Il y trop de signatures ! C’est le cri d’alarme des éditeurs d’antivirus confrontés à l’augmentation exponentielle du nombre de codes malveillants à répertorier. L’explosion, notamment, est venue d’internet : les serveurs pirates qui hébergent et diffusent les virus peuvent les modifier toutes les heures afin d’échapper à la détection, et cela crée autant de variantes à traiter.

Les éditeurs d’antivirus, bien sûr, font déjà preuve d’astuce et chaque variante ne nécessite pas nécessairement une nouvelle signature, certaines de ces dernières pouvant identifier une famille entière de parasites. Mais il n’empêche que le nombre croissant des virus déversés dans la nature, en obligeant les éditeurs à fournir des fichiers toujours plus lourds, saturera probablement un jour les bases de signatures traditionnelles.

Afin d’échapper à cette promesse, l’alternative de la détection générique est tentante. Mais l’analyse (par exemple décortiquer un programme suspect pour étudier son fonctionnement) exige des ressources importantes qui ne sont pas nécessairement disponibles sur des équipements embarqués, ou dans le cadre d’un traitement en temps réel (sur des flux web par exemples).

De même pour les « bacs à sable », une technologie particulièrement séduisante et efficace qui permet d’isoler les logiciels suspects ou vulnérables du reste du système. Mais son impact sur le fonctionnement du poste de travail peut être significatif, et l’approche peut introduire des incompatibilités avec des applications métiers existantes. Cela limite son déploiement au cas par cas, sur des postes sensibles par exemple.

Autre approche envisagée, la liste blanche. Tant Symantec que Kaspersky avouent déjà

lorgner du côté de ce concept : seuls les

programmes autorisés pourront s’exécuter sur le PC, laissant de fait

les codes malveillants à la porte. Kaspersky a d’ailleurs déjà

implémenté en partie cette approche dans la version 2009 de sa suite de sécurité. Mais là aussi, l’exercice a ses limites. « Microsoft publie à lui seul 10 000 nouveaux exécutables par semaine. Une liste blanche doit gérer tout ça, et plus encore, car il lui faut également prendre en compte les versions multi-langues des exécutables, des librairies, etc… », fait remarquer Raimund Genes, CTO de Trend Micro.

Toutes ces approches sont pourtant efficaces, et notamment lorsqu’elles sont combinées au sein d’une solution (tel l’excellent StormShield de Skyrecon , par exemple). Mais elles sont aussi plus contraignantes que la bonne vieille détection antivirale par signatures, et sur le terrain les entreprises les réservent souvent aux postes sensibles ou VIP.

Ce que recherchent les éditeurs d’antivirus, c’est une solution aussi simple et universelle que les signatures actuelles. Pour cela, l’approche Internet, telle que promue par Websense depuis plusieurs années et aujourd’hui par Trend Micro, semble avoir les faveur du marché. Elle exige cependant des moyens très importants (la mise en ligne de centres de données redondants, par exemple : Trend Micro traite 5 milliards de requêtes par jour sur sa plate-forme) et une antériorité difficile à obtenir pour les nouveaux entrants (Websense ausculte le web depuis plusieurs années et dispose notamment d’une base de réputation bien garnie pour les serveurs et les réseaux susceptibles de diffuser des codes malicieux).