Après Trend Micro (voir notre dossier), c’est au tour de McAfee de rejoindre la révolution du cloud computing avec son offre Artemis. Ce service mixte une approche sur le poste local et une partie hébergée dans les laboratoires de l’éditeur, les McAfee Avert Labs.  Finies les bases de données de signatures hébergées sur l’ordinateur des utilisateurs, et leur mise à jour à intervalle fixe, le cloud computing mode McAfee entend proposer une protection en temps réel. « Artemis réduit le délai entre l’écriture d’un malware, sa découverte, son analyse, et la protection contre sa propagation » explique Dave Marcus, Responsable Security Research and Communications aux McAfee Avert Labs.

Le principe repose sur des bases de données de signatures hébergées chez l’éditeur, plutôt que sur celles stockées sur chaque poste. Ces dernières sont infiniment moins fournies. Celles d’un éditeur antivirus ne sont pas limitées par la taille, hébergées au sein de data centers évolutifs. De plus la protection offerte en local dépend de la dernière mise à jour de la base de signatures. Qu’un malware s’infiltre avant qu’elle l’ait répertorié, et l’agent en local ne peut le détecter. Le poste devient vulnérable tant qu’une mise à jour n’est pas récupérée. Dans le modèle  « dans les nuages », si un fichier est suspect – lorsqu’il passe l’analyse comportementale de l’agent du poste client – et n’est pas référencé en local dans la base de signatures – une empreinte (via un hash numérique) du potentiel malware est faite. Elle est envoyée par Internet aux Avert labs. Lesquels la comparent à leur base de données, puis, le cas échéant, renvoient aux clients un code pour se protéger du malware.  Artemis est d’ores et déjà disponible pour la solution McAfee Total Protection Service pour PME. Dans les semaines qui viennent il sera compatible avec McAfee VirusScan Enterprise puis courant 2009 fourni aux produits grand public, sous le nom d’Active protection.

Ce modèle soulève toutefois des interrogations. Si McAfee prétend que tout le process peut se faire en quelques millisecondes, il n’en reste pas moins qu’il est dépendant de la qualité et du type, de connexion des utilisateurs. Reste à savoir aussi si, à l’échelle d’un grand compte, les performances de l’ensemble des postes utilisateurs ne seront pas affectées par trop de faux positifs en sus des malwares (et protection reçues) légitimes. Le souci de réduire le temps de réaction est louable, mais l’histoire des IDS (Intrusion Detection System, systèmes de détection d’intrusion) et de leurs alertes à n’en plus finir, invite à la prudence.

Cependant, pour les éditeurs antivirus, le cloud computing semble inévitable. Que deux éditeurs majeurs coup sur coup annoncent leurs offres, est un signe qui ne trompe pas. Jeff Green, senior vice president des McAfee Avert Labs, rappelle que « l’augmentation du nombre de malwares en 2008 comparé à 2007 est de 300% ». Les fichiers de signatures sont trop lourds pour être gérés localement, une alternative est nécessaire. Nous l’expliquions dans un dossier consacré au cloud computing. Nous relevions déjà les dangers de ce modèle. à commencer par le risque de reposer la protection antimalware d’une entreprise sur l’infrastructure d’un éditeur qui devra faire face à un trafic généré par des milliards de requêtes quotidiennes. Nous pointions aussi des questions que ne manqueront pas de poser les grands comptes, et qui restent à ce jour sans réponse : quels gains attendre (financiers, techniques), sur quel niveau de service compter ? Qui a audité les centres de données ?