lundi 12 mai 2014

L'antivirus est mort (air connu)


On a vu cette info beaucoup reprise sur les réseaux sociaux ces derniers temps: pour Bryan Dye, vice-président chez Symantec, l'antivirus est mort et condamné à l'échec. C'est une position étrange pour une société qui édite justement un antivirus. Si on regarde l'article initial, on se rend compte que sa position est effectivement plus nuancée.

1/ L'antivirus est un échec [(c) newsoft]
Dye dit que l'antivirus est un échec commercialement parlant. Symantec va décider de ne plus investir dans cette technologie  "We don't think of antivirus as a moneymaker in any way.".
Le calcul ici est simple: les "bad guys" savent contourner un antivirus. Les antivirus et les virus ont joués à la souris pendant longtemps (vitesse et fréquence de mise à jour, analyse comportementale, ajout d'options de firewalling, sandbox, etc..) mais à la fin, le virus gagne toujours. Selon Dye, il semble donc plus pertinent de passer à autre chose que de continuer cette course à la technologie dans laquelle ils sont perdant.

2/ Mais l'antivirus reste incontournable.
Malgré ses défauts, l'antivirus bloque tout de même 45% des menaces (toujours selon le même article).
Même si ce pourcentage reste sujet à caution (comment sont qualifiées et comptées ces menaces? Voir un article de S.Bortzmeyer intéressant à ce sujet), l'antivirus reste bon dans son domaine: bloquer un certain "bruit de fond" de menaces informatiques. Dye souhaite don le cantonner à ce rôle et proposer une nouvelle forme de défense.

3/ Ne plus essayer de protéger, mais de minimiser les impacts
Dès lors qu'il est majoritairement admis que des attaquants motivés savent contourner les antivirus, et que ces mêmes antivirus ne pourront jamais l'empêcher, il faut trouver une ligne de défense supplémentaire.
Au lieu de prévenir une infection, le but est désormais de la détecter fiablement le plus vite possible, peu importe que l'infection initiale ait réussie ou non.
Et bien évidemment, Dye indique que Symantec va lancer une nouvelle offre de sécurisation des données et des réseaux qui va faire du comportemental: combo classique sonde réseau (et probablement agents sur les postes et points clés).

4/ Etes vous les 20%
L'analyse faite sur les antivirus par Mr Dye peut être portée de la même manière sur les firewalls: ils savent bloquer une petite catégorie d'attaque, mais un attaquant motivé va toujours le contourner. Faut il pour autant le supprimer? Bien évidemment non. Un antivirus et un firewall vont bloquer 80% des attaques. Le problème, dont j'ai déjà parlé ici, concerne ces fameux 20% restants.

80% des attaques bloquées par les outils traditionnels (antivirus, firewall, lecture de logs), qui sont des defaçages de site web, des vols de numéros de CB, du spam, etc.. Les 20% restants, ce sont du vol de propriété intellectuelle, obtenir des informations confidentielles, endommager des infrastructures du monde physique, décrédibiliser une entreprise, voler du code source ou des certificats de chiffrements etc. et ce sont ces 20% qui posent problème.

Fin 2012, les options consistaient en l'analyse des 10 ou 12 failles vraiment problématique, l'offensif ou l'augmentation du coût de l'attaque. Si on les prend dans l'ordre:

  • L'analyse des failles c'est bien (et super intéressant), mais est-ce suffisant pour établir une ligne de défense solide? Cela fait évidemment partie d'une stratégie plus globale mais ne peut prétendre à elle seule être une solution.
  • L'offensif, pourquoi pas, mais aucune entreprise commerciale ne pourra proposer cette option.
  • L'augmentation du coût de l'attaque est une hypothèse peu efficace dans le cadre d'attaquant motivé par un autre but que l'argent (par exemple pour stuxnet, quelle était le poids du budget dans la décision de lancer le projet?)

Ces méthodes restent encore une fois dans la défense; est-ce vraiment le bon (ou l'unique) moyen de se prémunir des attaques?

5/ un nouveau paradigme: vous êtes compromis.
La stratégie qui consiste à empêcher un attaquant d'entrer et corrompre un réseau va donc le mur.

Il semble plus sage aujourd'hui de considérer que l'état de compromission est l'état standard d'un réseau et de ses données et qu'il faille faire avec.

Nous commençons aujourd'hui à observer une voie médiane qui consiste non plus à empêcher ces attaques de survenir, mais à les détecter et les analyser afin d'en comprendre l'origine, l'ampleur et le but[1]. Les protections vont dans ce sens. Dans le même ordre d'idée certaines sociétés ne proposent plus de pentest mais des analyses de compromissions.

L'état est donc le suivant, qui n'est pas à l'avantage de la défense:

  • bloquer 80% des attaques low tech avec les outils traditionnels (antivirus, firewall, logs, etc.)
  • minimiser au maximum l'impact des 20% d'attaques high tech avec des nouveaux outils et nouvelles méthodes. Reste à trouver lesquels sont efficaces et lesquels sont du pur produit marketing :-)


---
[1] Je ne peux m'empêcher de penser à un cours d'histoire que j'avais eu plus jeune concernant les menaces terroristes: a une époque, les gouvernements cherchaient surtout à empêcher les groupes terroristes de se former. Puis ils ont ensuite cherché à les contrôler afin de mieux connaître ces groupes, ces personnes et ces réseaux. Quelle est la méthode la plus efficace?