L'inflation des bases de signatures des antivirus est-elle significative ?
L'inflation des bases de signatures des antivirus est-elle significative ?
Les éditeurs d'antivirus et d'anti-trojans clament chacun à qui mieux-mieux, haut et fort, que leur utilitaire détecte un plus grand nombre de parasites et virus que leurs confrères et néanmoins concurents. Ils annoncent 60.000, 65.000, 70.000, 75.000, 100.000, 200.000 signatures présentes dans leurs bases de signatures. Pourtant ce nombre n'a quasiment aucune espèce d'importance.
C'est principalement sur ce test que se basent certains comparatifs primaires d'antivirus. Mais dans quelle circonstance ? Simplement en confrontant, à la demande ("On demand"), les antivirus à une collection de virus et autres malveillances. Hors, ce genre de test correspond à l'analyse (au scan) de tous les fichiers d'un ordinateur, analyse que l'on exécute très épisodiquement, avec son antivirus ou, gratuitement, avec un antivirus online. On découvre alors d'éventuels virus, dormants. Et alors ? La fonction première de l'analyse à la demande n'est pas de découvrir les parasites actifs mais tous les objets parasités or, si le parasite est déjà actifs, c'est trop tard ! Ce sont les comportements en temps réel ("On access") des antivirus et anti-trojans qui ont une réelle importance. L'inflation des bases de signtaures et le taux de détection lors d'analyses "On demand" sont simplement rassurants mais n'ont pas de réelle autre utilité. Nous avons, ici, à Assiste.com, en ligne sur nos disques durs, une collection de plusieurs milliers de virus, backdoors, trojans, keyloggers et autres parasites. Ce n'est en rien gênant si on ne les ouvre pas (si on ne les exécute pas). C'est exactement comme recevoir un virus en pièce jointe d'un e-mail : tant que la pièce jointe n'est pas ouverte il ne se passe rien. Ces virus sont statiques, dormant. Ils ne sont absolument pas virulents. Ils sont très bien là où ils sont. Donc cette inflation des nombres de signatures dans le bases de signatures et le taux de détection lors d'analyses "On demand" ne sont pas réellement des critères importants de choix d'un antivirus ou d'un anti-trojans.
Ces nombres servent de base de comparaison pour des tableaux comparatifs faciles à établir, faits par de simples webmasters sans aucune maîtrise du sujet ou par de simples particuliers sans aucune expertise. Ce type de comparatifs est sans aucun intérêt. On peut s'en convaincre en se penchant sur la WildList, cette liste de virus utilisée par les industriels du test d'antivirus et qui est reconnue unanimement comme LE standard : elle ne regroupe que 200 virus, actifs actuellement - au moment du test, qui seront analysés "On access", ce qui est infiniment plus important que de tester la détection "On demand" d'une collection de 400.000 virus et trojans dont les 4/5ème n'existent plus et les autres ne connaissent pas de propagation actuellement.
Donc qu'il y ait 200 ou 200.000 signatures dans une base de signatures est sans signification car cela concerne la fonction d'analyse en temps différé ("On demand"), qui est une opération très peu protectrice, exécutée épisodiquement, qui permet de s'assurer que l'on n'ouvrira pas, par mégarde, un parasite. En sus, une part de plus en plus importante des parasites, de toutes natures, est désormais détéctée sans faire appel à la moindre signature, par l'analyse du comportement d'un objet (analyses heuristiques, sandbox, machine virtuelles...).
Inflation du nombre de signatures par l'absurde :
Si on veut bloquer les dialers qui sévissent vers les numéros de téléphones surtaxés en France, on bloquera, par exemple, tous les appels vers les numéros 0899 00 00 00 à 0899 99 99 99 ce qui, si on le traite par l'absurde, représente 999.999 signatures dans la bases de signatures alors qu'en réalité il n'y a qu'une seule règle dans la base de signature.
- Beaucoup de virus détectés sont des virus de laboratoires, des virus de test issus des cogitations intellectuelles des chercheurs en antivirus, virus qui ne seront jamais "lachés" hors de ces laboratoires et ne posent donc aucun problème.
