Est-il temps de se débarrasser des antivirus ?
Peut-on ne plus installer d'antivirus ? Pour certains experts, les antivirus sont pires qu'une protection obsolète, et ils seraient même un obstacle à une sécurité optimale. Cependant, ils resteraient la moins mauvaise des solutions pour une entreprise.
Pour le praticien traditionnel de la sécurité IT, l'idée de désactiver l'antivirus sur une nouvelle machine pourrait sembler blasphématoire. Après tout, n'avons-nous pas tous appris depuis plusieurs années que l'antivirus est obligatoire pour se prémunir des codes malveillants et des vols de données ?
Peut-être, mais pour ceux qui depuis ces années ont été au-delà de cette règle d'or, l'antivirus est plus qu'obsolète : c'est un obstacle à une défense encore plus parfaite. Alors, ils ont choisi de le désactiver.
David Litchfield, expert en sécurité des bases de données
Parmi ceux qui pensent ainsi se trouve David Litchfield, expert renommé en sécurité des bases de données, et auteur de livres tels que "Oracle Forensics", "Oracle Hacker's Handbook", "Database Hacker's Handbook" et "SQL Server Security". Tout comme les outils lecteurs médias et les barres d'outils qu'il a aussi choisi de désactiver (Real Player, Adobe Acrobat/Flash et les barres d'outils Google ou Yahoo), David Litchfield n'a tout simplement pas confiance dans les programmes antivirus disponibles.
« Je n'ai jamais utilisé d'antivirus, et je n'ai jamais été infecté. »
« Je suis expérimenté en sécurité, et je n'ai aucune confiance dans la plupart des antivirus disponibles car ils sont complètement réactifs, n'offrent qu'une maigre protection avancée, augmentent massivement la surface d'attaque et ont une longue histoire de contrôles ActiveX vulnérables », explique-t-il. « Je n'ai jamais utilisé d'antivirus, et n'ai jamais été infecté. »
Illustration : Photo D.R.
Pour Rich Mogull, ancien analyste Gartner et fondateur du cabinet de conseil Securosis, la question n'est pas de faire ou non confiance à l'antivirus. C'est juste que des experts en sécurité qui sont dans ce domaine depuis aussi longtemps que lui ont trouvé de meilleures solutions qui rendent l'antivirus obsolète.
Rich Mogull, ancien analyste au Gartner
« Je n'utilise pas d'antivirus sur la majorité de mes systèmes, et quand une sécurité très élevée est nécessaire, je n'ai qu'un antivirus restreint », précise-t-il.
L'antivirus reste utile dans certains cas
Rich Mogull estime que l'antivirus est assez utile au niveau des fournisseurs de passerelles de messagerie, et il utilise un antivirus sur une machine virtuelle sous Windows XP qui lui reste de son dernier emploi. Mais il n'y a pas d'antivirus sur son Mac, ou sur sa machine virtuelle Vista.
Pour autant, il utilise de nombreuses autres formes de contrôle qui lui permettent d'avoir une sécurité adéquate, notamment une navigation web limitée, une sécurité maximale dans son navigateur, un filtrage mail et d'autres verrouillages sur le système.
Savoir ce qui est sûr ou pas
Cela étant dit, David Litchfield et Rich Mogull s'accordent sur le fait que c'est quelque chose que des novices ne devraient pas faire. « Savoir ce qui est sûr et ce qui ne l'est pas, c'est 90 % de la bataille », résume David Litchfield.
vous ne pouvez pas appliquer efficacement 2 types de standards
Ken Pfeil, directeur exécutif et chef de la sécurité de l'information pour la zone 'Amériques' de la société de services financiers WestLB AG, estime de son côté que les deux points de vue se défendent : « Litchfield a raison sur beaucoup de points. Les antivirus et les pare-feux sont inutiles à moins que vous ne soyez l'utilisateur final moyen. ».
Cependant, il remarque aussi que « ce débat n'a pas d'importance au niveau entreprise, car vous ne pouvez pas appliquer efficacement deux types de standards. » Autrement dit, pour l'entreprise, c'est l'antivirus pour tout le monde ! Et ce n'est pas un problème pour Ken Pfeil : Les pilotes de courses expérimentés mettent leur ceinture, même si les chances sont faibles qu'ils aient un accident en allant faire leurs courses.
La plupart des antivirus ne sont pas au point
Zach Lanier, analyste en sécurité du réseau à la Harvard Business School, remarque que le débat autour de l'efficacité de l'antivirus n'est pas nouveau, mais que les dernières années ont été de plus en plus dures pour les approches traditionnelles de protection contre les codes malveillants.
« La plupart des solutions antivirus actuelles ne sont pas au point au niveau des mises à jour, ont des fonctionnalités de détection très simples à contourner, et sont parfois elles-même vulnérables. » Sur ses propres systèmes, il évite l'antivirus au profit d'autres options telles que des systèmes de bacs à sable ou des contrôles d'accès obligatoires.
La moins mauvaise des solutions
Mais Zach Lanier confirme que pour des environnements plus larges, l'antivirus restent une arme nécessaire pour la sécurité. « Bien que je soutienne les doutes quant à l'efficacité des antivirus et le besoin d'améliorer ces derniers, c'est tout ce que nous avons aujourd'hui, et ce serait de la négligence de ne pas les utiliser pour protéger les utilisateurs finaux qui ne sont pas des spécialistes. »
