VOUS PENSEZ QUE VOTRE "SUPER" ANTIVIRUS PEUT FAIRE FACE AUX MENACES ?
Dans un entretien avec le site "Les Numériques" , Bertrand Trastour, directeur général France de Kaspersky, indiquait le 21/06/2023
Source : https://www.lesnumeriques.com/societe-n ... 10608.html
Si on extrapole avec ce que racontent les tests d'antivirus (qui ne sont qu'indicatifs il faut le rappeler), les meilleurs plafonnent à 99% de taux de détectionIl y a 25 ans, on voyait un virus par jour.
Aujourd'hui, ce que l'on voit dans nos laboratoires au quotidien, c'est en moyenne 420 000 nouvelles menaces quotidiennes.
Aujourd'hui, quand on parle de 420 000 actes malveillants que l'on voit tous les jours, c'est unique, c'est-à-dire que ce virus va pouvoir se diffuser à 100 000, 200 000, voire 300 000 exemplaires auprès des victimes.
Si on prend juste le chiffre de Kaspersky cela nous donne pour les 1% restants : 4 200 infections qui vont passer outre la barrière de l'anti virus
Lors de tests d'AV ceux ci s'étendent sur plusieurs semaines et couvrent divers aspects (infection lors d'un téléchargement, d'une ouverture de pages web etc)
Néanmoins vu ce qui sort toutes les heures on peut estimer que c' est du constant
--------------------------------------------------------
Aparté hors des propos de l'entretien :
Les 1% ne sont pas pris à un moment "T" puisque dans la durée, MAIS curieusement cela correspond à ce qui se disait déjà il y a quelques années où certains malwares changeaient d'enveloppe jusqu'à 3 500 fois par heure , donc à l'instant T... AUCUN antivirus ne pouvait suivre
On note quand même qu'il y a eu des améliorations, car si un malware pouvait changer 3 500 fois par heure pour échapper aux détections il suffit de multiplier cela par X malwares.. Heureusement que la plupart sont de certaines classes et ont une base commune)
C'est pour cela, lorsqu'un antivirus indique 99.% de réussite lors de détections, il faut .. Relativiser sur l'efficacité
-------------------
MAIS IL Y A PIRE : La périodicité des mises à jour
Mais même dans ce cas de figure (les 1%), en fait c'est pire que cela, puisque Kaspersky indiquait bien sur son blog, qu'il peut se passer 25 minutes entre le moment de la détection d'un malware au sein de leurs labos, de la diffusion dans le cloud pour la détection et la mise à jour sur l'ordinateur
Mais dans la réalité pour les utilisateurs, on est plus proche d'une actualisation toutes les 2 heures de l'antivirus installé, sauf exception (1)
Pour la petite histoire, Kaspersky dispose de très bons labos, et leur cloud alimente nombre d antivirus d'éditeurs concurrents, et ce, malgré le fait du boycott envers la Russie affiché (c''est comme le Gaz Russe que l'Europe achète en fait via des pays détournés comme l'Inde ou les US qui font une exception sur les sanctions pour tout ce qui est lié aux énergies. Pire ils achètent de l'uranium à la Russie etc..C'est de l'hypocrisie et l'honneur est sauf)
Il y a quelques années pour certains malwares qui changeaient d'enveloppes toutes les heures, on en était à 2 500 ou 3 500 en nouvelles apparitions
AUCUN antivirus ne peut suivre la cadence
Donc Régis qui n'a jamais de chance, peut se retrouver en téléchargeant "volontairement" un crack, dans la période du trou noir, entre 2 mises à jour
Et j'en rajoute une couche...
Les chiffres du jour (juste une capture de ma version KIS installée où l'on voit qu'il y a eu une synchro il y a 4 minutes et qui donne un aperçu de ce qui est suspect en traitement pour analyse
Les stats annuelles (année 2022) de Kaspersky font apparaitre
Code : Tout sélectionner
- 109 millions d "objets" malveillants uniques neutralisés
- 102 millions d'URL bloquées
- 506 Millions de cyberattaques bloquées
- Quels sont les antivirus qui font des mises à jour toutes les 25 minutes ? :-)
- Quels sont les antivirus qui indiquent précisément la périodicité de la mise à jour de la base de données ?
