En ouverture de l’Intel Developer Forum, McAfee annonçait la technologie DeepSafe. Dans un communiqué aussi grandiloquent qu’il se doit, l’éditeur expliquait alors «redessiner l’industrie» avec sa nouvelle technologie, en «combinant la puissance du matériel avec celle du logiciel pour créer des moyens bien plus sophistiqués de prévenir les attaques ». Et de souligner, lourd de menaces, que «les cybercriminels savent comment contourner les dispositifs de sécurité actuels résidant au-dessus du système d’exploitation ». Une situation qui nécessite, à ses yeux, «un nouveau paradigme : la sécurité au-delà du système d’exploitation ». En fait, avec DeepSafe, il s’agit surtout d’installer la sécurité en-dessous, au plus près du matériel «en tirant profit des fonctions de sécurité qu’offrent déjà les processeurs Intel ».
McAfee vient donc d’avancer dans la concrétisation de sa promesse, avec Deep Defender. Cette solution vise le poste de travail et assure la supervision en temps réel de la mémoire vive et de l’activité du processeur. De quoi promettre une détection «authentique» des attaques de type 0-day et, donc, protéger contre les menaces nouvelles.
Dans un entretien téléphonique, Candace Worley, vice-présidente sénior de McAfee et directrice générale de l’activité sécurité du poste de travail, explique que la solution s’appuie sur les API VT-x des processeurs Intel pour «surveiller l’activité sur la mémoire vive et le processeur et détecter les comportements de rootkits ». Mais DeepSafe ne s’appuie pas sur un hyperviseur «à proprement parler ». Pour elle, il s’agit plus d’un simple outil de supervision exploitant des capacités pourtant dédiées, initialement, aux hyperviseurs de type 1 – ou bare metal. D’ailleurs, elle reconnaît volontiers que Deep Defender ne peut pas, à ce jour, coexister avec des hyperviseurs de type 1 : «nous sommes conscients que cela pourrait être problématique à l’avenir et nous cherchons des moyens pour corriger cela.»
Ce positionnement, au-dessus du système d’exploitation et en interface avec certaines fonctions du processeur dédiées à la virtualisation ne pose-t-il toutefois pas des problèmes de performances ? «Nous travaillons avec des clients pour récolter des statistiques de performances », précise Candace Worley. «Pour l’instant, je n’ai pas de chiffre à vous communiquer mais nous avons des objectifs de performances, bien sûr. Nous devrions être capables de communiquer des chiffres après la fin du trimestre.»
Reste une autre question : McAfee, désormais filiale d’Intel, pourra-t-il étendre sa technologie DeepSage à d’autres plateformes que celle de sa maison mère ? Et l’on pense bien sûr aux processeurs AMD qui disposent de leurs propres extensions dédiées à la virtualisation, AMD-V. Réponse de Candice Worley : «les règles d’organisation mises en place avec Intel permettent à McAfee de nouer des partenariats avec d’autres. De même qu’Intel garde la liberté de travailler avec d’autres acteurs de la sécurité. J’espère que nous aurons l’opportunité de travailler avec AMD.»
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.