La révolution est en ligne. Antivirus, antispam, anti-exploit : les services de sécurité fusionnent et migrent sur Internet. Trend Micro est le premier éditeur d'antivirus majeur à franchir le pas du cloud computing. Un changement radical et un pari osé que nous décryptons avec Eva Chen, son PDG et co-fondateur.

Enfin du nouveau ! Cela faisait longtemps que l'industrie antivirus n'innovait plus réellement : accrochés au poste de travail comme autant de moules à leur rocher, les éditeurs se contentaient surtout de racheter des technologies innovantes une fois ces dernières mûres, pour les intégrer à des suites de sécurité toujours plus obèses. Nous avions même fini par considérer ces éditeurs comme de simples gestionnaires d'espace : ils possèdent le client logiciel. Toute technologie de sécurité sur le poste de travail doit alors attendre d'être rachetée par eux pour avoir une chance de trouver sa place dans les entreprises, ces dernières rechignant à déployer plusieurs clients de sécurité (souvenez-vous des premiers anti-spywares, puis des HIPS, et même aujourd'hui du DLP...)

Mais avec le cloud computing, l'industrie anti-virale s'apprête à changer (enfin) de modèle : plutôt que de s'appuyer sur un client lourd installé sur chaque PC, elle veut déporter l'intelligence et l'analyse vers des centres de données sur Internet. A la clé, non seulement une gestion plus efficace et transparente (fini les mises à jour des bases de signatures), mais surtout la capacité de mieux corréler des évènements de sources différentes. Comme par exemple identifier un spam grâce à l'adresse web indiquée dans le courrier, parce que celle-ci pointe vers l'IP d'un serveur qui, à ce moment, sert aussi à la mise à jour d'un virus ailleurs dans le monde.

Un constat d'échec

Ce changement de stratégie vient d'un constat d'échec du modèle actuel : les bases de signatures semblent atteindre leurs limites. Selon bon nombre d'éditeurs la quantité de signatures à gérer augmente depuis plusieurs années déjà de manière exponentielle. Ils estiment que les fichiers de signatures seront bientôt trop lourds pour être convenablement gérés, et tous cherchent des alternatives.

C'est dans ce contexte que Trend Micro annonce un changement radical : le passage de la totalité de son offre à un fonctionnement "in the cloud", c'est à dire via Internet. Concrètement, l'éditeur va appuyer toute sa gamme sur le Smart Protection Network, un réseau bâti autours de plusieurs centres de données sur Internet, chargés de fournir les bases de signatures et d'analyser les codes malveillants qui leurs sont soumis. La plate-forme est déjà en fonctionnement depuis l'an dernier sur une partie de son offre, notamment les passerelles.

Qu'il s'agisse donc des passerelles (antispam et antivirus) mais aussi des clients du poste de travail, tous les produits de l'éditeur utiliseront à terme les services du Smart Protection Network et iront contrôler en ligne l'email ou le fichier qu'ils traitent. Dès le mois prochain Trend Micro devrait annoncer les clients antivirus compatibles dans sa gamme dédiée aux PME. Les grands comptes, eux, attendront 2009.

La révolution est en ligne

La révolution ici, c'est bien que Trend Micro confie aussi l'analyse des fichiers sur le poste de travail à son service en ligne. Il ne faut donc pas confondre l'annonce avec un service de filtrage de flux, comme le proposent déjà d'autres éditeurs d'antivirus (tel celui de Kasperksy, par exemple). Car il ne s'agit pas simplement de détourner le trafic email ou web de l'entreprise pour le nettoyer, mais bien de contrôler le contenu du poste de travail comme le ferait un antivirus traditionnel.

De même, le service Managed VirusScan de McAfee, bien qu'installé sur les postes de travail et géré en ligne, conserve ses bases de signatures locales. Pareil pour Panda Software, qui annonçait récemment Panda Managed Office Protection, un service antivirus similaire basé sur un client léger (5 mo) et géré depuis le web. Mais lui aussi s'appuie sur une base de signatures locale complète. Ces deux services améliorent certes la distribution du client antivirus et sa mise à jour (via le Peer-to-Peer), ils en facilitent aussi sa gestion et en réduisent la taille, mais ils demeurent liés à une base de signature locale.

Or ce que propose Trend Micro, c'est bel et bien une protection locale... mais dont les signatures sont sur le réseau, à l'exception d'une mini-base (15% de la taille actuelle) destinée aux menaces les plus communes et les plus simples à détecter.

Le retour de l'antivirus poids-plume

L'éditeur ne se débarrasse donc pas entièrement du client installé sur le poste de travail. Mais celui-ci sera bien plus léger et il enverra ses demandes de vérification à des serveurs sur Internet. "Le tout-Internet n'est pas la solution. Il faut conserver un client sur l'ordinateur qui se charge de préparer les vérifications. Cela permet de n'envoyer que l'empreinte des fichiers à contrôler et non les fichiers eux-mêmes, ce qui poserait des soucis de confidentialité et de performance", explique Eva Chen, CEO et co-fondatrice de Trend Micro.

L'approche offre des avantages indéniables : en premier lieu, le client installé sur le poste de travail est largement plus petit et moins gourmand en ressources qu'un antivirus traditionnel en puissance processeur et en mémoire vive, mais aussi en bande passante. Selon Trend Micro, la vérification en temps réel de chaque fichier sur Internet consomme moins de bande passante que la mise à jour périodique de la base des signatures.