- Ce nombre peut facilement être gonflé par la détection de parasites exotiques tels les virus pour ordinateurs de poche, les virus pour systèmes obsolètes comme MS-Dos etc. ...
- Ce nombre peut facilement être gonflé en comptant, en vrac, les parasites qui ne s'attaquent qu'aux systèmes écrit en chinois ou en russe ou en arabe...
- Ce nombre peut être gonflé en tenant plus ou moins compte des infinités de variantes que certains parasites peuvent connaître.
C'est principalement sur ce test que se basent certains comparatifs primaires d'antivirus. Mais dans quelle circonstance ? Simplement en confrontant, à la demande ("On demand"), les antivirus à une collection de virus et autres malveillances. Hors, ce genre de test correspond à l'analyse (au scan) de tous les fichiers d'un ordinateur, analyse que l'on exécute très épisodiquement, avec son antivirus ou, gratuitement, avec un antivirus online. On découvre alors d'éventuels virus, dormants. Et alors ? La fonction première de l'analyse à la demande n'est pas de découvrir les parasites actifs mais tous les objets parasités or, si le parasite est déjà actifs, c'est trop tard ! Ce sont les comportements en temps réel ("On access") des antivirus et anti-trojans qui ont une réelle importance. L'inflation des bases de signtaures et le taux de détection lors d'analyses "On demand" sont simplement rassurants mais n'ont pas de réelle autre utilité. Nous avons, ici, à Assiste.com, en ligne sur nos disques durs, une collection de plusieurs milliers de virus, backdoors, trojans, keyloggers et autres parasites. Ce n'est en rien gênant si on ne les ouvre pas (si on ne les exécute pas). C'est exactement comme recevoir un virus en pièce jointe d'un e-mail : tant que la pièce jointe n'est pas ouverte il ne se passe rien. Ces virus sont statiques, dormant. Ils ne sont absolument pas virulents. Ils sont très bien là où ils sont. Donc cette inflation des nombres de signatures dans le bases de signatures et le taux de détection lors d'analyses "On demand" ne sont pas réellement des critères importants de choix d'un antivirus ou d'un anti-trojans.
Ces nombres servent de base de comparaison pour des tableaux comparatifs faciles à établir, faits par de simples webmasters sans aucune maîtrise du sujet ou par de simples particuliers sans aucune expertise. Ce type de comparatifs est sans aucun intérêt. On peut s'en convaincre en se penchant sur la WildList, cette liste de virus utilisée par les industriels du test d'antivirus et qui est reconnue unanimement comme LE standard : elle ne regroupe que 200 virus, actifs actuellement - au moment du test, qui seront analysés "On access", ce qui est infiniment plus important que de tester la détection "On demand" d'une collection de 400.000 virus et trojans dont les 4/5ème n'existent plus et les autres ne connaissent pas de propagation actuellement.
Donc qu'il y ait 200 ou 200.000 signatures dans une base de signatures est sans signification car cela concerne la fonction d'analyse en temps différé ("On demand"), qui est une opération très peu protectrice, exécutée épisodiquement, qui permet de s'assurer que l'on n'ouvrira pas, par mégarde, un parasite. En sus, une part de plus en plus importante des parasites, de toutes natures, est désormais détéctée sans faire appel à la moindre signature, par l'analyse du comportement d'un objet (analyses heuristiques, sandbox, machine virtuelles...).
Inflation du nombre de signatures par l'absurde :
Si on veut bloquer les dialers qui sévissent vers les numéros de téléphones surtaxés en France, on bloquera, par exemple, tous les appels vers les numéros 0899 00 00 00 à 0899 99 99 99 ce qui, si on le traite par l'absurde, représente 999.999 signatures dans la bases de signatures alors qu'en réalité il n'y a qu'une seule règle dans la base de signature.
| Historique des révisions de ce document : |
|
29.10.2006 Up V4
|
Rédigé en écoutant :
Music
Music