J’ai eu la chance à plusieurs reprises d’êtavere invité chez Symantec pour assister à des présentations sur la sécurité et sur leurs nouveaux Norton 2009 (et plus récemment Norton 2010). Bon, au début, je ne vous cache pas que j’y suis allé juste comme ça pour voir car j’avais de forts a-priori sur Norton (comme je pense 90% d’entre vous)… en effet Norton 2008 était très consommateur de mémoire et impossible à désinstaller (le délire quoi !).
C’est donc avec un petit sourire en coin que j’ai assisté à la première présentation de Rowan Trollope l’année dernière au sujet de Norton 2009, en me disant que ça allait être la même daube qu’avant… Mais quand Rowan Trollope a expliqué que oui, ils avaient merdé et que oui, leur antivirus cru 2008 était une catastrophe, je me suis dit « Tiens….?« . C’est tellement rare de voir de grosses boites comme ça reconnaitre leurs erreurs…
Du coup, à la fin de la présentation, je suis reparti comme tout le monde avec un CD de Norton 2009 à tester. Evidemment, je l’aurai mis dans un coin ou j’en aurai fait un pendentif pour mon retroviseur si Rowan ne m »avait pas surpris en reconnaissant que la version 2008 était un échec et avait expliqué que le cru 2009 avait été repensé et re-écrit de zéro.
Et comme on dit, y’a que les cons qui ne changent pas d’avis, je l’ai donc testé !
Je vous avais d’ailleurs déjà parlé et j’avais été assez impressionné par la consommation mémoire bien à la baisse et sa faculté à se faire oublier (notamment pour les gamers). De plus la nouvelle feature qui permettait de le desinstaller était quand même bien cool (ha-ha !). Je me suis donc dit « Ok, pas mal, c’est un bon antivirus maintenant mais au même titre que n’importe quel autre antivirus payant« .
Puis j’ai eu l’occasion il y a quelques mois de jouer avec la Beta de Norton Internet Security 2010 qui est encore plus optimisé que la 2009 car sa consommation CPU a encore été revue à la baisse. L’interface a aussi été repensée pour être plus intuitive mais possède aussi pas mal d’indicateurs destinés aux plus geeks d’entre nous (genre conso mémoire en temps réel, détails sur les fichiers analysés…etc).
L’anti-pishing et l’anti spam semblent bien faire leur boulot et un module d’optimisation de l’ordi permet de localiser simplement un processus qui boufferai un peu trop de mémoire (sans forcement être un virus)… Je vous passe les détails mais en gros, y’a de quoi faire en matière de sécurité.
Mais là où ça devient réellement innovant, c’est que depuis quelques années, Symantec stocke sur ses serveurs les empreintes de tous les fichiers exécutables (Windows et peut être Mac mais je n’en suis pas sûr) qui passent entre les filets du logiciel. Evidement tout ceci est récolté de manière anonyme et vous pouvez choisir ou pas de les laisser récolter ces données mais le fait est que grâce à ça, ils ont mis au point une technique d’alerte plutôt efficace pour les malwares.
En effet, quand un méchant cracker pose son virus sur un obscur forum, son empreinte est encore inconnue de chez Symantec. Du coup, si vous le téléchargez, votre antivirus vous dira : « Attention, on ne sait pas trop ce que c’est comme machin« . Ce système est classique et très pratique mais possède un inconvénient de taille : Les mises à jour de la base d’empreinte. En effet, si skype sort par exemple une nouvelle version de son logiciel de VoIP, et que je le télécharge dans les premières heures après sa sortie, l’antivirus me dira la même chose.
Symantec a donc eu l’idée de coupler ce système d’alerte à une gestion des niveaux de risque. Par exemple, pour Skype, comme il s’agit d’un logiciel très téléchargé, Norton vous dira « C’est nouveau mais ça a déjà été téléchargé 150 000 fois sans souci, donc c’est peu probable que ce soit un virus » (j’imite vachement bien les antivirus non ?). Au contraire, si vous trouvez le fameux exécutable sur le forum obscur dont je vous parlais tout à l’heure, l’antivirus vous dira « Attention, ça sent la grosse connerie !! Cet exécutable n’a été téléchargé que 5 fois dans le monde« .
Vous serez peut être le 3ème au monde à télécharger Skype mais je compte sur votre auto-jujote pour savoir que le risque reste faible 🙂
Les créateurs de malware sont des gens qui ne cherchent qu’une chose : Choper votre identité, vos informations bancaire et prendre le controle de votre ordinateur (pour l’ajouter à leur collection de Botnet). Il est fini le bon vieux temps où le virus était simplement destiné à effacer vos fichiers de votre disque dur. Maintenant, c’est un vrai business et si vous vous retrouvez avec un malware sur votre ordinateur, vous n’êtes plus à l’abri de voir de grosses sommes s’envoler de votre compte en banque ou de voir débarquer la police chez vous parce que quelqu’un a utilisé votre identité au bout du monde. Cela peut vraiment ruiner des vies !
Sachant que votre identité se monnaye autour de 6 € et que vos coordonnées bancaire plus d’une dizaine d’euros, faites le calcul… Ce système de niveau de risque est donc indispensable pour vous alerter et vous aider à la prise de décision. Car en sécurité, le plus gros problème, c’est toujours l’utilisateur (vous !).
Pour diffuser leurs saloperies, les créateurs de malware ne peuvent pas s’amuser à balancer trop rapidement leur virus à des milliers de gens d’un coup, sous peine de se faire détecter (genre en le mettant sur download.com). Ils sont donc obligé d’être plus raisonnable et de le placer dans quelques petits forums par ci par là, où le téléchargement se fera lentement, aidé par les systèmes d’infections classiques utilisés par les virus (clés usb, réseau local, messageries instantannée, mails…etc)… Et c’est là que rentre en jeu un système comme celui de Norton qui surveille les empreinte des logiciels et leur nombre de téléchargements dans le monde. Du coup, j’ose espérer que les développeurs de malware vont se retrouver un peu comme des cons, ne sachant pas trop comment diffuser leurs petits bébés… Evidemment, ils trouveront des parades mais c’est toujours un petit grain de sable de plus dans les rouages de ce business.
Je pense d’ailleurs que ce genre de système d’empreinte devrait être mis en commun (façon communautaire) avec d’autres éditeurs d’antivirus pour que la sécurité en soit renforcée.
Alors, vous allez me dire « Oui mais je maitrise, j’ai pas besoin d’antivirus » ou « Oui mais je m’en tape je suis sous Linux« … Ok pour vous les experts mais la majorité des gens qui utilisent internet et l’ordinateur ne sont pas au courant de ces risques et n’ont pas votre expérience pour voir que ce mail de la BNP est en fait un affreux phishing qui va leur vider leur compte en banque. L’antivirus devient alors indispensable pour ces gens là, qui sont le plus exposés mais le plus important, c’est surtout les éduquer et leur expliquer ce qui peut vraiment arriver et comment se comporter prudemment sur le net.
Voili voilou… J’ai trouvé le concept plutôt intéressant donc je voulais vous en parler. A la fin de la semaine je pars d’ailleurs quelques jours à Curpertino chez Symantec pour assister à quelques présentations un peu plus poussées sur la sécurité informatique donc je risque de vous en reparler car c’est clairement un sujet qui me passionne.