Interrogé à propos du bug survenu sur les bases de signatures d’Endpoint, Laurent Heslault, responsable des technologies de sécurité chez l’éditeur, relativise l’importance de ces signatures.
Symantec a rencontré des difficultés avec les mises à jour de la base de signature sur sa solution de gestion des menaces Endpoint depuis le passage en 2010. Un simple bug d’affichage, selon l’éditeur de solutions de sécurité américain, qui a assuré à Channelnews que les mises à jour de sécurité étaient bien opérationnelles. « Afin d’assurer la protection des utilisateurs, nous allons très prochainement proposer de nouvelles mises à jour des contenus daté du 31 décembre 2009 jusqu’à résolution de ce problème. Les utilisateurs demeurent protégés 24h sur 24h et 7 jours sur 7 et nous continuons à mettre en place les mises à jour de sécurité prévues », a précisé Brian Modena, porte-parole de Symantec aux Etats-Unis.Ce dernier rappelle que le problème ne concerne que les utilisateurs SEP. Côté français, Laurent Heslault, responsable des technologies de sécurité nuance l’importance des signatures.
« Les signatures ont perdu de leur importance, nuance-t-il, aujourd’hui, un antivirus basé uniquement sur cette technologie n’est plus suffisant ». Une évolution qu’il attribue à la généralisation du polymorphisme des logiciels malveillants, qui existent dans de multiples versions et sont donc de plus en plus difficiles à répertorier de manière exhaustive dans une base de signatures. Symantec a donc prévu de mettre en place, sur Endpoint, un système de reconnaissance basé sur la réputation. L’ensemble des machines équipées d’Endpoint signaleront à Symantec les logiciels téléchargés. Sans conserver ni utiliser ces informations, l’éditeur pourra ainsi répertorier les exécutables qui ont été beaucoup téléchargés – et sont donc, selon toute probabilité, soit fiables soit répertoriés dans les bases de signatures – et ceux qui n’ont pas ou peu été téléchargés. Ce système a déjà été mis en place sur l’antivirus destiné aux particuliers Norton. Rappelons que celui-ci a été classé second aux derniers tests réalisés par AVtest et premier par Avcompareative, deux sites membres de l’AMTSO. Un succès que Laurent Heslault attribue précisément à ces nouvelles fonctionnalités. « Nous sommes les seuls à savoir faire cela aujourd’hui », se félicite-t-il. Ce système d’évaluation de la réputation sera mis en place sur la version 12.1 d’Endpoint, qui sortira pour l’été 2010, et comportera également un aspect management qui permettra notamment aux entreprises d’interdire le téléchargement de programmes dont la réputation n’est pas assurée.
Autre facteur de perte de vitesse des signatures : le fait que les programmes malveillants sont de plus en plus issus du Web, installés à l’insu de l’utilisateur sans que l’antivirus ne les détecte. Un point sur lequel Symantec travaille également afin de permettre la détection et le blocage par l’antivirus de ces procédés. Enfin, autre innovation sur Endpoint : une console active qui permettra de gérer depuis une même interface l’ensemble des produits commercialisés par l’entreprise. La première version de cette console sera proposée dès avril. Elle répond à une stratégie globale de l’éditeur qui vise, selon Laurent Heslault, à « aller de plus en plus vers une regroupement des interfaces en une seule afin de permettre l’automatisation des tâches entre les différentes applications Symantec ».