De temps en temps, les éditeurs de logiciels antivirus essaient d’inventer une technologie innovatrice qui permettrait de résoudre tous les problèmes mentionnés précédemment en un seul coup. Ils cherchent à développer une sorte de panacée qui pourrait protéger chaque ordinateur de toutes les attaques malveillantes une bonne fois pour toute. Ils essaient de protéger « proactivement » l’utilisateur en cherchant à être capables de détecter et de supprimer les virus et autres malwares émergents avant même qu’ils n’aient été créés ou lancés dans un monde peu méfiant.
Malheureusement, bien que pleine de bonnes intentions, cette quête reste vaine. Les solutions universelles peuvent uniquement être appliquées à des problèmes génériques et les virus informatiques ne suivent pas de règles. Ils ne sont pas le produit de procédés bien documentés mais bien souvent de l’esprit sophistiqué des hackers. Les virus changent constamment et dépendent largement des objectifs et des désirs de ceux qui se cachent du côté sombre du monde digital.
Regardons comment la méthodologie de détection utilisée par les bloqueurs de comportement diffère de celle utilisée par les solutions antivirus plus traditionnelles qui se base normalement sur les signatures des virus. Elles utilisent deux approches de détection des virus très différentes pour arriver à la même fin. La détection de signature compare le code d’un programme avec les codes de virus connus, à la recherche d’une correspondance. Un bloqueur de comportement surveille l’exécution et le fonctionnement des programmes fin de s’assurer qu’ils respectent bien les règles attendues et il les bloquera si ceux-ci semblent suspects ou malveillants. Les deux méthodes ont des avantages et des inconvénients.
L’avantage d’un scanner de signatures est qu’il bloquera tous les logiciels malveillants qu’il reconnait. L’inconvénient est qu’il pourrait manquer ceux qu’il ne reconnait pas. Autre inconvénient : il existe un nombre infini de bases de données antivirus et les ressources de l’ordinateur peuvent être mises à dure épreuve. Les bloqueurs de comportement sont avantageux car ils sont capables de détecter les programmes malveillants, même ceux avec lesquels ils ne sont pas familiers. Néanmoins, des variantes connues peuvent facilement être manquées, car le comportement des virus modernes et des chevaux de Troie est si imprévisible qu’aucune série de règles ne pourra tout prévoir. Un autre inconvénient des bloqueurs de comportement est qu’ils peuvent parfois créer des faux positifs car même les programmes légitimes peuvent se comporte de manière inattendue. Un bloqueur de comportement pourra donc occasionnellement laisser passer un programme malveillant et bloquer le fonctionnement d’un programme légitime.
Les bloqueurs de comportement ont un autre inconvénient : leur inhabilité à reconnaitre certain nouveaux virus. Prenons l’exemple d’une compagnie X qui a développé un logiciel bloqueur de comportement appelé AVX capable de bloquer 100% des virus connus. Comment les hackers réagiraient-ils à cela ? Ils inventeraient certainement une nouvelle manière d’infecter les systèmes que AVX ne pourrait pas détecter. L’antivirus AVX devra alors mettre à jour ses règles de reconnaissance de comportement. La compagnie X crée donc des mises à jour. Puis d’autres mises à jour, et encore d’autres, alors que les hackers et les créateurs de virus trouveront toujours de nouvelles manières de contourner les mises à jour. On se retrouve finalement alors avec un scanner de signatures, où les signatures prennent la forme de « comportement » au lieu de « fragments de code ».
Le scénario ci-dessus comprend également l’analyseur heuristique, une autre méthode de protection proactive qui a pour objectif de surveiller l’exécution des programmes ainsi que leur comportement et qui les bloquera s’ils semblent malveillants. Quand ces technologies antivirus commencent à sérieusement entraver les activités des pirates, les empêchant d’attaquer leurs victimes, une nouvelle série de virus émerge alors et permet aux pirates d’éviter ce type de protection heuristique. Dès qu’un produit dispose de technologies heuristiques avancées ainsi que de technologies avancées permettant de bloquer les comportements malveillants, il ne réussit pas à être efficace.
C’est pourquoi les nouvelles technologies proactives ont tendance à avoir une durée de vie limitée. Alors que des hackers amateurs mettront des semaines voire des mois à contourner ces nouvelles technologies proactives, les hackers les plus expérimentés pourraient trouver un moyen en quelques heures ou mêmes quelques minutes. Même s’il est très performant, un bloqueur de comportement ou un analyseur heuristique requière une amélioration et une mise à jour constantes. Il est important de garder à l’esprit qu’ajouter de nouvelles signatures à une base de données antivirus ne prend que quelques minutes, alors que la finalisation et la période de test des technologies de protection proactive prennent bien plus de temps. Dans la réalité, la vitesse à laquelle les signatures de virus peuvent être ajoutées aux bases de données et intégrées grâce à une mise à jour est souvent bien plus rapide que la vitesse à laquelle des solutions mises à jour peuvent être créées pour des technologies proactives similaires. Ce fut le cas pour de nombreuses épidémies de vers de courrier électronique ou de réseau ainsi que pour des nombreuses épidémies de spywares et autres logiciels criminels.
Bien sûr, tout cela ne signifie pas que les méthodes de protection proactive sont inutiles. Elles font leur travail et sont capables de bloquer de nombreux logiciels malveillants développés par des hackers relativement peu expérimentés. Elles peuvent par conséquent être considérées une addition utile aux traditionnels scanners de signatures mais ne doivent pas être la seule méthode de protection utilisée.