Faut-il vraiment continuer à payer pour un antivirus ?

Confrontées à une déferlante d’attaques informatiques, les entreprises remettent en question l’efficacité des antivirus. Et s’interrogent face aux offres de solutions gratuites de plus en plus nombreuses.

En 2011, un logiciel malveillant a réussi à passer à travers les mailles du filet du groupe La Poste. Au vu et au su de l’antivirus McAfee qui équipait l’entreprise. Bilan de l’infection : 3 000 machines hors service et près d’un mois d’efforts, en interne, pour éradiquer le virus du système d’information. Sans parler du prix de l’expertise technique réclamée par l’éditeur pour identifier le problème (10 000 dollars !) et du temps consacré à la remise en route des postes de travail…

En août 2012, c’est la compagnie pétrolière saoudienne Saudi Aramco qui perdait 30 000 PC suite à une infection virale, et ce, malgré l’utilisation d’un logiciel de protection. Et début janvier, Red October, découvert par l’éditeur russe Kaspersky, faisait la une des journaux pour avoir pillé des documents confidentiels pendant cinq ans auprès d’ambassades et d’industries militaires, pétrochimiques et nucléaires. On a alors parlé du “ casse numérique du siècle ”.

Devant de telles offensives, et parce qu’il ne s’agit là que d’exemples parmi d’autres, de plus en plus de sociétés commencent à douter de l’intérêt des logiciels de protection. Les responsables de la sécurité s’arrachent les cheveux devant la sophistication des menaces les plus récentes. C’est que depuis 1986, et le premier virus baptisé Brain, dont le nom s’affichait lorsqu’on insérait une disquette dans son ordinateur, les technologies utilisées par les hackers ont bien évolué.

Attaques massives visant à faire tomber un serveur ou un site Web (déni de service), vols d’informations sensibles, détournement de coordonnées bancaires… Les dégâts surviennent même dans les entreprises préparées et coûtent une fortune. En France, l’Institut Ponemon estime à 2,5 millions d’euros par an les dommages causés par les attaques informatiques. Et encore ne se base-t-il que sur des déclarations. Les montants réels sont probablement plus élevés. A titre d’exemple, Sony estimait ses pertes à 122 millions d’euros suite au vol de données qui a touché son service de jeux en ligne, Playstation Network, en 2011.

Infiltrés. Le problème, c’est que les programmes antivirus n’immunisent pas contre les agents isolés, conçus spécifiquement par des pirates qui ciblent une organisation précise et en connaissent les faiblesses. Ce sont eux qui ont servi à bloquer les centrales nucléaires iraniennes en 2010 et à dérober des informations au ministère de l’Economie et des Finances, mais aussi à Areva, en 2011.“ Les pirates disposent de tous les produits du marché pour tester leur attaque en laboratoire. Non seulement ils évitent ainsi d’être repérés, mais parfois ils prennent directement le contrôle du logiciel ”, explique Nicolas Ruff, chercheur en sécurité chez EADS.

Cela doit-il faire renoncer les entreprises à s’équiper d’une protection ? Les applications actuelles ne détectent que les infections déjà connues, et donc recensées. Il faut donc qu’il y ait eu “ un patient zéro qui donne l’alerte pour permettre de prévenir l’épidémie ”, reconnaît l’ancien cryptanalyste de la DGSE (Direction générale de la sécurité extérieure) Eric Filiol, aujourd’hui expert en virologie informatique. Mais comme un nombre incalculable de ces virus informatiques sont connus et répertoriés, “ se passer totalement d’antivirus serait inconscient ”, affirme Alain Bouillé, le président du Club des experts de la sécurité de l’information.

Actuellement, cette menace se propage essentiellement par la messagerie électronique. Selon une étude réalisée par The Radicati Group, il circulait “ seulement ” 12 milliards de courriers électroniques dans le monde en 2001. On en comptait 144 milliards en 2012. Le nombre de virus en circulation a connu la même croissance. Sans aucune action préventive, la probabilité d’en voir un arriver dans son ordinateur est à peu près certaine.Mais la situation n’est pas brillante pour les éditeurs, qui se battent pour tenter de fournir le niveau de protection attendue par leurs clients et pour préserver leur chiffre d’affaires en érosion constante depuis cinq ans.

Chute de tension. En 2007, le cabinet de conseil Gartner estimait le marché que se partageaient les éditeurs McAfee et Symantec à 25 millions de dollars dans le monde. Aujourd’hui, alors qu’ils sont cinq (avec Trend Micro, Kaspersky et Sophos), les 19 millions de dollars sont péniblement atteints. En France, par exemple, le nombre de licences vendues aux entreprises est passé de 715 500 en 2009 à 481 300 en 2012.

Les départements marketing des vendeurs d’antivirus sont à court d’idées. “ Pour justifier des prix élevés, ils proposent désormais des suites logicielles qui embarquent toute une batterie de logiciels annexes dont nous n’avons pas forcément besoin ”, raconte le responsable sécurité d’une compagnie d’assurances. Les laboratoires de recherche, eux, sont en ébullition. Ils doivent trouver des réponses aux menaces les plus récentes.

Traditionnellement, les antivirus analysent les fichiers et les courriels quand ils entrent dans le système informatique de l’utilisateur. Ils bloquent ceux répondant à un signalement précis, partagé dans une base de données commune à tous les éditeurs. Mais ce procédé, dit du dictionnaire, est désormais insuffisant. Les chercheurs en ont donc étudié d’autres.

