Des mots à la mode contre les virus : comment Cylance révolutionne l'industrie des antivirus
La plupart des scanners de virus modernes utilisent des méthodes réactives et proactives pour se protéger des logiciels malveillants. Dans la méthode réactive, l'"empreinte digitale" est comparée, lors de l'exécution d'un fichier suspect, à une base de données d'empreintes digitales de virus connus, appelée base de données de signatures. S'il y a concordance, le virus est reconnu comme tel et neutralisé avant qu'il ne puisse causer des dommages. L'inconvénient est évident : s'il n'y a pas de correspondance et qu'il s'agit malgré tout d'un logiciel malveillant, l'utilisateur ne le remarque que lorsqu'il est déjà trop tard. De plus, un nouvel exemplaire de virus doit être analysé "manuellement" par des spécialistes, ce qui prend beaucoup de temps, avant de pouvoir être ajouté à la base de données des signatures et d'être ainsi disponible pour toutes les autres instances de l'antivirus.
De nombreux virus informatiques modernes possèdent des mécanismes permettant de contourner cette méthode de suppression des virus. On parle, comme pour leurs contreparties réelles, de "mutation" : La structure du virus est automatiquement modifiée de telle sorte que même les programmes antivirus qui ont déjà indexé une ancienne version du même malware ne reconnaissent pas la nouvelle mutation.
C'est pourquoi la protection antivirus fait souvent appel à des méthodes proactives supplémentaires telles que l'analyse comportementale ou l'heuristique. Ainsi, même les virus informatiques inconnus doivent être rapidement détectés et indexés automatiquement. Pour ce faire, le logiciel antivirus surveille et vérifie en temps réel le comportement de tous les programmes en cours d'exécution. Cela se fait soit pendant le fonctionnement actif, soit dans une sandbox, une zone cloisonnée au sein du système. Si des caractéristiques de virus connus sont identifiées dans des programmes inconnus ou si un programme apparemment inoffensif dépasse un certain seuil d'actions suspectes, l'alerte est donnée.
Ces méthodes ont certes beaucoup plus de succès dans la détection de programmes malveillants inconnus, mais elles présentent en même temps des inconvénients pour l'utilisateur final : dans les deux cas, le logiciel malveillant doit d'abord être exécuté avant de pouvoir être reconnu comme tel. Dans une sandbox, cette opération est certes beaucoup plus sûre, mais elle nécessite souvent beaucoup de temps et de ressources. La convivialité doit obligatoirement céder le pas à la sécurité.
Là où d'autres fournisseurs continuent de miser sur les mises à jour quotidiennes des bases de données de signatures, l'œil exercé de spécialistes et l'exécution de programmes potentiellement dangereux, l'entreprise Cylance, fondée en 2012, emprunte une autre voie innovante. Ils misent sur une approche préventive : leur protection antivirus CylancePROTECT utilise un mélange d'intelligence artificielle, de machine learning et de cloud pour stopper les logiciels malveillants connus et inconnus avant même qu'ils ne puissent s'exécuter. Ce qui ressemble à un bingo de mots à la mode et à "Minority Report" est étonnamment efficace dans la pratique : lors de tests antivirus indépendants réalisés par MRG Effitas et AV-Comparatives, CylancePROTECT a atteint un taux de détection de 91,6 % et 92 % respectivement pour les virus de la nature - et ce, sans aucune méthode traditionnelle comme une base de données de signatures ou une heuristique. Une tendance à la hausse.
Mais comment faire ?
Selon Cylance, qui fait actuellement partie des schnellsten wachsenden Security-Startups du monde, CylancePROTECT décompose chaque fichier en ses éléments de base afin d'analyser les caractéristiques individuelles. Pour ce faire, l'intelligence artificielle au cœur de CylancePROTECT utilise un mélange de mathématiques appliquées et d'apprentissage automatique sur la base d'un ensemble de données de fichiers sûrs et non sûrs. Cela lui permet de décider en une fraction de seconde si un fichier inconnu est menaçant ou non. Pour ce faire, elle ne dépend pas d'une connexion à Internet ou au cloud - tous les tests sont effectués localement. Grâce à cette approche inhabituelle, l'IA de CylancePROTECT est même en mesure de protéger contre les exploits du jour zéro sur toutes les plateformes.
Toutefois, lors de l'analyse de fichiers étrangers, le logiciel antivirus procède souvent de manière très agressive au début, ce qui peut éventuellement conduire à de fausses alertes. C'est là que se cache une autre caractéristique de CylancePROTECT : après une correction manuelle, l'IA capable d'apprendre s'adapte rapidement aux circonstances d'un nouvel environnement et peut ainsi protéger encore plus efficacement contre les menaces.
CylanceHYBRID permet de déployer des instances de CylancePROTECT même si tous les points finaux ne sont pas connectés au cloud. Ainsi, les réseaux internes ou les réseaux contenant des données sensibles sans connexion directe à Internet peuvent être protégés efficacement et sans danger. Grâce à l'utilisation de CylanceAPI, le logiciel antivirus peut être intégré sans problème dans les solutions de sécurité existantes. Le package est complété par CylanceOPTICS, un outil complet de détection et de réponse des points finaux (EDR) qui aide à analyser et à représenter les causes d'un blocage par CylancePROTECT.