Commençons par l'étude la plus récente pour laquelle nous n'avons pas beaucoup de détails malheureusement. Elle porte sur l'analyse de 100 millions de machines compromises et en relation avec des botnets[1]. Tout d'abord le nombre impressionnant de machines impliquées dans cette étude devrait vous rappeler les estimations de Vinton Cerf, co-inventeur du protocole de communication d'Internet. Ces estimations, datant de 2007, avançaient un chiffre de 100 à 150 millions de machines zombies, soit 25% des machines connectées à l'époque. Ça paraissait totalement impossible, et pourtant il y a apparemment bien une proportion énorme de machines compromises, malgré tout ce que certains avaient promis depuis deux ou trois ans.

L'autre information intéressante de cette étude, c'est que 25% de ces 100 millions de machines compromises font parti de réseaux d'entreprises. Et de conclure que, comme en entreprise on se connecte en général à travers une passerelle Internet qui masque l'adresse interne des machines de l'entreprise, cette proportion de 25% est certainement sous-estimé ! Par contre ceci signifie qu'un virus tournant en rond dans un réseau d'entreprise fait croire qu'une unique machine est infectée pendant tout ce temps. On ne s'étonne donc pas que l'étude mentionne des machines infectées sur plus de deux ans…

Quoi qu'il en soit, ceci est plutôt alarmant : rappelons en effet que ces machines ont été étudiées parce qu'actives sur Internet. Autrement dit les machines d'entreprises compromises sont tout-à-fait capables d'organiser le vol d'informations. Or d'après les chiffres de l'étude, de l'ordre de 25 millions de sites d'entreprises dans le monde seraient dans cette situation de vulnérabilité… Comment se fait-il que la sécurité informatique ne soit toujours pas la préoccupation n°1 des nations, problème de lobbying encore ?

Venons en maintenant à l'étude la moins récente. Celle-ci montre que, même avec un antivirus à jour et activé, 23% des machines de particuliers sont quand même infectées ! Largement de quoi douter de l'utilité de ce logiciel, d'autant plus que l'étude montre que s'il est actif mais pas à jour, c'est 35% de machines compromises, et s'il est inactif ou absent, alors c'est 33%. On ne peut pas dire que la différence soit vraiment convainquante, pourtant Windows® râle s'il n'y a pas d'antivirus, ou s'il n'est pas à jour, comme quoi la sécurité vue par Microsoft… Du côté des entreprises, le détail des chiffres montre que plus on sonde de machines dans le réseau, plus le risque d'avoir une machine compromise est important : normal non ? Donc pour plus de 100 PC sondés, c'est 72% d'entreprises affectées, entre 50 et 100, c'est 62% et en-dessous de 50, c'est 36%.

Reste à analyser la procédure employée dans cette étude. Pour les machines des particuliers, il s'agit des résultats de scans antivirus en ligne portant sur près de 1.5 millions de machines durant 3 mois. Seul le premier scan compte lorsqu'une machine se présente plusieurs fois : si elle est bonne la première fois mais plus bonne plus tard, elle compte quand même comme non compromise… Pour les entreprises, il s'agit de sondages sur site. Comme pour les scans en ligne, seul le premier sondage compte. Ensuite la grosse question c'est quel est le taux de détection de leur outil ? Forcément inférieur à 100%, il est vraisemblablement plutôt de l'ordre de 80% globalement mais… 2% sur les logiciels malveillants très récents[2]. À nouveau les chiffres sont donc sous-estimés, on doit plutôt avoir chez les particuliers 30% de machines compromises malgré l'antivirus actif et à jour[3], et… 90% des réseaux d'entreprises compromis ? Ouch !

Remarque : comme par hasard Panda Security, en enregistrant à chaque fois le nom de l'éditeur de l'antivirus relevé sur chaque machine, trouve que son antivirus est plus efficace que celui des concurrents. Ceci illustre simplement le fait qu'aucun antivirus détecte tout et qu'en plus, ils ne détectent pas tous la même chose. Quoi qu'en dise Panda Security, son outil de détection de logiciels malveillants doit fonctionner un peu (beaucoup ?) comme son antivirus, il est donc normal que les machines avec l'antivirus de même marque paraissent moins affectés.

