Les experts en sécurité soutiennent depuis longtemps que l’exécution de deux produits antivirus différents sur la même machine Windows pose des problèmes, car les programmes se disputeront inévitablement les ressources et ralentiront, voire planteront, le PC hôte.
Mais une nouvelle société d’antivirus appelée Protection immunitaire espère que les utilisateurs de Windows ignoreront cette sagesse conventionnelle et adopteront la double approche antivirus. En effet, la société produit gratuit fonctionne en grande partie en partageant des données sur les détections de virus provenant d’autres produits antivirus déjà installés sur les PC de la communauté d’utilisateurs d’Immunet.
Utilisateurs pouvez exécutez Immunet seul, et beaucoup le font : le programme analyse les fichiers à l’aide de deux types de profils de menace : des définitions spécifiques ou des empreintes digitales de menaces connues, et des signatures génériques qui s’apparentent davantage à la recherche d’un modus operandi spécifique de logiciel malveillant.
Mais ce qui différencie Immunet des autres produits antivirus, c’est qu’il intègre également des détections de logiciels malveillants provenant d’autres produits antivirus qui peuvent résider sur les machines des utilisateurs. Par exemple, chaque fois que le PC de quelqu’un dans la base d’utilisateurs d’Immunet rencontre un virus, cette menace est enregistrée et signalée sur un serveur centralisé afin que tous les utilisateurs d’Immunet puissent être protégés contre ce malware nouvellement identifié.
J’ai utilisé Immunet en tandem avec Kaspersky Internet Security 2010 au cours des trois derniers mois et n’ont remarqué aucun impact sur les ressources système ou les problèmes de stabilité. Les créateurs d’Immunet sont particulièrement fiers de ce dernier aspect du programme, et disent que cela est dû au fait que le programme effectue la plupart de ses analyses et opérations « dans le cloud », c’est-à-dire pas sur le système de l’utilisateur. Immunet compte actuellement environ 133 000 utilisateurs actifs, et ce nombre change constamment : chaque fois que vous redémarrez un système avec celui-ci installé, il y a de fortes chances que vous voyiez un nombre différent – généralement plus élevé – d’utilisateurs dans la communauté.
J’ai récemment parlé avec le vice-président de l’ingénierie d’Immunet, Alfred Hugerancien vice-président de Symantec Corp.et Adam O’Donnell, directeur de l’ingénierie cloud pour la startup. Cette conversation – dont des extraits sont inclus ci-dessous – fournit des informations intéressantes sur le fonctionnement de l’industrie antivirus, la façon dont les consommateurs interagissent avec ces produits et comment Immunet espère se différencier dans un domaine déjà encombré.
Adam O’Donnell (AO): Les gens exécutent plusieurs packages antivirus sur leur ordinateur depuis des années parce qu’ils pensent qu’ils bénéficieront d’une double protection. Nous nous assurons simplement que nous jouons bien dans cet environnement et que nous disons aux clients : « Non, ça va. Nous aimerions être l’un d’entre eux. Beaucoup de nos utilisateurs sont enthousiasmés par le fait que cela peut nous faire fonctionner en tandem avec d’autres produits.
MMA : D’accord, mais le monde a-t-il vraiment besoin d’un autre produit antivirus ? Pourquoi les gens devraient-ils se tourner vers Immunet ?
Alfred Huger (AH): L’objectif de l’entreprise était de créer le produit antivirus de nouvelle génération. Nous voulions créer un programme antivirus qui pourrait condamner les menaces qui n’étaient pas vues auparavant – ainsi que celles qui étaient déjà connues – mais aussi être capable de le faire d’une manière extrêmement légère sur les ressources et moins dépendante sur l’infrastructure ou sur la manière dont les sociétés antivirus collectent généralement les données.
MMA: Et comment font-ils cela ?
