[Helpc] Les virus et leur dangerosité: les éditeurs pas toujours en accord
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Sun, 20 Oct 2002 10:36:38 +0200
Les virus et leur dangerosité: les éditeurs pas toujours en accord
Par Christophe Guillemin
ZDNet France
18 octobre 2002
Alors que le virus-ver Bugbear se répandait comme une traînée de poudre
sur le Réseau début octobre, les avis des éditeurs de logiciels
antivirus divergeaient légèrement sur son pouvoir de nuisance. Quels
sont leurs critères? Comment s'y retrouver?
Lundi 7 octobre, le virus-ver Bugbear, alors en pleine propagation, est
classifié 4 sur 5, sur l'échelle de dangerosité de Symantec (éditeur de
Norton). Au même moment, la bestiole se voit seulement attribuer un
risque "jaune" chez Trend Micro, dont le baromètre à trois niveaux
possède un indice supérieur: l'alerte rouge. Chez Network Associates
(logiciel VirusScan de McAffee), qui utilise également un barème à trois
niveaux (risque "bas", "moyen" et "haut"), Bugbear est placé en haut de
l'échelle. Enfin, pour F-Secure, la dangerosité de ce virus correspond
au "niveau 1", le niveau le plus haut sur l'échelle décroissante de
l'éditeur.
Ces quelques exemples de notations, divergentes à propos d'un même
virus, ne peuvent qu'entretenir la confusion pour l'utilisateur de
l'environnement Windows, bombardé d'alertes virales très régulièrement
par la dizaine d'éditeurs de ce marché. Comment travaillent-ils?
En règle générale, lorsqu'ils prennent connaissance de l'existence d'un
nouveau virus, ils doivent attendre de connaître la signature de
l'intrus pour concevoir son antidote et diffuser une "alerte virus". Ce
type d'alerte est fait pour inciter l'utilisateur à mettre à jour son
logiciel - un procédé quasi automatique avec l'internet, qui permet
d'être immunisé rapidement contre la menace. Mais chaque éditeur oeuvre
selon ses propres critères de dangerosité.
«Il serait mieux en effet que l'on ait tous les mêmes barèmes» consent
François Paget, chercheur antivirus chez Network Associates. «Ce n'est
pas encore le cas, mais il y a cependant déjà des concertations entre
les éditeurs lors des alertes pour s'entendre sur le nom du programme,
puis sur le type de menace qu'il représente, et parfois sur son indice
de dangerosité».
Il n'existe d'ailleurs aucune instance internationale veillant à
l'homogénéité des classifications de dangerosité des virus. «Pour
l'instant, la seule organisation qui y ressemble serait la Caro
(Computer Antivirus Research Organization), qui se présente surtout sous
la forme de forums, où des spécialistes donnent leurs avis sur les
nouvelles tendances de virus et leur potentiel destructeur. Mais rien ne
contraint un éditeur à suivre leurs recommandations», précise François
Paget.
Un diagnostic reposant sur des appréciations "humaines"
En fait, hormis quelques divergences minimes de méthodologie, les
docteurs antivirus ne parviennent pas toujours à s'accorder sur leurs
diagnostics "humains": quels critères de dangerosité doivent-ils
privilégier? Pour autant, il n'y a pas de différences radicales, comme
cela aurait été le cas si un éditeur avait classé Bugbear à haut risque
et un autre à bas risque.
«Les critères sont généralement les mêmes chez les éditeurs d'antivirus:
effets destructeurs sur la machine et système attaqué, rapidité de
propagation s'il s'agit d'un ver, nombre d'infections 12h après sa
découverte, 24h après, etc. Il est très rare qu'un virus soit classé
haut par l'un, et bas par un autre. Certains seront peut-être plus
prudents que d'autres, mais au final les alertes sont souvent les
mêmes», explique Mikko Hypponen, directeur des laboratoires de recherche
antivirus de F-Secure.