L'économie de ressources n'a d'ailleurs pas échappé à Cisco ou Linksys, qui intègrent déjà dans leurs équipements un client compatible avec le "Smart Protection Network" de Trend (notamment pour la réputation web). La contre-partie est un délai supplémentaire de quelques microsecondes à chaque analyse.

Ensuite, et surtout, l'analyse porte sur plusieurs sources d'information qu'elle sait corréler. Dans le cas d'un spam proposant un lien vers un site web malveillant, par exemple. Le client antivirus contrôlera d'abord si le courrier est répertorié comme spam en vérifiant la réputation de son expéditeur et, c'est nouveau, en envoyant son empreinte MD5 à la plate-forme de Trend Micro. Si ce n'est pas le cas (et c'est probable, il est aisé de changer l'empreinte de chaque spam envoyé), le client contrôlera ensuite l'adresse web donnée dans le message. Il s'appuiera pour cela sur le service de réputation web déjà opérationnel de Trend Micro. Mais s'il s'agit d'un site légitime fraichement compromis, aucune alerte ne pourra être donnée et l'utilisateur sera alors libre de cliquer sur le lien... et d'être infecté.
A ce stade, en revanche, la connexion au site va provoquer le téléchargement d'un code malicieux sur son PC, le plus souvent via une vulnérabilité du navigateur. Le client antivirus enverra alors l'empreinte de l'exécutable téléchargé pour vérification sur la plate-forme de Trend Micro. Si ce dernier est répertorié comme un virus connu (et avec une base de signatures qui peut avoir une taille quasi-illimitée, c'est plus simple), le téléchargement et l'exécution du parasite seront bloqués.

Un réseau d'alerte mondial

C'est ici que l'aspect collaboratif du Smart Protection Network entre en jeu : le client antivirus est notifié de l'alerte et détermine quel évènement l'a déclenchée. Il est en mesure d'en "remonter" la trace et de déterminer que c'est tel email reçu (son empreinte est désormais fichée) qui contenait telle URL ou l'adresse de tel serveur (ils sont désormais fichés). L'ensemble de ces informations est envoyé au réseau, et les autres clients bénéficieront immédiatement de l'information. Et ce bénéfice concerne non seulement d'éventuelles nouvelles copies de ce mail ou de ce virus, mais aussi toute autre utilisation du serveur compromis (accès direct depuis un navigateur, virus inconnu qui téléchargerait le reste de son code sur ce même serveur, etc...)

Certes, avant cette annonce, un bon antispam aurait peut-être bloqué le courrier à son arrivée, un (très) bon outil de filtrage d'URL aurait peut-être su que le site mentionné dans le courrier était dangereux, et un bon antivirus à jour aurait probablement arrêté le téléchargement du parasite. L'apport de Trend Micro est ici dans l'intégration de l'ensemble et dans l'automatisation des contrôles, puis dans la remontée de l'alerte. L'éditeur annonce un délais d'une vingtaine de minutes pour l'ensemble du processus.

Et si Websense, depuis son rachat de Surfcontrol et grâce à sa maîtrise de la réputation web, propose une approche similaire depuis plus longtemps, Trend Micro doit, lui, opérer à une toute autre échelle. "Aujourd'hui, nos centres de données répondent à cinq milliards de requêtes par jour", annonce Eva Chen. Et cela ne fera qu'augmenter lorsque la totalité des clients particuliers et entreprises s'appuieront sur le "cloud".

Un changement programmé

Bien qu'un tel changement soit radical, Trend Micro s'y est tout de même attelé dès 2005, date du lancement de son Network Reputation Services. En 2006, il proposait InterCloud Security Services, pour détecter les PC zombies "in the cloud". Il lançait enfin l'an dernier son service de réputation web en ligne. L'année 2008 officialise donc le changement de cap. Chaque année aura ainsi vu une pièce du puzzle, et 2009 devrait être l'année de la disponibilité effective des suites de protection.

Un pari risqué
Trend Micro s'expose cependant à de nombreux risques en embrassant le "cloud computing". Le premier est de faire face au trafic généré par les milliards de requêtes quotidiennes, tout en subissant les très probables (et très régulières) attaques par déni de service que cela ne manquera pas de provoquer. Un acteur tel Amazon, autrement plus expérimenté en terme de plate-forme web et de trafic massif, a déjà subi des interruptions sur ses services de "cloud computing" EC2 et S3. La tâche sera donc probablement rude pour Trend Micro sur le plan technique.
Autre défi : convaincre que ce changement de stratégie est pour le mieux. A en juger par les réactions des internautes ("Et si je ne suis pas connecté à Internet ?", "Envoyer mes fichiers à Trend ? Jamais !"), ce n'est pas gagné d'avance. Et de l'aveu même d'Eva Chen, ses propres investisseurs étaient inquiets de voir les dépenses s'envoler. La tâche promet donc d'être rude également du point de vue de la communication !

Et puis il restera, enfin, à convaincre les entreprises. Moins sensibles à la communication ou au panache d'un tel changement de cap, elles voudront surtout avoir des garanties : quels gains attendre (financiers, techniques), sur quel niveau de service compter ? Qui a audité les centres de données ? Quelles responsabilités ? Quelles licences ?

Pour les plus sceptiques d'entre elles, Trend Micro affirme toutefois ne pas abandonner encore ses produits traditionnels, notamment pour les entreprises qui opèrent des réseaux privés sans contact avec l'extérieur.

Téméraire, certes, mais pas inconscient !

Pour en lire plus