{ SILICON – 20 ANS } – Antivirus : débordé par l’ère du Cloud et de l’ IA

Manille, 8 mai 2000 : les autorités philippines se présentent au domicile d’Onel de Guzmán, étudiant en informatique, et procèdent à son arrestation. Son délit ? Il a créé « I love you ».
Il n’aura fallu que quelques heures à ce programme malveillant pour se répandre dans le monde entier. Et causer des dégâts qu’on évaluera plus tard à des dizaines de milliards de francs.

Le vecteur de propagation est inédit : un e-mail avec, en pièce jointe, une prétendue lettre d’amour cachant un script qui s’exécute dans Outlook et corrompt des fichiers, à leur tour envoyés en PJ. Cette capacité de réplication autonome fait d’« I love you » un ver. Et le différencie des virus, qui ont, par définition, besoin de se lier à d’autres programmes pour se répliquer.

On estime que le premier du genre est apparu en 1971, sur des mainframes, sous le nom de Creeper. Dans l’univers des ordinateurs personnels, on cite généralement Elk Cloner, qui frappa sur Apple II en 1982. C’est avec l’essor du PC que l’industrie des antivirus amorce son développement. 1987 est l’année fondatrice avec, entre autres, la création de l’éditeur McAfee et le lancement de NOD32 (à la base d’ESET). La liste s’allonge, en 1988, avec Alwil (futur Avast), Avira ou, encore, F-Secure.

Une croissance soutenue par le marché du PC

Les signatures, séquences binaires spé­ci­fiques aux virus, constituent alors le principal levier de détection. Mais la méthode présente des inconvénients : le maintien à jour de la base, la consommation de ressources sur les machines protégées et le contournement par des virus « polymorphes »… Rapidement, on commence à parler d’analyse heuristique.

Le terme un peu barbare englobe toutes les techniques qui se fondent sur des signaux permettant de généraliser à partir d’une empreinte de virus. Au début, on exploite les indices qui se trouvent dans la structure des fichiers. Aujourd’hui, l’analyse est devenue comportementale, à l’appui des technologies que l’on regroupe sous la bannière IA.

Le cloud aussi accompagne le mouvement. L’américain McAfee est le premier éditeur majeur à établir une jonction, en 2008. À l’époque, le périmètre de défense va déjà bien au-delà du poste de travail. Et il acquiert une géométrie de plus en plus variable, incluant des terrains que les antivirus peuvent difficilement investir, à l’image de l’IoT.

Les virus, de leur côté, prennent du recul dans la hiérar­chie des logiciels malveillants, à la faveur de menaces telles que les rootkits (F-Secure est le premier à leur dédier une fonctionnalité de son antivirus, en 2005), les keyloggers… ou, plus récemment, les ransomwares.

La gamme Defender, de Microsoft, illustre par­faitement l’évolution du puzzle de la sécurité informatique. L’anti­virus intégré à Windows 10 en constitue le socle. Autour de lui gravite une galaxie de services, dont certains mettent en œu­vre le principe en vogue du « zéro confiance », fondé sur la contextualisation des accès.

Découvrez le numéro spécial 20 ans  de Silicon Magazine