre les fausses alarmes, c'est de travailler avec notre base de détection du nuage. L'idée est, quand un utilisateur lance un programme sur son ordinateur, si aucun malware connu n'est détecté, nous le laissons tourner. Mais la première fois, il est exécuté dans un bac à sable. Et, là, s'il fait quelque chose de douteux dans le bac à sable avant que nous le laissions s'exécuter pour de vrai, nous calculons un « hash » et nous demandons en temps réel à nos centres de données : « Salut ! Mon utilisateur sur cet ordinateur veut utiliser ce fichier qui a ce hash. Est-ce un bon fichier ? » Et notre système répondra « Oui, continuez, c'est un bon fichier » ou « Non, ce fichier est mauvais ». Cette requête ne prend que quelques milli-secondes, cette vérification est très rapide. Cela veut dire que si nous avons comme une fausse alarme généralisée par exemple, je ne sais pas, sur un nouveau jeu qui vient d'être lancé, qui a un système de protection anti-copie qui affole notre détection heuristique, nous le voyons immédiatement dans nos centres de données dès que cela arrive. Quand il y a autant de rapports d'alarme chez nos clients à travers le monde, nos analystes y jettent un oeil et s'ils disent « c'est une fausse alarme, c'est un nouveau jeu, ce n'est pas un virus », nous déclarons le fichier sain dans notre ce nuage. Et, une fois que c'est fait, immédiatement, chez tous nos utilisateurs à travers le monde, la fausse alarme disparaît. Avec l'ancien système, quand il y avait une fausse alarme, il fallait la solutionner puis diffuser individuellement une nouvelle base de données à chacun des clients, cela prennait des heures. Avec le nouveau système, pour régler une fausse alarme, cela ne prend que quelques secondes. Ce système de nuage est très puissant non seulement pour protéger avec un meilleur temps de réaction les utilisateurs, mais aussi pour éviter les fausses alarmes.
Quelle est la taille d'une signature ?
Une signature unique ? 200 octets environ en moyenne. Cela dépend. Sur téléphones portables, nous pouvons mettre une signature dans un SMS. Nous avons un mécanisme pour envoyer les mises-à-jour à notre antivirus mobile par SMS. Donc même si Internet est planté, on peut obtenir une mise-à-jour sur son téléphone portable.
Comme vous nous parlez de votre antivirus mobile, combien de virus pour les téléphones existent dans la nature ?
Zéro. Quelque chose comme ça. Il y a eu quelques virus qui ont fait l'object de rapports en Chine ou en Russie. Mais, globalement, rien.
Donc quel est l'utilité de votre antivirus sur les téléphones ?
La plupart des gens l'achètent contre les outils d'espionnage, qui ne sont pas des virus, ils ne se diffusent pas. Quelqu'un les installe dans votre téléphone parce qu'il veut savoir ce que vous faites. Et pour lutter contre ça, les gens installent notre produit.
Revenons à la version 2010 pour PC. A votre avis, quels sont ses points forts par rapport à la concurrence ?
Comparé à notre version précédente, c'est la rapidité et la consommation mémoire. Comparé à nos concurrents, c'est que nous ne sommes pas seulement en train de parler d'antivirus à nuage. Nous fournissons déjà une telle protection depuis un an et demi. Beaucoup d'autres vendeurs commençent seulement ou vont commencer. Nous croyons fortement que c'est l'avenir pour la lutte antivirus.
Et quelles sont les points forts de vos concurents dont vous souhaiteriez vous inspirer pour votre prochaine version ? Laissez moi réfléchir. [pause] Le moteur de Microsoft a une excellente détection des familles avec peu de fausses alarmes. GMER détecte plus de rootkits et autres menaces cachées que n'importe quoi d'autre. Norton a réellement amélioré ses performances, mais je pense que nous sommes maintenant au même niveau - l'année dernière, il consommait clairement moins de mémoire que notre antivirus.
Revenons au nuage. N'est-ce pas un nouveau vecteur potentiel qui pourrait être utilisé par un virus pour se propager ?
Bien sûr, c'est le risque que nous avons pris en compte quand nous avons mis au point ce système. Le scénario de cauchemar pour une compagnie antivirus comme la nôtre a toujours été que quelqu'un pirate notre laboratoire, nos serveurs et soit capable de diffuser une mise-à-jour qui ferait des choses horribles à nos clients. Ce risque a toujours été là, même avant le nuage. A travers le nuage, une diffusion serait plus rapide mais, basiquement, c'est toujours le même risque. Nous subissons des attaques en permanence contre nos serveurs, ils n'ont jamais été piratés, ou alors les pirates seraient très bons car nous ne les avons jamais remarqués. Mais si quelqu'un arrive à pénétrer nos serveurs et à découvrir comment envoyer une mise-à-jour, la signature de cette mise-à-jour sera vérifiée par l'ordinateur de nos clients et rejettée si elle ne correspond pas. Le seul moyen d'avoir une signature valide est, dans nos bureaux, d'utiliser une clef physique utilisée pour signer la mise-à-jour. Il faudrait donc en plus pénétrer nos bureaux. Tout cela ne serait pas facile, mais il y a un risque. Bien sûr, c'est un grand risque pour nous. Mais pensez au plus grand botnet dans le monde. Quel est-il ? Windows Update. Des centaines de millions d'ordinateurs. Si vous regardez la définition d'un botnet, Windows Update est un botnet. Un réseau connecté de stations de travail individuelles à travers le monde connectées à un unique serveur duquel elles reçoivent des instructions. C'est Windows Update. Donc, oui, nous avons un risque avec notre système. Maintenant pensez à Microsoft, imaginez que quelqu'un prenne le contrôle de Windows Update et soit capable d'envoyer une mise-à-jour à tous (plus ou moins) les ordinateurs de la planète...
De plus en plus de virus, des signatures de plus en plus nombreuses, ce qui consomme des ressources mémoire et du temps... Quel est à votre avis la solution à part le nuage ?
Peut-être qu'il n'y a pas de solution. Nous n'abandonnons pas, mais si on regarde comment la situation a changé, si on regarde comment nos ennemis sont passés du statut de hobbyiste à celui de criminel professionnel, si on regarde combien ils sont prêts à investir dans leurs attaques, c'est de plus en plus dur. Je suis sûr que nous, les vendeurs d'antivirus, allons continuer de faire ce que nous pouvons pour les en empêcher. Je sais que Microsoft aussi lutte très dur parce que cette société est en train de perdre des marchés. Les gens regardent à prendre un Mac à la place d'un PC sous Windows à cause des problèmes de virus, les gens utilisent des systèmes Linux parce qu'il n'y a pas de virus. Mais je ne vois pas ce problème disparaître bientôt, peut-être jamais. Les défis techniques auxquels nous faisons face sont très durs. Et il semble que nous ne puissions plus lutter comment nous faisions avant. Ces criminels sont partout dans le monde, ils savent comment faire des attaques qui viennent de différents pays. S'il n'y a pas de coopération entre les professionnels antivirus et les autorités des différents pays concernés, ces gars ne seront jamais devant un tribunal, ils ne seront jamais condamnés. Il y aura sans doute du travail dans la sécurité pour les spécialistes pour toujours.
Olivier Aichelbaum
Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
[contact & legal & cookies] [since 1997]