Doctor Web a commencé à développer ses antivirus au milieu des années 1990 alors qu’Internet n’était pas encore devenu un réseau global et n’était accessible que par quelques entreprises. Et pourtant, cet éditeur russe de logiciels de sécurité (antispam, pare-feu) reste moins connu en France que d’autres poids lourds de la sécurité informatique qui multiplient les campagnes de publicité. Doctor Web mise avant tout sur les capacités de détection de son antivirus créé en 1999. Son laboratoire R&D de Saint-Pétersbourg compte environ 150 ingénieurs triés sur le volet. Leur mission ? Détecter les codes malveillants les plus sophistiqués. PDG de Doctor Web, Boris Sharov a développé la société à l’international, la plaçant ainsi parmi la vingtaine d’entreprises russes ayant investi en France, où la filiale a été créée en 2008. Depuis 2003, il œuvre pour mettre l’expertise des équipes de Doctor Web au service de la lutte contre la cybercriminalité au niveau mondial.

Techniques de l’Ingénieur : De plus en plus d’entreprises sont victimes de ransomwares : on peut se demander si les antivirus servent encore à quelque chose ? Sont-ils efficaces ?

Boris Sharov : La question sous-entend que tous les gens frappés par des ransomwares avaient bien leur antivirus en place, mis à jour et paramétré. Or, ce n’est pas le cas. C’est de moins en moins le cas. Donc le nombre croissant de victimes n’est pas vraiment dû à l’inefficacité des antivirus. Très souvent, l’analyse des infections montre que le PC aurait été piraté par accès à distance et l’antivirus arrêté. D’un côté, les utilisateurs deviennent de plus en plus négligents vis-à-vis de leur sécurité, d’un autre les malfaiteurs ont plus de moyens pour piéger les internautes compte tenu du nombre croissant de services en ligne très populaires.

Tout ce que nous avons découvert et mis en lumière sur ces nouveaux malwares, leur fonctionnement, les failles qu’ils exploitent, l’a été grâce à nos technologies antivirus et pas autrement. L’antivirus n’est pas un outil abstrait, c’est un outil très concret. Les antivirus pour Android vont continuer à voir leur rôle croître. MacOs et Linux sont également de plus en plus touchés par les malwares et demanderont donc sans doute le développement de nouvelles technologies pour les protéger. L’antivirus demeure le premier rempart contre les malwares. Et concernant l’efficacité des antivirus, il convient peut-être de se poser une autre question : est-ce que les entreprises mettent en place une politique de sécurité efficace ? Est-ce que les antivirus sont à jour, et même présents sur les machines, le réseau, la messagerie ?  Un outil, quel qu’il soit, est efficace lorsqu’il est configuré et installé correctement.

En 1987, Bernd Robert Fix publie une méthode permettant de neutraliser le virus de Vienne, devenant ainsi le premier logiciel antivirus. Plus de 30 ans après, comment ont évolué les antivirus ?

L’antivirus a énormément évolué durant ces vingt ou trente ans. Il est aux premières loges pour observer, analyser, décortiquer les malwares et leurs modes de fonctionnement. L’ensemble des technologies implémentées dans l’antivirus jouent leur rôle pour des millions de gens au quotidien. Notamment, mais ce n’est pas tout, celui de détecter et de stopper les malwares d’hier, ceux qui circulent toujours, et qui continuent à infecter des PC. Sans l’antivirus, il y aurait peut-être encore plus de victimes. Et les nouvelles technologies développées, de protection préventive, heuristique, etc., sont efficaces contre les nouveaux types de malwares.

L’antivirus a été amené au fil du temps à effectuer une analyse plus globale et plus profonde du système. Le regard sur les antivirus s’est toujours beaucoup focalisé sur leurs capacités de détection, alors que chez Doctor Web, nous avons toujours aussi insisté et travaillé sur les capacités de nos produits à neutraliser les malwares, en développant des outils d’analyse très pointus comme notre service Dr.Web xvCube. D’autre part, l’évolution de l’antivirus est à regarder également du côté de sa capacité à se protéger lui-même, évolution qui n’est pas souvent évoquée, alors qu’elle est primordiale. Enfin, l’évolution de l’antivirus, c’est également tout le travail qui est fait sur l’observation des groupes cybercriminels, leur organisation, leurs « productions », afin d’anticiper au maximum les nouveaux types d’attaques.

Parallèlement, les codes malveillants ont-ils beaucoup évolué ?

Oui, les malwares ont beaucoup évolué, tant en termes de techniques de propagation, que d’infection, et de capacité de nuisance, littéralement, sur ce que peut faire concrètement un malware sur une machine. Pour être « performant », un virus doit rester le plus longtemps possible invisible sur une machine, et il y a encore plus d’argent investi, encore plus de ressources humaines au service de l’industrie cybercriminelle pour que le malware reste indétectable. Certains Trojans recherchent même sur les machines la présence de certains antivirus avant de se lancer.

Derrière un malware moderne, il y a aujourd’hui toute une organisation « professionnelle », et des pirates techniquement plus aguerris. Un malware aujourd’hui peut signifier, par exemple, la présence d’un proxy en mémoire, de faux certificats numériques, de faux sites web, des injections de contenu web, une infrastructure de commande et contrôle, etc. C’est pourquoi les bases virales ne suffisent plus et que se sont développées des technologies de protection préventive et des technologies heuristiques, dites comportementales. Analyse des processus, analyse du comportement de chaque logiciel lancé sur la machine, analyse des scripts, et les technologies permettant de bloquer la modification des secteurs d’amorçage, empêcher l’autorun des malwares et bien d’autres.

On évoque de plus en plus l’intégration de l’intelligence artificielle dans les solutions de cybersécurité pour détecter des intrusions, quelle est votre opinion ?

La première chose à se demander, c’est : en disant « intelligence artificielle », parle-t-on de quelque chose de vraiment intelligent, incapable de faire des bêtises ? Ou on ne se pose même pas cette question ? Alors que ce qui est entendu comme « intelligence » est développé par des humains qui commettent pas mal d’erreurs ! L’intelligence artificielle est aujourd’hui très « en vogue » et beaucoup d’acteurs de la sécurité informatique disent l’utiliser. Mais il faudrait savoir de quelles techniques on parle précisément. Nous sommes un éditeur d’antivirus et non un développeur d’outils d’IA. Je dirais que nous utilisons le machine learning et que nous suivons l’évolution de ce type de technologies.

Mais l’IA nous semble être aussi un argument marketing que nous ne souhaitons pas utiliser. Il existe une recherche foisonnante en matière de technologies de protection, une partie d’entre elles se nomme aujourd’hui intelligence artificielle, demain, autrement. Ce qui compte est l’avancée en matière d’analyse et de neutralisation des malwares modernes.