Ah : Eh bien, par exemple, avec votre société d’antivirus typique, 95 % des données que vous finissez par créer des définitions vous sont fournies par des partenaires commerciaux, d’autres sociétés d’antivirus. Si je suis un grand fournisseur et que je fais du commerce d’échantillons, je reçois probablement 35 à 40 bons flux de logiciels malveillants réels qui ne sont pas super faux positif chargé. Mais le problème est que je ne sais pas toujours quel âge ont ces flux.
Si vous effectuez suffisamment de tests, vous constaterez que les flux datent probablement de 1 à 30 jours. Et c’est pour plusieurs raisons. Tout d’abord, les gars qui vous échangent ce genre de choses sont en concurrence avec vous. Ils ne sont pas stupides : la dernière chose qu’ils veulent faire est de vous donner toutes leurs signatures afin que vous puissiez mieux rivaliser dans les avis sur les produits. Chaque fournisseur, aussi honnête soit-il, joue les uns avec les autres lorsqu’il s’agit d’échanger des échantillons.
MMA : Ces échantillons proviennent-ils tous de choses que les sociétés antivirus ont découvertes, ou s’agit-il simplement de fichiers suspects, ou…
OA : Ainsi, la façon dont les autres fournisseurs obtiennent leurs échantillons n’est pas seulement les uns des autres, mais si vous allez assez loin dans le tuyau, c’est quelque part sur un ordinateur de bureau.
Ah : Et cela dépend vraiment du fournisseur. Symantec, par exemple, prend un camion plein d’ordinateurs de bureau, mais ils ne l’échangent jamais. De manière générale, ils ne rééchangent pas les éléments des ordinateurs des clients. Pratiquement aucun des vendeurs ne le fait. Et ils revendent également un camion. Ce qu’ils échangent, ce sont des choses qu’ils ont vérifiées comme malveillantes – ce qui signifie qu’ils ont un gars qui les a analysés à la main. Ils échangent aussi des trucs qu’ils rampent.
MMA : Par « trucs qu’ils explorent », entendez-vous les logiciels malveillants qu’ils trouvent en suivant des liens dans les spams et en parcourant les moteurs de recherche, etc. ?
Ah : Droit. Mais une grande partie est vieillie. La durée de vie moyenne d’un logiciel malveillant lorsqu’il est le plus dangereux est d’un à deux jours. D’un autre côté, Immunet dépend de la communauté, ce qui signifie qu’il prélève un échantillon directement sur votre PC et – à condition qu’il puisse faire la distinction entre le mauvais ou non – et le partage ensuite avec tous les membres de la communauté ici et maintenant. Ce qui signifie que la protection est beaucoup plus rapide pour tous les utilisateurs.
MMA : Et vous pensez qu’avec suffisamment de temps et d’utilisateurs, Immunet sera meilleur et plus rapide pour détecter les menaces ?
Ah : Nous sommes en mesure d’extraire des données d’une communauté qui n’est pas homogène. Les données ne proviennent pas seulement d’AVG, de Symantec ou de McAfee. Maintenant, cela ne signifie pas que nous allons faire sauter le reste de l’eau lors de la détection. Nous dépendons toujours des mêmes types de moteurs heuristiques que tous les autres fournisseurs d’antivirus. La différence est qu’une fois que nous l’avons identifié, nous sommes en mesure de rendre sa détection disponible beaucoup, beaucoup plus rapidement. Mais il ne fait aucun doute que notre produit augmentera votre capacité à détecter les virus, point final.
MMA : Si j’ai Immunet sur mon système en plus d’un autre produit antivirus, lequel signale en premier une infection ? Ou le feront-ils tous les deux ?
Ah : Généralement, l’autre produit antivirus résidera devant nous, mais dans certains cas, ce n’est pas le cas. Dans les deux cas, ils doivent tous les deux alerter s’ils ont tous les deux [detection for] ce. Si vous utilisez l’antivirus Kaspersky et nos produits, et que vous téléchargez une menace, si Kaspersky la détecte, ils la signaleront même si nous le faisons aussi.
