VirusTotal, le service d'analyse de fichiers douteux en ligne le plus utilisé, est maintenant capable de traiter des applications suspectes soumises par les utilisateurs d’OS X. Encapsulés dans un bac à sable, les fichiers exécutables sont passés à la moulinette de Google pour analyser et détecter d’éventuels malwares visant le monde Mac. Cela arrive à un moment où, selon les éditeurs d'outils de sécurité, le nombre d'applications potentiellement indésirables sur Mac OS X, en particulier les programmes de type adwares, arrive à un niveau record.

Le service VirusTotal, qui appartient à Google, permet aux utilisateurs de télécharger des fichiers suspects et de les analyser avec 54 produits antivirus différents. Toutefois, les résultats de l'analyse ne sont pas parfaits et ne doivent pas être pris comme des garanties que les fichiers sont totalement sûrs.

Analyse plus poussée depuis 2013

Pendant de nombreuses années, ce service a uniquement effectué une analyse statique des fichiers soumis par les utilisateurs sans les exécuter. Impossible donc de réaliser une analyse comportementale pour détecter des traitements ou des requêtes suspectes. Beaucoup de produits antivirus peuvent ne pas repérer un fichier malveillant s’il est simplement stocké sur le disque, en particulier s’il est bien masqué ou issu d’un code totalement nouveau. Ils peuvent cependant le détecter et le bloquer s’il tente de faire quelque chose d'inapproprié une fois actif.

Si un rapport d'analyse VirusTotal ne révèle pas de signes malveillants dans un fichier cela ne signifie pas qu'il est propre et peut être exécuté sans soucis. Toutefois, si une analyse VirusTotal retourne un ou plusieurs résultats positifs, en particulier de produits antivirus bien connus, le fichier qui les a déclenchés ne devrait certainement pas être exécuté. Pour renforcer son service, VirusTotal remonte depuis 2013 des informations comportementales pour les exécutables Windows. Cette information est extraite en exécutant le fichier dans un environnement contrôlé - un bac à sable – avec un suivi de certains métriques clefs, comme les fichiers créés, lus et déplacés et bien sûr tous processus exécutés.

Après Android, Mac OS X

La même capacité a été ajoutée en 2013 pour les applications Android et, depuis mardi dernier, les exécutables Mach-O, les images DMG, ou les fichiers ZIP contenant des applications Mac sont également contrôlés. « Les utilisateurs peuvent scanner ces types de fichiers directement sur www.virustotal.com, avec notre OS X Uploader app, ou via notre API », a déclaré Karl Hiramoto, un membre de l'équipe VirusTotal, dans un billet de blog.

David Harley, chercheur en sécurité chez Eset et critique virulent de la capacité de la plate-forme VirusTotal à faire des allégations sur la performance des produits antivirus, estime que l'ajout au service de Google de tests de type bac à sable est une amélioration.