Conclusion

Bon, on aurait pu ou dû mettre comme titre de ce billet « Les logiciels antivirus sont définitivement inefficaces », mais je ne sais pas si j'aurai assez d'adverbes pour tenir ce thème sur les années qui viennent ! Quoi qu'il en soit le voile est définitivement levé, c'est aussi l'avis de l'expert en sécurité informatique Nicolas Ruff[4] qui, en introduction de son article Pourquoi la sécurité est un échec (et comment y remédier) déclare :

Avec l’entrée des marchands dans le temple, la sécurité se ré́sume aujourd’hui le plus souvent à l’acquisition de produits, voire de certificat(ion)s. […] Parmi les stars déchues des conférences et des salons, devenues aujourd’hui “so last year”, on peut citer : le contrôle d'intégrité des fichiers, les honeypots, les IDS et toutes leurs dé́clinaisons, voire les antivirus et les firewalls… […] Enfin la sécurité́ par l’éducation en est toujours au point mort. Il est même raisonnable de considérer qu’elle a ré́gressé́ avec l’irruption du « Web 2.0 », particulièrement des ré́seaux sociaux. […] C’est pourquoi cet article tentera de ré́pondre à une question apparemment simple : « pourquoi votre ré́seau interne est toujours vulnérable en 2009, malgré́ tout l’argent investi dans la sécurité ».

Voilà qui résume assez bien le contenu des différents billets parus sur ce sujet dans ce blog : les outils de sécurité informatique ne sont pas vraiment efficaces, ils sont plus liés à des impératifs commerciaux que techniques. Et les éditeurs ou fournisseurs de services sur Internet s'occupent plus de créer des nouveautés en accumulant des couches de code immature ou de leur bénéfices financiers indécents[5] que de la sécurité de leurs utilisateurs. Tant qu'on ne fera pas d'éducation, à tous les niveaux donc (pas seulement les utilisateurs ;-) ), il n'y aura pas de résultats probants. L'ère du PC presse-bouton est terminée.

Bon on a un peu l'impression de radoter, mais donnons pour clore ce billet divertissant les recommandations de sécurité que tout le monde trouvera exagérées :

  1. sur Internet je ne fais confiance a priori à rien ni à personne, surtout pas à ceux qui prétendent être un(e) ami(e) !
  2. je n'installe que des logiciels en lesquels je peux être totalement confiant, si possible téléchargés directement chez l'éditeur, et de préférence je vérifie leur intégrité avant installation
  3. corollaires : je n'installe pas de logiciel piraté ou destiné à pirater du contenu (qui sont souvent truffés de logiciels malveillants), je ne télécharge moi-même que les logiciels dont j'ai réellement besoin, je n'installe pas de codec sur simple demande d'un logiciel quel qu'il soit et je ne fais pas confiance aux logiciels ramenés par les copains !
  4. j'évite les sites dont les activités sont habituellement liées à la mafia car ils sont souvent vecteur de logiciels malveillants (jeux d'argent, pornographie - pas de chance ;-) )
  5. je me méfie des logiciels gratuits dont on ne peut pas vérifier le contenu (les freeware et shareware[6])
  6. je mets à jour l'intégralité de ma machine régulièrement (le système, tous les logiciels sans exception, et aussi les pilotes du matériel)
  7. je ne mets pas en place de service dont je n'ai pas réellement l'utilité (serveur web, mail, VNC, SSH, RDP, bittorrent, partage Windows, etc.), et si je ne sais pas les sécuriser je ne le fais pas du tout !
  8. j'utilise des logiciels qui ont toutes les fonctionnalités qui m'intéressent, ni plus ni moins[7]
  9. corollaire : moins votre système prend de place sur le disque, mieux c'est !
  10. je me méfie des notifications du systèmes, certaines étant des leurres générés par des logiciels malveillants, sans parler des fenêtres de publicité !

NB: si vous connaissez Linux, vous saurez certainement que c'est le système grand public qui permet de garantir automatiquement le plus grand nombre de points de cette liste.

Le mot de la fin : dans la nature, la sélection naturelle peut faire disparaître une espèce définitivement mais la bio-diversité garantie que la Nature continue à tourner malgré tout (cf. l'extinction des dinosaures). Dans le monde de l'ordinateur de bureau, il n'y a quasiment pas de bio-diversité, alors gare à l'extinction des dinosaures, ça pourrait vous toucher ;-) !

Notes

[1] réseaux de très nombreuses machines contrôlées à l'insu de leur propriétaire par un unique pirate, cf. Botnets, le record tombe : 2 millions de machines pour un seul…

[2] voir 6 mois de capture de logiciels malveillants et Les logiciels antivirus sont réellement inefficaces !

[3] parce que si 23% représentent 80% de détection de l'antivirus, il en manque ¼ (puisque 20% représente ¼ de 80%)

[4] voir son blog qui ne manque pas de piquant, tous les systèmes en prennent pour leur grade…

[5] voir le billet Combien coûte Microsoft à la France ?

[6] mais pas les logiciels libres dont on peut vérifier le contenu, mais ça n'empêche pas quelqu'un de vous refiler une version avec logiciel malveillant ajouté…

[7] parce que plus il y a de fonctionnalités, plus il y a de risques de failles et donc d'intrusion de logiciels malveillants