Près d’une décennie après la mort annoncée de l’antivirus traditionnel, ce dernier garde une belle cote de popularité auprès du grand public. Utilisé couramment dans le champ lexical du monde informatique, l’antivirus a cependant perdu ses lettres de noblesse. Explications et petite histoire de la protection des postes de travail.
Laissant tour à tour sa place aux termes d’antivirus de nouvelle génération (NGAV) mais aussi d’EPP (Endpoint Protection Platform) ou encore d’EDR (Endpoint Detection and Response), l’utilisation des antivirus traditionnels semble aujourd’hui obsolète. Quelles sont les différences entre toutes ces technologies de détection ? Avons-nous encore besoin d’un antivirus aujourd’hui ? Réponses à ces questions dans ce papier.
Les antivirus sont-ils une protection encore fiable ?
Conçu pour être installé sur des terminaux individuels comme un ordinateur, une tablette ou encore un téléphone, l’antivirus est un programme informatique qui vise à détecter et à supprimer tous logiciels malveillants. Développé pour la première fois par la société IBM en 1987 en réponse au virus informatique “Brain”, le terme d’antivirus sera popularisé au fil des années à grand renfort de publicité, devenant dans l’imaginaire collectif le seul rempart aux virus informatiques.
Le principe de ces logiciels antivirus repose sur la recherche de signatures. « À l’image d’un vaccin, l’antivirus dispose d’une base de signatures qui va lui permettre de reconnaître le virus informatique. Il est donc indispensable que la signature de ce virus spécifique ait été générée au préalable », rappelle Stéphane Prévost, Product Marketing Manager chez Stormshield. Un fonctionnement qui induit différentes problématiques et limites. La première d’entre elle est qu’il est nécessaire de connaître le virus avant d’en identifier la signature (et de pouvoir le combattre). La seconde limite, et non des moindres, tient à l’avènement du polymorphisme, une technique de génération de fichiers malveillants dont la signature numérique est unique à chaque fichier mais dont la méthode d’infection et la charge utile restent communes. Une limite d’autant plus prégnante que 450 000 nouveaux logiciels malveillants sont créés chaque jour, soit près de 4 millions chaque mois, d’après l’Institut AV-TEST. Conséquence directe de cette explosion, il est techniquement impossible que les antivirus aient connaissance au préalable de toutes les signatures… Pire encore pour les logiciels antivirus, les modes opératoires des cyber-criminels n’ont cessé d’évoluer ces dernières années jusqu’à se nicher dans des angles morts dans les algorithmes de détection à l’image des cyberattaques sans fichier (fileless malwares). Le résultat ? Le mécanisme de détection basé sur la recherche d’empreinte numérique dans un fichier laisse passer une large majorité de malwares et doit impérativement être complété par d’autres techniques de protection.
L’évolution et la sophistication des cyberattaques va même jusqu’à transformer les antivirus en cible. Lors de la conférence « Black Hat Europe » de décembre 2022, un chercheur en sécurité a par exemple révélé une vulnérabilité inédite qui touche plusieurs antivirus. Une faille qui permet de prendre la main sur les antivirus et de les faire… effacer des fichiers légitimes. Que faire alors lorsque notre principal outil de protection ne remplit plus son rôle ?
L’avènement de la détection comportementale dans la protection des postes de travail
Nouvelle étape dans cette petite histoire de la protection des postes de travail. Pour répondre à cette nouvelle situation, les éditeurs de cybersécurité ont dû revoir leur copie, passant de la recherche d’empreintes à celle de l’analyse heuristique basée sur le comportement de l’utilisateur. Appelés Next-Gen Antivirus ou NGAV, ces antivirus d’un nouveau genre développeront le socle de ce qui deviendra le concept de EPP (Endpoint Protection Platform). Les solutions d'Endpoint Protection Platform (EPP) seront une première réponse au polymorphisme et aux attaques sans fichier en intégrant de nouvelles fonctionnalités comme la surveillance de la mémoire, l’analyse comportementale ou la vérification d’indicateurs de compromission (IoCs). Malgré cette avancée technologique, des cyberattaques sournoises continuaient de passer entre les mailles du filet. Il est alors devenu impératif les détecter même une fois passées et d'y répondre.
