VirusTotal veut aider à lutter contre les faux positifs

Ils surviennent lorsqu’un outil de protection contre les logiciels malveillants désigne comme tel, par erreur, un exécutable tout ce qu’il y a de banal et de légitime : ce sont les faux positifs. Et même s’ils sont moins préoccupants pour les professionnels de la sécurité que les faux négatifs - quand un maliciel passe inaperçu -, ils n’en ont pas pour autant des conséquences potentiellement désagréables, pour les administrateurs, les éditeurs concernés, et bien sûr les utilisateurs finaux. D’où l’idée des équipes de VirusTotal de s’essayer à apporter leur part de réponse au sujet.

Et celle-ci passe par un nouveau service, baptisé VirusTotal Monitor. L’idée de base en est simple. Les éditeurs de logiciels peuvent téléverser leurs créations au service. Celles-ci sont conservées dans un espace de stockage privatif « où elles sont analysées quotidiennement par l’ensemble des moteurs de détection de VirusTotal (plus de 70), avec les plus récents jeux de signatures ». En cas de détection – et uniquement dans ce cas-là – l’exécutable concerné est partagé avec l’éditeur du moteur d’analyse concerné. L’éditeur de l’exécutable est également informé : s’il considère que la désignation n’est pas légitime, il peut intervenir.

Pour les équipes de VirusTotal, ce nouveau service peut être bénéfice tant aux spécialistes de la lutte contre les maliciels qu’aux éditeurs de logiciels. Les premiers accèdent plus vite à des informations contextuelles sur les échantillons désignés comme malicieux par leurs outils. Les seconds ne découvrent pas les éventuels faux positifs par leurs utilisateurs : ils ont de bonnes chances d’être parmi les premiers informés et de pouvoir ainsi rapidement réagir. Mieux : ils peuvent soumettre leurs créations avant leur distribution publique. Les éditeurs peuvent même intégrer la démarche à leurs processus de développement, de manière automatisée, en s’appuyant sur une API Rest.

Une telle approche peut aider à lutter contre les attaques visant la chaîne logistique du logiciel. Mais les éditeurs tentés auront intérêt à se donner du temps : si VirusTotal intègre un vaste éventail de moteurs d’analyse, l’utilisation de bases de signatures n’a pas manqué de montrer ses limites par le passé, notamment en matière de temporalité.

VirusTotal devra sans doute convaincre certains de l’absence de porosité entre l’environnement de stockage de Monitor et celui réservé aux échantillons accessibles publiquement qui lui sont téléversés par des utilisateurs. Enfin, il devra trouver une tarification attractive. Et rien concernant celle-ci n’a été dévoilé à ce stade.