samedi 7 novembre 2009

Concours antivirus : les secrets de DrWeb



Le monde de la sécurité a été secoué par les résultats désastreux de certains antivirus. Certains logiciels très connus comme McAfee et Norton ont été désactivés en quelques minutes. En clair, l'ordinateur n'était plus protégé contre les virus.

Seul l'antivirus russe DrWeb a tenu jusqu'à la fin impartie aux candidats (1 heure), même si ses défenses étaient amoindries.

Pour savoir pourquoi ce logiciel, qui protège d'ailleurs depuis plusieurs années les ordinateurs de l'armée russe, nous avons posé 5 questions au PDG de Doctor Web, Boris Sharov.

1-Sans dévoiler les secrets "industriels" de Doctor Web, pourquoi votre antivirus a-t-il mieux résisté que les autres lors du concours iAwacs ?

La protection de notre logiciel sur la machine a toujours été une des priorités 
de notre équipe de développement. Dès les premières versions de DrWeb, nous avons attribué une très grande importance à la protection de nos modules, anticipant ainsi les futures attaques.
Aujourd'hui, quand les tentatives de bloquer ou simplement effacer l'antivirus sont devenues quotidiennes dans les logiciels malicieux, nous ne faisons que récolter les résultats de nos efforts d'hier tout en améliorant la protection. Nous considérons que la protection doit être suffisamment puissante pour faire face aux attaques probables dont les origines peuvent être aperçues dans les codes viraux qu'on analyse.
Pour rendre la tâche de nous bloquer encore plus difficile, nous déployons nos modules de protection dans le noyau du système Windows, nos drivers de filtrage des opérations de fichiers et d'auto protection sont l'un des premiers à démarrer au lancement de l'ordinateur. On remarque, non sans satisfaction, que de nombreux experts considèrent l'auto protection de DrWeb comme l'une des meilleures dans l'industrie antivirale.

2-Certains experts ont émis des doutes quant à l'intérêt de ce concours car les candidats avaient un accès direct à Windows en mode Administrateur. N'y a-t-il pas des codes malveillants capables de désactiver des AV à distance ?


Nous considérons, par contre, que cette façon de faire ce genre de tests est la seule correcte et logique. Notre expérience dans le monde de la sécurité ne nous laisse aucune illusion: la grande majorité des utilisateurs ne travaille qu'en mode Administrateur.
Quant aux codes malveillants qui passent facilement de mode utilisateur au mode Administrateur, ils sont abondants, il suffit de se rappeler de trojan.botnetlog.11 qui est aujourd'hui largement présent dans le trafic du réseau mondial.

3-Malgré la résistance de DrWeb, quelques rootkits sont capables d'empêcher votre AV de bien protéger un PC. Est-ce que cela signifie que
les pirates seront toujours plus forts que les éditeurs
?
Les pirates disposent toujours d'un facteur important qui les favorise: ils jouent les premiers. Nous sommes toujours sur la défensive et cela explique que nous soyons toujours obligé de rattraper notre retard.
Mais justement le fait que les joueurs de notre côté aient un niveau supérieur à celui des attaquants nous permet de réduire considérablement ce retard. En même temps, nous ne considérons pas ce retard comme quelque chose de fatal. Maintes fois, nous avons été bien armés à l'arrivée de nouvelles menaces.

4-Quelles sont aujourd'hui les menaces les plus dangereuses : la presse parle beaucoup des faux antivirus, des réseaux sociaux, du phishing... Quels constats font vos chercheurs (photo du labo ci-dessus) en Russie ?



Malgré de nombreuses menaces très sophistiquées  de nos jours, nous n'avons aucune doute : les plus dangereuses sont les attaques très simples d'un point de vue technologique mais qui exploitent le maillon le plus faible de tout système de sécurité : l'individu assis devant son écran. La technologie antivirale la plus performante est très souvent impotente vis-à-vis à l'ingénierie sociale.


5-Que doit faire l'utilisateur pour limiter les risques. Il a le sentiment qu'un antivirus n'apporte, finalement, pas une protection très efficace.

Et il n'est pas loin de la vérité. La sécurité ne peut pas se baser sur un seul produit, même très reconnu par des professionnels. Nous considérons l'éducation des utilisateurs comme un aspect le plus important de la protection des ressources informatiques. Les armes de protection sont aujourd'hui en abondance, le choix est très souvent embarrassant. Reste à apprendre à s'en servir.

Aucun commentaire:

Enregistrer un commentaire