Les circonvolutions de la détection de malware
Par Nicolas WOIRHAYE, vendredi 13 avril 2007 à 11:07 :: General :: #131 :: rss
Nous assistons depuis hier à la propagation d’une variante du ver "Storm". Le malware est envoyé par courriel à des dizaines de millions d’internautes. Il s’agit bien évidemment d’un de ces malware « pandémiques » dont nous perdons progressivement l’habitude…
Alors que notre esprit malade nous pousse à souligner, depuis plusieurs mois, le manque de réactivité et d’exhaustivité des traditionnels éditeurs antivirus, il est intéressant dans ce cas précis de dresser un état des lieux de la détection de cette attaque.
En effet, si les éditeurs antivirus ne sont (dans leur majorité) pas encore au niveau de détection souhaité face à l’extraordinaire développement du volume de malware en général, nous pensions, peut-être à tort, que ceux-ci faillissaient sur le volume pour se concentrer sur les attaques pandémiques. Le cas présent (détaillé plus loin) nous pousse hélas à revoir notre jugement.
J’ai repris consciencieusement toutes les traces de cette variante, qui se présente sous la forme d’un fichier compressé attaché à un courriel dont le contenu est le suivant :
La première personne a avoir communiqué (sur une liste de diffusion privée, pourtant) une analyse de ce malware serait, d’après mes recherches, Jose Nazario, d’Arbor Networks (12 avril, 18h41 UTC). Ce n’est donc pas un éditeur antivirus puisque cette société est un prestataire de lutte contre les dénis de service…
Un peu plus de 2 heures plus tard, l’ISC (Internet Storm Center) du SANS Institute mentionne l’existence de cette attaque. A 21h16, une analyse VirusTotal montre que notamment ni McAfee, ni Kaspersky, ni Sophos, ni Microsoft ne détectent encore le suspect. Le (presque) nouveau venu Prevx, dont le slogan est « We see more malware. We see it faster. We protect you better »… ne voit rien non plus.
Reste la célèbre liste Full-Disclosure sur laquelle reposent bien des détections de nouvelles vulnérabilités. Et là , la première interrogation timide ne vient que le lendemain à 00h10.
Près de 12h après le lancement de cette attaque, il reste encore une grosse majorité d’antivirus qui se demandent : quoi ? pour qui ? pour quoi ?
Une question de fond nous taraude : pourquoi les acteurs d’un marché de l’antivirus de quatre milliards de dollars, et qui représentent un maillon critique de la sécurité d’Internet, ne peuvent faire mieux qu’une armée mexicaine de chercheurs dont ce n’est pas le métier ?
Par ailleurs, il faut bien le reconnaitre, nous avons aussi été les premiers surpris du niveau de diffusion de ce malware : on peut légitimement se demander pourquoi tant de passerelles de messagerie d’entreprise tolèrent encore des courriels contenant, in fine, un fichier exécutable …
Nicolas