SV : Depuis quelque temps, nous assistons à une croissance phénoménale de la quantité de programmes malveillants. ? quoi est-ce dû ? ? l'appât du gain des cyber-délinquants ?

N : Commençons par rappeler qu'il n'existe pas de système unique de comptabilisation des programmes malveillants. Nous savons tous que des solutions modernes sont développées en s'inspirant des analyseurs comportementaux avancés et que le modèle comportemental avancé HEUR:Worm.32. Generic bloque chaque jour des millions de fichiers différents. Alors, comment les compter ? Kaspersky Lab est passé depuis longtemps de l'évaluation abstraite du volume de virus détectés à des statistiques basées sur les chiffres réels d'infections par des virus et d'attaques évitées. Ces statistiques nous sont envoyées en ligne par les utilisateurs de nos produits. Nous connaissons chaque jour la quantité d'infections par des virus et le nombre de machines infectées, et nous pouvons donc suivre avec précision la propagation des épidémies. En chiffres absolus, nous obtenons chaque jour plusieurs millions d'attaques différentes, mais celles-ci sont causées toujours par les mêmes fichiers. Mais d'où viennent tous ces fichiers ? Aujourd'hui, les virus constituent un fonds de commerce important et le domaine de la programmation système, dont l'intérêt, il y a quelque temps encore, était de représenter une approche non banalisée, est devenu pour les cyber-délinquants un moyen de générer des revenus. Et comme dans n'importe quelle activité, les ateliers clandestins se sont transformés en usines parfaitement organisées, avec une séparation des tâches bien définie. Les clients sont généralement réticents à payer des dizaines de milliers de dollars pour la création d'une nouvelle version d'un botnet utilisant des chevaux de Troie. Il est bien plus simple d'acheter un pack développé pour vous, avec les services d'assistance correspondants. Ainsi, si le pack est détecté, on vous en fournit un autre. C'est l'une des principales raisons de la croissance des fichiers malveillants. Comme le dit l'un de nos collègues : « On fait du neuf avec du vieux, avec un nouvel emballage bien beau ». Soit les développeurs de logiciels malveillants se sont montrés extrêmement paresseux, soit les éditeurs d'antivirus ont accéléré la création de signatures de protection. En tout cas, l'idée a été poussée encore plus loin.
Les outils chargés de masquer les logiciels malveillants sont maintenant placés sur le serveur Web à partir duquel ces logiciels sont téléchargés. Lorsqu'un utilisateur suit le lien qui mène à un programme malveillant, le serveur propose un nouveau fichier unique. On parle dans ce cas de polymorphisme côté serveur. Chaque fois que le lien est utilisé, l'utilisateur reçoit un fichier différent doté de fonctionnalités identiques. Les projets de développement de virus à l'aide de code open source de type Pinch & Black Energy ont également joué un rôle important dans la multiplication des variantes détectées. Toute personne en marge de la loi peut trouver le texte d'origine de ces programmes, les personnaliser en fonction de ses objectifs et commencer à les diffuser.


SV : ? cet égard, comment la démarche de traitement des programmes malveillants par les éditeurs d'antivirus a-t-elle évolué ?

N : Tout d'abord, l'afflux de données malveillantes a tellement augmenté que nous-mêmes, à notre siège, avons été confrontés à des problèmes de capacité d'alimentation électrique pour la connexion de nos nouveaux serveurs. Nous recevons des centaines de milliers de fichiers par jour et pour les traiter manuellement, il nous faudrait plus de 1 000 personnes. C'est pourquoi nous avons radicalement changé notre méthode. Notre objectif est de réduire au minimum le nombre de fichiers qui parviennent à nos analystes antivirus. Chacun devrait pouvoir faire ce qui lui plaît vraiment, en l'occurrence, réfléchir aux nouveaux échantillons et les analyser, ce qui ne peut pas être fait par des machines. Parallèlement, il faut laisser les tâches de routine aux robots. D'ailleurs, pour nous, le combat entre nos robots et ceux de nos adversaires est un sujet de plaisanterie. Nous renforçons également nos capacités régionales. Pour commencer, nous avons ouvert un laboratoire antivirus à Beijing et nous nous préparons à en ouvrir un autre aux Etats-Unis, à Seattle. De cette façon, Kaspersky Lab pourra couvrir tous les fuseaux horaires, ce qui permettra peut-être, à terme, d'éviter aux analystes antivirus basés à Moscou de travailler en trois-huit.


SV : Comment recevez-vous les nouvelles versions de programmes malveillants ?

N : Bien entendu, nous avons beaucoup changé nos méthodes d'obtention de nouveaux échantillons de programmes malveillants. Auparavant, nous recevions des fichiers suspects envoyés par les utilisateurs de nos produits et d'autres personnes sur notre boîte électronique newvirus@kaspersky.com. ? présent, nous tentons plutôt d'identifier précocement les fichiers malveillants. Nos robots parcourent les pages Internet, reçoivent et « lisent » les spams, et imitent les utilisateurs de clients de messagerie instantanée. Ils sont même capables de soutenir une conversation ! Tout cela est passionnant. Par ailleurs, nous partageons volontiers nos informations sur les menaces que nous avons détectées avec nos collègues d'autres sociétés et réciproquement.


SV : ? l'avenir, sera-t-il possible d'automatiser entièrement le processus et de se passer des analystes antivirus ?

N : Que nous puissions éliminer entièrement les humains du processus, en particulier les analystes antivirus, me semble très peu probable. Avec un tel système automatique, la qualité se dégraderait très vite. Plus vraisemblablement, les analystes antivirus auront pour rôle de configurer les différents robots et d'intégrer à leurs algorithmes les moyens de lutter contre les nouveaux vecteurs d'attaque. Et même ainsi, il existe toujours des données incomplètes ou contradictoires dont un robot ne peut se charger, ou des faux positifs que seuls des humains sont en mesure de traiter.
RE

Nikita Shvetsov, responsable de la recherche sur les antivirus chez Kaspersky Lab