Première piste : apprendre à détecter les comportements anormaux des ordinateurs. Cette méthode, qualifiée de heuristique, a pour but de protéger les systèmes de toutes les attaques, même de celles qui n’auraient jamais été recensées auparavant. Comment ? Par exemple, en inspectant les premières lignes de code de chaque fichier, et en veillant à ce qu’aucune opération inattendue (telle une connexion à un serveur à l’étranger) ne survienne.

Très prometteuse, cette démarche a finalement déçu les utilisateurs, car elle entraînait un nombre trop important de fausses alertes. A cause d’elle, en 2009, l’antivirus AVG reconnaissait iTunes comme un cheval de Troie… Les spécialistes ont donc changé leur fusil d’épaule. Ils ont décidé d’exploiter la puissance toujours accrue des machines pour créer de nouvelles parades. “ Nous travaillons à des techniques connues sous l’appellation de bacs à sable. Chaque fichier est exécuté dans un environnement isolé du système d’exploitation. Ainsi, même s’il est contaminé, il ne risque pas d’infecter tout le système ”, explique Laurent Heslaut, responsable chez Symantec de l’offre sécurité pour l’Europe. Mais ce processus est lui aussi insatisfaisant, car il complique l’utilisation du fichier.

Technique contraignante. La dernière approche en vogue est celle de la liste blanche. Elle consiste à énumérer les processus autorisés à fonctionner sur un système d’exploitation. Et à interdire tous les autres. Ainsi, un virus programmé pour aspirer des frappes sur le clavier ne pourra pas s’exécuter. Quelques applications antivirus commencent à intégrer cette technique mais à la marge, car elle se révèle, elle aussi, trop contraignante. Elle exige en effet de créer une liste par machine et par utilisateur. Une tâche lourde, qui limite son usage à quelques postes critiques.

Mais pour Nicolas Ruff, “ cette méthode reste la plus efficace ”. On peut donc s’attendre à ce qu’elle se développe. En attendant LA solution, les entreprises rongent leur frein et se lassent de payer une protection défaillante. A La Poste, par exemple, le budget engagé pour protéger 135 000 postes de travail, 22 000 serveurs, 170 000 boîtes de messagerie électronique et 120 000 utilisateurs sur le portail du site, s’élève à six millions d’euros pour cinq ans. Une somme qui comprend l’acquisition, la maintenance et le support.

Quitte à courir un risque, de plus en plus de sociétés envisagent la possibilité de se tourner vers des logiciels gratuits. “ Je sais que plusieurs grands noms du CAC 40 réfléchissent à basculer sur Essentials, la solution gratuite de Microsoft ”, confie un expert qui a souhaité rester anonyme. Nicolas Ruff, lui, a un avis tranché sur la question : “ Pour moi, les outils gratuits fonctionnent aussi bien que les payants – ou aussi mal, selon le point de vue de l’utilisateur ! ”

Le grand public, lui, ne paie plus depuis longtemps. L’univers professionnel avance à pas comptés sur ce sujet. “ Un tel saut n’est pas si simple à réaliser. Il nécessite au préalable d’examiner quelles fonctionnalités vont changer et de vérifier s’il n’existe pas des coûts masqués, explique Emmanuel Garnier, le responsable de la sécurité des systèmes d’information de Systalians. Il faut donc passer en revue les outils de déploiement nécessaires, les besoins en termes de tableaux de bord, de supervision à distance, de reporting, d’assistance et de puissance informatique… ” L’offre Essentials devient payante dès lors qu’on lui ajoute ce genre de fonctions.

Sans elles, le déploiement des mises à jour doit être opéré manuellement poste par poste. Et dès lors que l’entreprise dépasse la cinquantaine de machines, son système d’information est exposé à une porosité certaine, car un oubli est vite arrivé. A moins de développer ses propres outils d’administration, l’entreprise n’a d’autres choix que de compléter un antivirus gratuit par des logiciels qui, eux, restent payants.

Sous haute surveillance. Qu’elles choisissent des outils gratuits ou non, les sociétés sont donc contraintes de multiplier les couches de sécurité pour renforcer le système immunitaire de leur informatique. “ Nous avons installé un antivirus sur le serveur de messagerie et un autre consacré à l’analyse de certains fichiers afin de surveiller qui les lit ou les modifie, explique Vincent Durrieu, responsable sécurité production de Systalians. Nous prévoyons d’en installer un troisième spécifiquement pour notre portail Internet. Enfin, nous avons un dispositif de prévention d’intrusions chargé de détecter les comportements anormaux sur le réseau… ” Pas question, donc, de débrancher les antivirus : ils répondent encore à un vrai besoin.

Mais plus que jamais, la formation des collaborateurs aux bonnes pratiques s’impose. Ne craignez pas de répéter ad nauseam les conseils de prévention les plus simples. Les salariés ont plus que jamais leur rôle à jouer dans la lutte contre les infections virales.

100 millions de virus circulaient en 2012 (+ 50 % par rapport à 2011).
(Source : AV-Test)

0,3 % des courriels reçus en France contiennent un virus.
(Source : Symantec)

150 actes malveillants lancés chaque jour dans le monde.
(Source : Symantec)

30 % des offensives visent des entreprises de moins de 250 salariés.
(Source : Symantec)

50 % des attaques ciblent des sociétés de plus de 2 500 salariés.
(Source : Symantec)

Prix HT des solutions pros par utilisateur et par an

Panda : 76,99 euros
McAfee : 99,95 euros
Avast : 39,99 euros
G-Data : 44,95 euros
Symantec : 58,43 euros
Source : Le-meilleur-antivirus.fr