L'éditeur slovaque ESET lance ce 21 octobre en France la versions 8 de sa suite Smart Security (antivirus Nod32 + antivol + pare-feu). Conçus pour le grand public, le marché du Soho et les TPE, ce produit permet de sécuriser jusqu'à 25 postes. Il intègre désormais un module de protection contre les attaques exploitant les failles des applications java ainsi qu'un scanner qui détecte les codes malicieux utilisant le chiffrement ou l'obfuscation pour se dissimuler. La fonction de pare-feu de la suite a elle aussi été renforcée pour mieux défendre les PC contre les botnets (réseaux d'ordinateurs infectés).
« On pensait que les attaques de type botnet étaient finies et que les logiciels de sécurité disponibles étaient suffisant pour s'en défendre. Mais l'opération Windigo, qui a été mise à jour récemment alors qu'elle était en route depuis 2011, a prouvé le contraire », explique Benoît Grunenwald, le directeur commercial et marketing d'Athena Global Services, l'importateur d'ESET en France. D'où l'intégration au sein du firewall de Smart Security d'un scanner ayant pour vocation de détecter les discussions réseaux entre un programme malveillant et son centre de contrôle. « Nous utilisons également une base de signature pour détecter ce type de menaces en étudiant leur code. Toutefois, ce procédé peut être contré puisqu'un pirate peut modifier le code de sa menace toutes les heures alors que nous ne pouvons pas faire de même pour notre base de connaissances. En revanche, un pirate ne peut pas modifier aussi fréquemment la façon dont sa menace communique avec son centre de contrôle. C'est sur ce paramètre que nous jouons pour mieux détecter les botnet », poursuite Benoît Grunenwald.
Les applications java mieux sécurisées
ESET ne s'est pas contenté de renforcer les capacités de Smart Security à détecter des menaces déjà bien connues. La version 8 de sa suite de sécurité évite aussi que certaines applications ne se muent en porte d'entrée pour les codes malveillants. A l'origine, ces derniers profitaient surtout de failles des systèmes d'exploitation pour prendre leurs quartiers sur les PC. Mais au fil du temps, les OS sont devenus plus robustes, d'où la tendance des pirates à viser les failles des applications les plus utilisées sur les ordinateurs. Inauguré à l'occasion du lancement de la V7 de Smart Security, son module Exploit Blocker est désormais capable de bloquer l'usage des failles des applications développées en java. Il délivrait déjà des fonctions similaires pour Firefox, Chrome et Acrobat Reader, Son fonctionnement s'effectue en deux temps : tout d'abord, en recherchant la signature spécifique d'un malware ; ensuite, en réalisant une analyse comportementale de l'application suspecte, par exemple en recherchant si celle-ci cherche à envoyer un message via les IRC ou à se cacher en mémoire.
Parvenir à se dissimuler dans la mémoire ne suffira d'ailleurs pas à un malware pour échapper à Smart Security. Dans sa version 8, la suite de sécurité intègre en effet le tout nouveau module Advanced Memory Scanner qui permet l'identification d'un malware lorsqu'il s'exécute en mémoire. Cette approche vise à lutter contre les menaces dont le code est chiffré ou assombri (obfuscation). Concrètement, l'antivirus réalise un dump mémoire (photo de toutes les instructions qui se trouvent dans la mémoire à un instant T). Les informations remontées sont ensuite comparées à la base de signatures et passées à la moulinette du moteur heuristique qu'embarque Nod32.