Ce n’est plus vraiment une surprise : la majeure partie des infections sur les postes de travail transitent désormais par le navigateur web. « Le navigateur est le desktop d’aujourd’hui. Et il est à peu près aussi sûr que l’était ce dernier dans les années 90 », observe d’ailleurs Saumil Shah, auteur d’une présentation au sujet de la vulnérabilité de ces outils à la conférence EuSecWest 2008.

Face à ce constat pourtant, la réponse la plus répandue demeure encore essentiellement celle offerte par l’arrière-garde antivirale, qui compte toujours sur ses suites d’anti-tout pour détecter localement les codes malveillants venus du web. Le succès n’est hélas pas toujours au rendez-vous tant sont coriaces les techniques d’évasion mises en oeuvre par ces parasites là (injection de code dans la mémoire réservée au navigateur, infection des plugins applicatifs, etc…). Mikko Hyppönen, gourou en chef chez l’éditeur F-Secure nous confiait même fort honnêtement que ses équipes avaient un temps été mises en échec par le rootkit Mebroot, qui parvient – depuis le navigateur – à déposer un code exécutable sur le secteur d’amorce (MBR) de la machine victime.

Saumil Shah fait remarquer que face à ces codes malveillants venus du web, les signatures antivirales telles qu’utilisées par les antivirus majeurs présentent un taux d’échec allant jusqu’à 80% (AusCERT). Et que le taux de détection des technologies heuristiques est passé de 40-50% en 2006 à 20-30% en 2007 (HeiseOnline). Bref, « les signatures ne fonctionnent pas », conclue à juste titre Saumil Shah.

Et elles ne fonctionnent pas car les codes malveillants sont extrêmement changeants : ils sont généralement générés à la volée et chiffrés avec une clé dont la durée de vie peut ne pas dépasser quelques heures. Ce sont le plus souvent des codes Javascript camouflés qu’il est coûteux (en terme de ressources) de dévoiler à la volée. Et de plus en plus souvent, ces codes n’utilisent pas leur propre espace mémoire mais celui d’une autre application légitime (navigateur, par exemple).

Pour les grands éditeurs d’antivirus, le challenge est rude : il leur faut ainsi ré-inventer le modèle qui les a fait vivre ces vingt dernières années. Ils y viennent, bien entendu : certains font le choix de l’hyper-médiatique cloud (Trend Micro, Panda) afin de déporter les traitements les plus lourds, d’autres s’orientent vers la liste blanche d’applications (Symantec, Kaspersky, McAfee) tandis que d’autres encore jouent avec la virtualisation du navigateur local (Checkpoint, Symantec). Certains, enfin, venus du simple filtrage d’URL ont du monter en compétence et développer des techniques d’analyse à la volée des binaires et du comportement des sites web (Websense). Tous, en tout cas, sont conscients qu’il leur faudra à l’avenir associer plusieurs de ces méthodes afin d’offrir une protection efficace contre les menaces issues du web.

Mais comme toute rupture dans les habitudes du marché, celle-ci offre l’opportunité à des acteurs de taille plus modeste d’essayer de nouvelles solutions. C’est ainsi que l’on a vu des tentatives dans le domaine du sandboxing (isolation du navigateur), des réalisation dans celui du verrouillage du poste de travail dans sa globalité (Skyrecon), ou limité à l’exécution du Javascript (NoScript, Teflon…). Aucune ne s’est toutefois encore réellement imposée.

Les deux startups que nous avons rencontré proposent une approche différente à ce problème. L’une, basée sur la virtualisation du navigateur et son déport sur des serveurs distants, est probablement la plus radicale. Mais elle exige l’installation d’un client local sur les postes de travail. L’autre, véritable solution en mode Software as a Service, n’exige aucune installation sinon le paramètrage d’un nouveau proxy dans les navigateurs, et propose une multitude de services additionnels.

Toutes deux prennent également en charge de manière naturelle la mobilité (les portables sont sécurisés de la même manière que les postes fixes et sans intervention supplémentaire), et toutes deux apportent une valeur ajoutée au delà de la seule sécurisation des flux. Leur philosophie, toutefois, est très différente. Découvrez-les dans ce dossier.