Le rapport publié par Cyveillance n’est pas tendre avec les éditeurs d’antivirus. La société, spécialisée dans la détection de la fraude sur Internet, publie les résultats de six mois d’observation des fraudeurs, phishers et autres escrocs du web. On y trouve bien entendu des chiffres intéressants sur la fraude elle-même, mais c’est surtout l’attaque en règle contre les antivirus du marché qui a retenu notre attention.

Cyveillance note ainsi que les binaires utilisés dans le cadre des fraudes en ligne échappent le plus souvent aux principaux antivirus du marché, même lorsqu’ils sont à jour de leurs signatures. La société a ainsi soumis à quatorze antivirus du marché les échantillons de binaires malveillants récupérés par ses soins lors d’attaques au second semestre 2009.

Kaspersky, McAfee et Nod32 s’en sortent le mieux à ce petit jeu de la détection en aveugle. Mais avec seulement 38% et 37% de taux de détection moyen par jour sur la période (juillet à décembre 2009), la protection demeure insuffisante. Les autres cadors du marché sont quant à eux tous sous la barre des 30% de taux de détection, et jusqu’à 11% pour VirusBuster, la lanterne rouge de ce test.

Plus intéressant, Cyveillance à souhaité évaluer la capacité de réaction des éditeurs d’antivirus. Les échantillons collectés sur trois périodes de vingt-quatre heures différentes ont été présentés une première fois à six antivirus issus de la liste précédente, puis soumis à nouveau une semaine après. Résultat : il y a du mieux mais la protection n’est pas encore suffisante. Le meilleur élève, Kaspersky, atteint alors 62% de taux de détection, tandis que les autres peinent à atteindre la barre des 50% (excepté McAfee, à 55%).

Notons que les score de la détection initiale diffèrent ici des résultats présentés plus haut car ces derniers sont une moyenne des détection quotidiennes sur six mois tandis que les scores de la figure 2 ne sont que la moyenne de trois mesures arbitraires.

Mais c’est surtout le faible taux d’amélioration de la détection sur sept jour qui est instructif ici : cela aurait tendance à montrer que non seulement les binaires utilisés dans le cadre de fraudes sur le web échappent aux éditeurs d’antivirus au moment de leur création, mais que leur durée de vie est probablement trop courte – ou leur volume trop important – pour que les éditeurs puissent suivre le rythme en créant les signatures nécessaires.

Ces chiffres peuvent toutefois être discutés, notamment parce que Cyveillance ne précise pas le protocole de test utilisé (par exemple quel était le niveau d’analyse heuristique ou générique des antivirus testés ? Les versions pour le poste de travail sont-elles les mêmes que celles en passerelle web ?). Et surtout la rapport ne définit pas précisément la nature des binaires testés. S’agit-il de l’exploit initial contre le navigateur, du shellcode ? Est-ce plutôt le « premier étage » chargé de télécharger la charge offensive ? Ou bien est-ce le bot ou le keylogger installé sur le PC de la victime ?

Car il est parfaitement possible d’imaginer que les antivirus ne se soucient pas de l’exploit lui-même parce que c’est là le rôle d’un éventuel IPS. Mais s’ils laissent bien s’exécuter le shellcode, peut-être auraient-ils en revanche détecté et interdit l’installation d’un keylogger, cheval de Troie ou autre adware… bref, de la véritable charge offensive. Finalement, du point de vue de l’antivirus, c’est cette dernière qui compte vraiment.

L’éditeur Websense, qui tout comme Cyveillance traque les nouveaux binaires malveillants distribués via des sites web, fournit cependant quelques pistes de réponse, qui apportent du crédit à l’étude de Cyveillance. Websense communique en effet les résultats des analyses par VirusTotal des binaires associés à quelques unes des attaques récemment identifiées. Cela va de la campagne de « Black SEO » destinée à attirer les internautes vers de faux sites traitant d’un sujet d’actualité (Bloom Energy pour la dernière en date) aux chevaux de Troie envoyés directement en pièce jointe (faux email de Google Jobs) en passant bien entendu par les liens vers des sites piégés communiqués dans un courrier (à l’annonce de l’Apple iPad).

Le taux de détection des antivirus classiques pour ces quelques exemples vont de 10% à 30%, avec une majorité autours de 25% de taux de détection (ici et ici par exemple). Ces chiffres sont parfaitement cohérents avec ceux proposés par Cyveillance. Et l’on trouve parmi les binaires identifiés par Websense des adwares, des keyloggers et des chevaux de Troie, et non uniquement des shellcodes intermédiaires.

Bien entendu, autant Cyveillance que Websense vendent des services de filtrage d’URL destinés à interdire l’accès aux sites piégés, et ils ne sont donc pas totalement désintéressés dans l’histoire ! Mais la tendance semble effectivement être à la difficulté, pour les antivirus traditionnels, à faire face aux menaces multiples, hybrides et à courte durée de vie nées avec le web.

Les réactions des éditeurs d’antivirus :

Nous n’avons pu joindre d’éditeur d’antivirus dans les délais impartis à la rédaction de cet article. Nous le mettrons toutefois bien volontiers à jour afin de laisser la parole aux éditeurs qui souhaiteraient commenter les chiffres de cette étude (nous contacter ).