Dernière mise à jour : 04/12/2007

Selon elle - et on peut penser qu'elle a raison, il n'est pas possible d'empêcher un logiciel malveillant d'entrer. Aussi, plutôt que de se barder d'anti-machin, elle préfère rester très prudente avec Internet et de temps en temps vérifier l'intégrité de son système et le trafic réseau. Gageons que la configuration de ses machines est aussi au top niveau de la sécurité et que c'est le principal rempart après le comportement de l'utilisateur sur Internet, comme souligné dans les billets Les menaces sur Internet et Éviter les problèmes sur Internet.

Voici ce que nous dit Joanna :

« On my primary machine, I run Windows XP x64. I don't use any anti-virus products to secure any of my machines. [...] I'm not very satisfied with the existing commercial solutions, because I know how easy it is to create malware to bypass them all. »

Sur ma machine principale, je tourne sous Windows XP x64. Je n'utilise aucun logiciel anti-virus pour sécuriser mes machines. [...] Je ne suis pas très satisfaite des solutions commerciales existantes, parce que je sais combien il est facile de créer des logiciels malveillants qui les court-circuitent toutes.

Comment fait-elle alors pour ne pas être infectée ? Et bien elle nous explique qu'elle est très vigilante avec Internet :

  • désactivation des scripts des pages web[1]
  • ne jamais ouvrir les mails douteux
  • ni les pièces jointes de type PowerPoint, PDF, ...
  • etc.

Mais que cela ne suffit pas :

« Of course, I'm still aware that it's not enough [...] So, from time to time, I might run some custom tools of mine to check the integrity of my system or start Wireshark to see what my traffic looks like. »

Bien sûr, je sais bien que ce n'est pas suffisant [...] Donc de temps en temps, je vais faire tourner quelques uns de mes outils maison pour vérifier l'intégrité de mon système ou lancer Wireshark pour voir à quoi ressemble mon trafic réseau.

Donc elle accepte d'être de temps en temps « dérangée » par des logiciels malveillants sachant qu'elle sait bien sûr parfaitement les détecter et s'en débarrasser, contrairement à nous. De là à dire que les logiciels anti-machin ne s'adressent qu'à ceux qui n'y connaissent rien ou peu, il n'y a qu'un pas. Le billet Microsoft tombe le masque !, qui nous explique que Microsoft préfère ouvrir un service payant d'anti-machin pour ses systèmes Windows® plutôt que d'améliorer ses systèmes, abonde d'ailleurs dans ce sens.

La conclusion évidente, mais on l'a déjà dit dans le billet Sécuriser sa machine, vraiment, c'est qu'il vaut mieux quitter Windows pour un système plus sûr quand on n'y connaît pas grand chose, mais même quand on s'y connaît !

NB: les plus fans[2] pourront consulter le site de Joanna Rutkowska sur lequel on retrouve ses articles, ses pensées, mais aussi ses outils de vérification du système. Avis aux amateurs.

Épilogue

L'article Sur les serveurs, les virus mutent et deviennent trop rapides enfonce le clou en mettant à la lumière des virus encore plus complexes à détecter : une seule souche émet plusieurs milliers de variantes en quelques dizaines d'heures... Le problème est que certaines variantes ne vont toucher que très peu de machines et resteront donc très longtemps non détectées. En plus, les antivirus, par la complexité croissante de leur code d'évaluation de la nuisibilité des programmes, seraient eux-mêmes sources de failles d'après l'article Les antivirus aussi vulnérables que les logiciels qu'ils protègent.

Ajoutons à cela que le billet 6 mois de capture de logiciels malveillants montre grâce à l'outil Nepenthes que de l'ordre de 20% des programmes malicieux qui atteignent des machines mal sécurisées ne sont vraisemblablement pas reconnus par les antivirus, 80% si on considère uniquement ceux du jour-même. Ceci n'est finalement pas illogique car, à moins d'une infection à grande échelle, les entreprises, qui sont actuellement plutôt bien protégées, ne seront pas atteintes. Or ce ne sont normalement pas les particuliers qui sont capables de détecter de nouveaux virus chez eux ! Qui va donc prévenir l'éditeur d'antivirus ?

Corollaire : les scores affichés sur le site de comparaison d'antivirus http://www.av-comparatives.org/[3], très bons pour les virus connus, très mauvais pour les inconnus, sont tout à fait logiques ! De quoi relancer le débat sur la mise en place d'une méthode systématique de détection, comme évoqué dans le billet Classification des logiciels malveillants.

PS: je vous laisse vous faire votre propre opinion sur les tests et comparatifs d'antivirus qui concluent sur de très bonnes performances de détection. Par exemple Clubic, Matbe.com, eservice.free.fr, www.virus.gr, Dr. Malware etc. On remarquera aussi que ces sites ne parlent quasiment jamais de l'antivirus libre ClamAV™ que l'on peut équiper de Winpooch pour le scan des fichiers à la volée, ni de ClamMail qui scanne les email entrant avec le moteur de détection de ClamAV.

Notes

[1] voir le billet Pages web malveillantes : Firefox bas Internet Explorer par KO... pour comprendre en quoi ces scripts sont dangereux de nos jours

[2] et je sens qu'il va y en avoir ;-)

[3] cliquer le lien Comparatives puis les liens On-demand comparative et Retrospective/ProActive Test