Le site VirusTotal est terriblement pratique : il permet de tester immédiatement n’importe quel fichier suspect (ou URL) auprès d’une cinquantaine d’antivirus du marché, tous parfaitement à jour. Et cela gratuitement (VirusTotal a été racheté par Google en 2012)

Hélas, les résultats de ces tests deviennent de plus en plus mauvais : là où l’on pouvait espérer voir au moins la moitié des antivirus détecter un vulgaire code malveillant fraîchement reçu par email, ils ne sont désormais souvent guère plus qu’une poignée à donner l’alerte. Les développeurs de malwares seraient-ils devenus si doués ? Ou les antivirus si mauvais ?

Pour en avoir le coeur net nous sommes allé poser la question à quatre éditeurs majeurs que nous avons rencontrés à l’occasion du salon ROOMn à Deauville.

Les faibles scores de détection constatés sur VirusTotal ne les étonnent pas outre mesure : « Les bons auteurs de malwares prennent la peine de tester leurs créations avec tous les antivirus du marché avant de les diffuser (et d’ailleurs parfois via VirusTotal, ndlr). Donc s’ils ont bien fait leur travail le code n’est pas détecté par une signature lorsqu’il apparait » , explique ainsi Michel Lanaspeze, responsable marketing Europe pour l’éditeur Sophos.

Dans ce cas, VirusTotal reflétera alors surtout la rapidité des éditeurs à se mettre à jour une fois le virus répertorié.

Mais qu’en est-il de la fameuse capacité à détecter les codes malveillants inconnus, tant vantée par les grands éditeurs d’antivirus ? Leur réponse est unanime : VirusTotal s’appuie exclusivement sur le moteur traditionnel des antivirus à base de signatures (et un peu d’heuristiques tout de même), ce qui n’est désormais plus suffisant.

Ainsi s’il doit y avoir un enseignement à retirer de ce constat, disent-ils, c’est que la détection par les seules signatures virales est morte.

« VirusTotal ne valide que l’efficacité des signatures or c’est en réalité toute une chaîne d’infection qu’il faut être capable de remonter, depuis l’arrivée d’un email provenant d’une adresse IP suspecte jusqu’à la présence d’URLs malveillantes dans son texte, en passant par les tentatives du malware de communiquer avec l’extérieur » , poursuit Michel Lanaspeze. Chez Sophos, l’appliance Unified Threat Management intègre notamment la capacité de détection de cette chaîne d’infection.

Même son de cloche chez Kasperky : « Ce que VirusTotal montre dans ce cas, c’est la perte de pertinence du modèle de signatures. Pour être efficace l’antivirus doit désormais s’appuyer sur plusieurs technologies en parallèle : des signatures, bien sûr, mais aussi de l’heuristique, de l’analyse comportementale (sur le poste client, ndlr), de l’émulation et de la réputation fichiers et URLs » , commente Thierry Gourdin, consultant It chez Kaspersky. Dans la gamme de l’éditeur ces technologies complémentaires s’appellent notamment System Watcher pour l’analyse comportementale et KSN (Kaspersky Security Network) pour la réputation.

Chez McAfee (Intel) cette approche globale est également au programme, sous le nom de Global Threat Intelligence. Et elle repose là aussi sur d’autres technologies que la seule détection par signatures. « Outre la réputation nous misons par exemple sur le sandboxing afin d’étudier ce que fait réellement un code malveillant. On va même jusqu’à comparer le code assembleur décompilé d’un côté avec les actions de l’échantillon exécuté en face. Si l’on découvre que, par exemple, 80% du code n’est pas exécuté dans un contexte d’émulation, on a une forte suspicion que le programme n’est pas ce qu’il affirme être » , explique ainsi Leonard Dahan, Country Manager de Stonesoft (Intel).

Cette approche de sandboxing (exécution contrôlée dans un environnement virtuel) est probablement celle qui, aujourd’hui, est la plus à même de détecter les nouveaux codes malveillants. C’est d’ailleurs elle qui a fait le succès de FireEye ou plus récemment de LastLine (un petit éditeur à suivre de près dans ce domaine). Et elle est aujourd’hui évidemment le nouveau cheval de bataille des éditeurs d’antivirus, à l’image par exemple de Trend Micro dont la solution Deep Discovery Inspector s’est distinguée lors du tout récent comparatif de NSS Lab.

Pour autant, les signatures ne devraient pas disparaitre de si tôt, car  celles-ci ont toujours un rôle à jouer, notamment en complément de l’approche basée sur la réputation des fichiers. « Nous travaillons avec la plupart des éditeurs de logiciels majeurs afin de maintenir une liste blanche d’applications courantes que l’on sait être sûres. On sait ainsi immédiatement ce qui est bon à coup sûr (la liste blanche) et ce qui est mauvais à coup sûr (les signatures). Cela nous permet donc d’éliminer rapidement une majorité des fichiers que l’on voit passer. On peut alors traiter le reste, la minorité suspecte, avec des technologies plus lourdes et plus gourmandes (telle l’émulation, ndlr) », explique Laurent Delattre, Regional Sales Director chez Trend Micro.

Mais voilà : ce sont précisément ces technologies d’analyse « plus lourdes et plus gourmandes » qui ne peuvent pas être mises en oeuvre par VirusTotal, et c’est ce qui explique probablement, en partie du moins, les piètres résultats des antivirus sur le site (en dépit d’avoir des moteurs configurés aux petits soins par les ingénieurs de chaque éditeur !).

L’outil demeure cependant un service utile pour les particuliers et indispensable pour les chercheurs (l’utilitaire Process Explorer vient par exemple d’intégrer la recherche sur VirusTotal, Metasploit la propose sous la forme d’un module et de nombreux autres outils de sécurité l’intègrent également).

Son API, ses statistiques, son blog et sa communauté font ainsi de VirusTotal un passage obligé pour qui s’intéresse aux logiciels malveillants. Mais il faut bien en comprendre les limites pour mieux l’utiliser (combiner, par exemple, l’analyse de la pièce jointe d’un email et celle de la réputation de l’adresse IP du client et des éventuels liens qui y figurent, le tout grâce à un script via l’API du site)

Quant aux mauvais résultats des antivirus, tous ne s’expliquent pas par les raisons invoquées ici : certains sont tout simplement plus mauvais que les autres, et VirusTotal est alors un excellent juge de paix ! En témoignent par exemple les 21 produits qui, trois ans après le piratage de la société RSA, ne détectent toujours pas le fichier piégé à l’origine de la compromission…