MMA : Alors, qui est votre utilisateur typique d’Immunet ? Avez-vous déjà appris quelque chose sur la communauté des utilisateurs ?
Ah : Nous avons trouvé beaucoup de choses complètement bizarres. Nous avons un partenaire japonais qui co-marque nos produits et les distribue au Japon, et nous pouvons donc comparer leur base d’utilisateurs avec la nôtre, qui est principalement l’Europe occidentale, l’Amérique du Nord et le Brésil. Ainsi, nous savons avec quels produits antivirus nous cohabitons. Mais une partie décente de notre base d’utilisateurs n’utilise aucun antivirus à part nous.
Si vous confiez cela à nos utilisateurs japonais, 96 % d’entre eux ont installé un autre produit antivirus. Au début, nous nous sommes dit : « Wow, nous avons un grave bug. Mais il s’avère qu’il y a un camion plein d’utilisateurs qui sont dans deux bateaux : pour une raison quelconque, ils ont désinstallé tous les antivirus. Peut-être que cela a ralenti leur ordinateur ou qu’ils ont décidé qu’ils n’en avaient pas besoin. Soit ça, soit ils avaient un virus qui a désactivé l’antivirus. La répartition est probablement de 25 % qui avaient un virus qui a désactivé leur antivirus, et 75 % qui n’avaient pas d’antivirus avant d’installer notre produit pensaient qu’ils n’en avaient pas besoin.
Il semble donc y avoir vraiment deux écoles d’utilisateurs, [those who have] rien ou tout. Il y a des gens qui exécutent Spyware Doctor, Threatfire, AVG, puis ils auront comme AVIRA avec la détection résidente désactivée, puis Hitman Pro et Online Armor, le tout sur une seule machine. Et vous pensez, ‘Wow, comment ton ordinateur démarre-t-il même, mec ?’
MMA : Intéressant. Cela signifie donc qu’un bon nombre de vos utilisateurs ont un virus sur leur système lorsqu’ils installent votre produit ?
Ah : C’est environ 10 pour cent. À un moment donné, une partie importante de notre base d’utilisateurs avait déjà un virus lorsqu’ils se sont inscrits chez nous.
MMA : Cela ne suggère-t-il pas que l’industrie antivirus annonce une protection qu’elle ne peut pas fournir ?
Ah : La majorité des antivirus ne fonctionnent pas très bien. Les chiffres qu’ils publient dans les revues sont haussiers. C’est honteux. Lorsque nous avons dépassé le syndrome du « ce logiciel a transformé mon ordinateur en brique », toutes les personnes que je connais ont eu un virus sur leur système, même si elles disposaient d’un produit antivirus entièrement à jour. L’un des plus gros problèmes de AV est qu’il ne résout toujours pas le problème. Si les gens rendaient les ceintures de sécurité peu fiables comme ça, les cadres iraient en prison.
MMA : Avec quels produits antivirus Immunet fonctionne-t-il actuellement ?
[Huger provided me with a list of those anti-virus products that are officially supported and those that are unofficially supported (meaning Immunet doesn’t test them but users report success). Readers contemplating installing Immunet should read this known issues support Q&A.]
MMA : Quelle est la prochaine étape pour Immunet ?
Ah : La version 2.0 – qui sera livrée fin mai – sera sensiblement différente [screenshot below]. Il possède toutes les fonctionnalités d’un produit audiovisuel principal « pro ». Il prend toujours en charge l’installation aux côtés d’autres produits AV et il a deux nouveaux [anti-virus scanning] moteurs. L’un s’appelle SPERO qui est basé sur l’apprentissage automatique et le cloud et un autre appelé TETRA qui est un moteur côté PC traditionnel « hors ligne » qui ne sera livré que dans la version « Plus » (commerciale). Nous aurons également à la fois notre version gratuite et une nouvelle version commerciale qui offre une protection hors ligne et une suppression améliorée des logiciels malveillants.