Dans le mien j'ai le choix entre "Automatiquement" mais pas d'indication de fréquence (1), ce qui est dans l'absolu "normal (voir le renvoi à 1) et en plus il faut cocher une case pour indiquer de rechercher une mise à jour au démarrage de l'ordinateur, et "Manuel" où là j indique ce que je veux avec meme une indication de recherche toutes les minutes
Il faut aller sur le site éditeur pour apprendre que la fréquence de mise à jour de la base de données est toutes les 2 heures (mais ils en profitent pour mettre à jour les modules)
Les bases de données peuvent être mises à jour jusqu’à 8 fois par jour ou plus encore, si nécessaire.Les bases de données antivirus contiennent les signatures des menaces et les moyens de les combattre. Les mises à jour des modules de l’application éliminent les vulnérabilités dans l'application, ajoutent de nouvelles fonctionnalités ou apportent des améliorations aux fonctions existantes
Ce dernier point est important
(1) La fréquence de mise à jour dépend du niveau de menace d’Internet et peut augmenter lorsqu’une activité malware intense est détectée.
Mais il y a pire...
Certains antivirus "gratuits" DIMINUENT cette fréquence, pour éviter la congestion des serveurs à .. 1 fois par jour (c'était le cas avec AVIRA free il y a quelques années, seuls ceux qui achetaient étaient prioritaires dans la liste d'attente
Ce genre de méthode a été révisée, car du fait de l'augmentation des menaces cela pouvait toucher la réputation de l'antivirus en le considérant comme peu efficace
L'exemple est juste là donc pour montrer une raison de l'allongement de la fréquence
--------------------------
Edit :
Comme on l'a vu les AV font une mise à jour des définitions de virus, lors du démarrage du PC... du moins pour un VRAI démarrage du PC et pas suite à une veille (Cas du PC portable par ex)
Ensuite il faut savoir que MEME si on dispose d'un AV tiers, du moins sous Windows 11 depuis la 22H2, il est effectué une mise à jour des définitions de virus, mais pas que...
On sait que le service Microsoft Defender reste inactif lorsque un antivirus tiers est installé sans utilisation du processeur ou du disque.
Après le démarrage du système, il faut quelques minutes à presque tous les produits, pour s'enregistrer dans la sécurité Windows qui se déclare en tant qu'AV principal.
Microsoft Defender joue le rôle d'AV principal pendant ces quelques minutes et met même à jour les signatures lorsqu'il le peut. (Même si l'antivirus tiers est lancé)
Il suffit de lancer par ex un programme comme System informer, onglet "'disk" pour voir les lectures et écritures
Lorsqu'un antivirus tiers est enregistré dans la sécurité Windows, il passe automatiquement dans un état suspendu avec une faible quantité de RAM et aucune utilisation du processeur et du disque.
C'est intentionnel
Les logiciels malveillants tentent souvent de désactiver Microsoft Defender pour contourner sa protection.
Microsoft essaie de rendre difficile l’arrêt de ses services.
Peut-être que le service est désormais conçu pour ne jamais s'arrêter complètement et qu'il devient inactif lorsque des produits tiers sont installés.
Même des outils comme Defender Control ne peuvent pas le couper longtemps. Le service revient.
_____________
ACTUALITES
Mockingjay est une nouvelle façon d'injecter des logiciels malveillants en contournant les antivirus (tous les détails dans le lien)
La nouvelle méthode d'injection de logiciels malveillants, baptisée Mockingjay, permet aux attaquants de contourner les systèmes de défense et d'exécuter du code malveillant sur les systèmes compromis.
Mockingjay a été signalé par des chercheurs de Security Joes.
https://www.securityjoes.com/post/proce ... -execution
Dans le rapport, les experts écrivent ce qui suit:
Alors OUI l'injection .dll ce n'est pas nouveau, le fait de désactiver l'anti virus non plus MAIS Mockingjay est différent en ce sens qu'il évite à l'attaquant d'avoir à exécuter des API Windows qui sont généralement surveillées par des solutions de sécurité.«Il est intéressant que l'injection soit effectuée sans attribuer de place spéciale, définir des autorisations et même démarrer un fil. L'unicité de cette méthode réside également dans le fait qu'une DLL vulnérable suffit à l'implémenter et à copier le code dans la bonne section.
Pour ce faire, le vecteur utilise des exécutables Windows portables existants contenant un bloc de mémoire par défaut protégé par des droits Lecture-Ecriture-Exécution ( RWX ).
Les analystes de Security Joes ont découvert la DLL msys-2.0.dll dans Visual Studio 2022 Community, qui avait une section RWX par défaut de 16 Ko.
Cela en fait un candidat idéal pour l'injection de code malveillant.
Source https://www.bleepingcomputer.com/news/s ... etection/
Cela en rajoute une couche à
Au cours des derniers mois, les chercheurs en sécurité de Sophos ont enquêté sur de nombreux incidents de sécurité liés à la désactivation de solutions de détection et de réponses à incidents. En coulisses des cyberpirates recourent à un outil d'évasion, baptisé AUKILL présentant des similitudes avec l'outil malveillant Backstab.
Source et détails à https://news.sophos.com/en-us/2023/04/1 ... r-driver/