Antivirus : la révolution in the cloud

De même, le service Managed VirusScan de McAfee, bien qu'installé sur les postes de travail et géré en ligne, conserve ses bases de signatures locales. Pareil pour Panda Software, qui annonçait récemment Panda Managed Office Protection, un service antivirus similaire basé sur un client léger (5 mo) et géré depuis le web. Mais lui aussi s'appuie sur une base de signatures locale complète. Ces deux services améliorent certes la distribution du client antivirus et sa mise à jour (via le Peer-to-Peer), ils en facilitent aussi sa gestion et en réduisent la taille, mais ils demeurent liés à une base de signature locale.

Or ce que propose Trend Micro, c'est bel et bien une protection locale... mais dont les signatures sont sur le réseau, à l'exception d'une mini-base (15% de la taille actuelle) destinée aux menaces les plus communes et les plus simples à détecter.

Le retour de l'antivirus poids-plume

L'éditeur ne se débarrasse donc pas entièrement du client installé sur le poste de travail. Mais celui-ci sera bien plus léger et il enverra ses demandes de vérification à des serveurs sur Internet. "Le tout-Internet n'est pas la solution. Il faut conserver un client sur l'ordinateur qui se charge de préparer les vérifications. Cela permet de n'envoyer que l'empreinte des fichiers à contrôler et non les fichiers eux-mêmes, ce qui poserait des soucis de confidentialité et de performance", explique Eva Chen, CEO et co-fondatrice de Trend Micro.

L'approche offre des avantages indéniables : en premier lieu, le client installé sur le poste de travail est largement plus petit et moins gourmand en ressources qu'un antivirus traditionnel en puissance processeur et en mémoire vive, mais aussi en bande passante. Selon Trend Micro, la vérification en temps réel de chaque fichier sur Internet consomme moins de bande passante que la mise à jour périodique de la base des signatures.

L'économie de ressources n'a d'ailleurs pas échappé à Cisco ou Linksys, qui intègrent déjà dans leurs équipements un client compatible avec le "Smart Protection Network" de Trend (notamment pour la réputation web). La contre-partie est un délais supplémentaire de quelques microsecondes à chaque analyse. 

Ensuite, et surtout, l'analyse porte sur plusieurs sources d'information qu'elle sait corréler. Dans le cas d'un spam proposant un lien vers un site web malveillant, par exemple. Le client antivirus contrôlera d'abord si le courrier est répertorié comme spam en vérifiant la réputation de son expéditeur et, c'est nouveau, en envoyant son empreinte MD5 à la plate-forme de Trend Micro. Si ce n'est pas le cas (et c'est probable, il est aisé de changer l'empreinte de chaque spam envoyé), le client contrôlera ensuite l'adresse web donnée dans le message. Il s'appuiera pour cela sur le service de réputation web déjà opérationnel de Trend Micro. Mais s'il s'agit d'un site légitime fraichement compromis, aucune alerte ne pourra être donnée et l'utilisateur sera alors libre de cliquer sur le lien... et d'être infecté.

A ce stade, en revanche, la connexion au site va provoquer le téléchargement d'un code malicieux sur son PC, le plus souvent via une vulnérabilité du navigateur. Le client antivirus enverra alors l'empreinte de l'exécutable téléchargé pour vérification sur la plate-forme de Trend Micro. Si ce dernier est répertorié comme un virus connu (et avec une base de signatures qui peut avoir une taille quasi-illimitée, c'est plus simple), le téléchargement et l'exécution du parasite seront bloqués.