Profitant de l'Intel Developer Forum (IDF) qui se tient actuellement à San Francisco, le vendeur de solutions antivirus, désormais dans le giron du fondeur de Santa Clara, a montré les avancées de ses travaux dans des solutions de sécurité situées hors du système d'exploitation. Grâce à un ancrage au niveau des processeurs d'Intel, la solution Endpoint Protection Software de McAfee est en mesure d'assurer une meilleure surveillance des logiciels malveillants, et notamment des rootkits, « ces techniques dont le but est d'obtenir et de pérenniser un accès généralement non autorisé à un ordinateur de la manière la plus furtive possible. »
« DeepSafe est un type logiciel entièrement nouveau, qui apporte un niveau de technologie encore jamais atteint dans la protection antivirus, » a déclaré Candace Worley, vice-présidente senior et directrice générale de McAfee Endpoint Security. « Ce produit très innovant a été développé conjointement par les deux entreprises, » a-t-elle ajouté. DeepSafe est la réponse de McAfee à des technologies avancées de piratage, comme les rootkits, des techniques qui semblent de plus en plus capables d'introduire des malwares sur les PC sans se faire repérer. « La plupart des produits antivirus actuels agissent tous au même niveau du système d'exploitation, » a expliqué la vice-présidente. « Or nous constatons que beaucoup d'antivirus ne parviennent tout simplement pas à voir un rootkit installé dans cette couche de l'OS. »
Des malwares difficiles à éradiquer
Les rootkits utilisent toutes sortes d'astuces déroutantes pour brouiller les pistes, changeant les noms des fichiers, et modifiant même les données au niveau des outils de surveillance, de manière à faire croire que tout est normal. En réalité, et c'est un peu un secret de polichinelle dans le domaine de la sécurité, des attaquants déterminés peuvent esquiver la détection par un antivirus presque à volonté. Certaines victimes de cyber attaques passent des années sans soupçonner des infections préparant des attaques complexes, ciblées et persistantes, de type Advanced Persistant Threat (APT), même en ayant un logiciel antivirus à jour. « C'est ce qui a poussé des vendeurs comme McAfee à rendre les choses plus difficiles pour les pirates. »
Candace Worley a qualifié DeepSafe de « base technologique » pour de futurs produits dont le premier sera livré sous forme d'add-on à McAfee Endpoint Protection et dont l'objectif sera justement de détecter les rootkits dans l'entreprise. « C'est le genre de technologie qui suscite le plus d'intérêt actuellement, » a déclaré la responsable de MacAfee. « Ce produit, dont le nom n'est pas encore défini, sera lancé lors de la Focus Conference de McAfee qui doit se tenir à Las Vegas le mois prochain. « Nous proposerons aussi un peu plus tard ce produit aux consommateurs, » a-t-elle précisé. McAfee est resté vague sur la manière dont fonctionne réellement DeepSafe, mais le vendeur a commencé à travailler sur cette technologie « avant son acquisition par Intel, » comme l'a déclaré Candace Worley. Le produit fonctionnera d'abord dans les environnements VMware, Microsoft et Citrix devront attendre un peu avant de bénéficier d'une compatibilité. « Nous travaillons encore pour adapter ces technologies à ces systèmes, » a déclaré la directrice générale de McAfee Endpoint Security.
Un peu léger pour l'instant
« McAfee sera le premier vendeur important d'antivirus à proposer ce type de technologie, mais ce n'est pas le seul à aller dans cette direction, » a déclaré Lawrence Pingree, directeur de recherche chez Gartner. « Ils seront les premiers à livrer leurs produits, mais d'autres vont suivre, » a-t-il ajouté. Selon l'analyste, même si DeepSafe est intéressant, cette technologie révolutionnaire ne justifie toujours pas les milliards de dollars payés par Intel pour acheter McAfee. « Nous attendons encore de cette fusion l'émergence d'une technologie importante qui soit une vraie grande innovation, » a-t-il ajouté.