Depuis une bonne dizaine d’année, avoir un antivirus en entreprise est assez fréquent. Que ce soit un antivirus tiers (type Avast, BitDefender etc) ou celui fourni au sein de Windows, les options sont nombreuses. Cependant l’antivirus a un champ d’action limité, et n’est pas une protection sans failles, surtout en milieu professionnel.
Comment fonctionne un antivirus ?
Un antivirus détecte les fichiers malveillant grâce à une « signature ». Cette signature est une portion du code du virus, extraite par des chercheurs en sécurité et inclue dans la base de données de l’antivirus. Celui-ci pourra reconnaître un fichier comme malveillant s’il retrouve cette même signature dans le code du fichier analysé.
Seulement, les signatures sont enregistrées par des chercheurs et la base de données des antivirus doit être maintenue à jour très régulièrement. De plus, il est très fréquent que le code des virus soit légèrement modifié, justement pour échapper à ce genre de détection. Sans compter les nouvelles formes de virus créés sur des failles appelées « zero-day » (qui n’ont pas encore été découvertes).
Complétez votre antivirus en entreprise avec une sandbox
Pour compléter (et pas remplacer) l’usage des antivirus, un autre système de détection à été mis au point : les « sandbox ». Le concept est simple mais efficace : on place le fichier à analyser dans un environnement simulé (un ordinateur virtuel en quelque sorte) et on observe son comportement. Si le virus tente des actions suspectes, il ne peut toucher qu’a l’environnement virtuel, et non le « véritable » ordinateur ; et sera ensuite bloqué.
Mais encore une fois, les cybercriminels ont trouvé différentes façons de contourner ce genre de dispositif. Maintenant les virus peuvent détecter qu’ils sont placés dans une sandbox, et décider de se « mettre en veille » pour ne pas paraître suspect et passer le contrôle. D’autres font même semblant d’avoir une activité normale, ou s’exécutent dans des « angles morts » que la sandbox ne peut pas observer.
« Comment le virus peut-il savoir qu’il est dans un environnement simulé ? »
Eh bien, faire fonctionner une machine virtuelle demande beaucoup de ressources à l’ordinateur. Pour limiter l’impact sur les performances, les éléments « superflus » d’une machine réelle ne sont pas émulées. Les virus n’ont qu’à analyser l’environnement pour comprendre s’il s’agit ou non d’une sandbox.
Une réponse adaptée aux menaces modernes : WatchGuard APT Blocker
Pour faire face à ces menaces de plus en plus avancées, WatchGuard a mis au point un nouveau moyen de détection. Plus poussé qu’une sandbox classique, le système APT Blocker de WatchGuard est intégré dans tous les pare-feu Firebox. Cette technologie permet une émulation d’un système complet et fonctionnant comme un véritable ordinateur. Il devient donc impossible pour les malwares de comprendre qu’il s’agit d’un environnement virtuel.
Lorsqu’un fichier exécutable passe par la Firebox, celle-ci compare la signature du fichier avec la base de données, pour voir s’il a déjà été « sandboxé » par d’autres pares-feux. Si ce n’est pas le cas, le fichier est envoyé dans une émulation et son comportement est analysé par l’APT Blocker.
S’il est malveillant, le fichier sera bloqué et un rapport sera disponible pour les équipes techniques via l’interface Watchguard Dimension.
On comprend très bien que vous soyez attaché à votre antivirus d’entreprise, mais si cet article vous a fait douter de son efficacité, contactez-nous !