C’est sur ce constat que les solutions de Endpoint Threat Detection & Response (ETDR) font leur apparition en 2013 dans les analyses du cabinet Gartner, autour des thématiques de réponses à incidents et d’investigation. Dès 2015, l’acronyme ETDR sera remplacé par celui d’EDR pour Endpoint Detection & Response. La particularité de cette nouvelle approche réside dans la capacité à détecter des menaces inconnues et à y répondre en temps réel de manière semi-autonome, comme le souligne Noël Chazotte, Product Manager Stormshield : « S’il détecte une menace, l’antivirus va bloquer le programme en amont, parfois le mettre en quarantaine. De son côté, l’EDR entre en action lorsque l’incident de sécurité est détecté ou qu’il s’est déjà produit sur la machine et essaye de déterminer ce qui s’est passé au niveau du poste pour aider les équipes opérationnelles à éviter que l’infection ne se répande. »
Comment la technologie EDR détecte-t-elle les attaques sophistiquées ? « L’EDR repère les comportements anormaux grâce à des indices de compromission (IoC), précise Stéphane Prévost. Il ne s’agit pas toujours d’événements exceptionnels, il peut s’agir d’actions banales comme le fait d’ouvrir une connexion sur un serveur externe. » D’où l’importance de définir précisément le cadre de fonctionnement de la solution lors de la phase d’apprentissage pour prévenir de fausses alertes (les faux positifs). Mais les solutions d’EDR et d’EPP restent complémentaires comme le souligne Stéphane Prévost : « Le parallèle peut être fait avec la sécurité physique d’une entreprise. La solution d’EDR représente les caméras de surveillance : elles vous permettent de voir si un intrus pénètre sur votre site industriel par exemple. Mais pour le bloquer dès l’entrée, il vous faut un vigile sur place : c’est l’EPP. »
Et l’antivirus dans tout ça ? En 2023, selon le site security.org, trois américains sur quatre estiment avoir besoin d’un antivirus pour pouvoir utiliser sereinement leur ordinateur personnel. Devant les avancées technologiques évoquées plus haut, la question se pose au niveau pro : pourquoi avons-nous encore besoin d'antivirus aujourd'hui ? Et la réponse tombe : tout simplement parce qu’il apporte une première couche de sécurité. Même si cette solution ne sera pas efficace contre toutes les cyberattaques, elle présente malgré tout un premier niveau de protection contre les attaques les moins sophistiquées – avec la garantie d’éviter les problématiques de faux positifs et en consommant très peu de ressources sur le poste. Mais une première couche de sécurité en implique d’autres. « On constate l’installation de plusieurs solutions de protection sur une même machine, explique Noël Chazotte. Leur association ne fait toutefois pas toujours bon ménage car certaines peuvent engendrer des conflits, laissant une autre porte ouverte aux cyber-criminels. »
NDR, XDR, MDR : vers une spécialisation de la Detection & Response
Car malgré les promesses d’autonomie de telles solutions, la gestion de ces outils doit être encadrée par des experts, comme en témoigne le développement d’offres d’EDR managé ou de mini-SOC. En plus d’améliorer la détection, il est indispensable pour les outils de protection endpoint d’intégrer une capacité de détection et réponse à incident. Et avec la multiplication des points de collectes d’incidents, l’analyste SOC doit avoir accès à l’ensemble des équipements réseaux et infrastructures.
Ainsi, les solutions de NDR (Network Detection and Response) analysent les paquets TCP/IP qui transitent sur le réseau pour détecter toute activité suspecte. La plateforme XDR (eXtended Detection and Response) entend, quant à elle, rassembler l’ensemble des actifs informatiques internes et externes (réseau, annuaires, ressources cloud, firewalls, etc.) dans le but de fournir une vision d’ensemble des événements du système d’information. Pour Noël Chazotte, « une plateforme XDR est un ensemble de points de collectes et surtout une plateforme de corrélation pour aider, mitiger le risque, apporter des éléments de réponse ainsi que de remédiation. »
D’autres acronymes émergent depuis quelques années comme le MDR. Dans les faits, le Managed Detection and Response (MDR) correspond simplement à un mode de commercialisation d’un XDR dans lequel une équipe externe traite les alertes. Quel que soit l’outil et la technologie, il faut garder à l’esprit que la place de l’analyste reste centrale et qu’aucune technologie ne pourra sécuriser à elle seule un actif sensible.
Selon l’étude de l’organisation Survey Risk Alliance, seuls 12% des professionnels de la cybersécurité annoncent avoir adopté une solution XDR dans leur organisation en 2022. Les 77% restants annoncent planifier son adoption dans les 24 prochains mois. La demande d’experts sécurité spécialisés en détection et réponse à incident devrait donc continuer de croître dans les prochaines années. Car malgré les progrès technologiques, l’intervention humaine reste indispensable pour analyser, comprendre les incidents… Des profils très recherchés pour faire face à l’évolution constante des modes opératoires et dont les services seront sans doute plus facilement accessibles aux entreprises via des offres d’EDR managé ou de mini-SOC.