Une observation confirmée par Damase Tricart, chef produit chez Symantec
France. «D'expérience, l'évaluation d'un risque donné sera identique
chez tous les grands éditeurs antivirus». Pour lui, les différences
s'expliquent dans les délais de traitement. «Il y a parfois un ou deux
jours de décalage avant le passage d'un risque niveau faible à moyen ou
élevé, entre certains éditeurs», poursuit le responsable.
Chez Trend Micro, l'éditeur qui a noté Bugbear le plus bas (avec un
risque "moyen"), l'explication est différente et se porte dans le choix
de privilégier un critère parmi tous les autres. «Ce qui est le plus
important chez nous, c'est le nombre de machines infectées», explique
Marc Blanchard, directeur du laboratoire de recherche européen de Trend
Micro. Leur critère est simple: s'ils reçoivent, par tranche de trente
minutes, moins de trois requêtes ou plus d'infection par email (alerte
automatique de l'antivirus) ou par téléphone (via un utilisateur), il
s'agit d'un risque moyen. «Dans le cas de Bugbear, nous n'en avons pas
reçu plus de trois, il n'était donc pas à classer en alerte rouge.»
«Au final il ne faut pas oublier que la décision et la notation du
risque sont humaines, donc même avec des critères prédéterminés, il peut
y avoir une différence d'appréciation», convient Damase Tricart de
Symantec.
Seulement dix alertes sérieuses depuis 2000...
Sur les centaines d'alertes parues depuis 2000, et l'apparition du
premier virus-ver (autorépliquant) "Love Letter" en mai de cette
année-là, «il n'y a eu en tout qu'une dizaine de virus réellement
dangereux», affirme François Paget de Network Associates. «Mais on ne
peut le dire qu'a posteriori», précise-t-il. Reste que le chiffre est
impressionnant.
Les éditeurs sont-ils donc volontairement alarmistes? Gonflent-ils la
dangerosité des virus pour créer un climat favorable à la vente de
logiciels de protection?
«C'est un vieux procès que l'on nous fait depuis des années, mais s'il a
pu être fondé dans le passé, aujourd'hui ce n'est plus le cas», assure
François Paget. «Il est vrai qu'il y a quelques années, l'équipe
marketing pouvait quelque peu forcer le niveau de dangerosité prévue par
les techniciens, cela nous a été beaucoup reproché», nous révèle le
chercheur.
«C'est fini tout ça», confirme également Marc Blanchard, de Trend Micro.
«De toute façon il n'y a pas plus de ventes parce qu'il y a des alertes
hautes», assure le responsable.
Pourtant, en juin 2002, l'éditeur Tegam dénonçait toujours ce type de
pratiques. «Trop souvent, des médias ou des éditeurs d'antivirus tendent
à créer un climat de panique autour de nouveaux "virus-catastrophes", en
exagérant largement le danger», estime l'éditeur de la solution Viguard.
Solution qui agit en éliminant a priori tout fichier inconnu, sans
attendre que la "signature" du virus soit identifiée par l'antivirus.
Tegam en fait même un argument commercial: «Combien d'alertes au loup
a-t-on vu autour de virus qui n'ont quasiment pas infecté d'ordinateurs
dans le monde? Ces types de virus ne sont pas dangereux car ils ne se
propageront jamais dans la nature».
En désaccord avec cette affirmation, François Paget plaide pour sa
paroisse: selon lui, parler des virus non dangereux n'est pas crier au
loup. «Ce type d'alertes permet d'informer les techniciens sur la
nouveauté technique de certains virus, qui ne sont pas forcément
dangereux mais novateurs». Dommage que l'utilisateur ne puisse pas
toujours faire le tri en conséquence.
--->
Shaka( Rudy)
Helpc list owner
<mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
Other related posts:
- » [Helpc] Les virus et leur dangerosité: les éditeurs pas toujours en accord
