Sécurité : DAVFI, un projet d’antivirus français open source

Un consortium, réunissant différentes entreprises françaises, développe un antivirus open source reposant sur de nouvelles techniques de détection. Il pourrait être disponible en 2013 en deux versions : grand public et professionnels.

Les internautes et l'administration française pourraient être protégés par un antivirus développé en France. Un consortium - réunissant l'école informatique ESIEA, Qosmos (société spécialisée dans l'analyse de paquets et l'intelligence réseaux), Nov'IT (opérateur de solutions IP sécurisées pour l'entreprise) et le groupe naval DCNS - déposera un dossier le 14 novembre prochain afin de bénéficier du Grand Emprunt.

Début 2012, un jury rendra son avis. S'il est favorable, la France bénéficierait d'un antivirus open source en 2013. Pour l'instant, il ne s'agit que d'un projet baptisé DAVFI (Démonstrateur antivirus français et international) puisque le cahier des charges du Grand Emprunt stipule que le jury ne peut examiner que des proof of concept.

Estimant que les antivirus actuels ne sont pas assez efficaces (sans pour autant sous estimer l'importance du facteur humain dans une infection), les développeurs de ce projet ont l'ambition de concevoir un antivirus doté de fonctionnalités inédites et s'appuyant sur les travaux de recherches menés par Eric Filiol, directeur du Laboratoire de cryptologie et de virologie opérationnelles à l'ESIEA. Objectif : bloquer les codes malveillants avant qu'ils n'infectent le PC.

Partiellement développé autour d'une base Clamav (Clam AntiVirus, utilisé dans l'univers UNIX), cet antivirus s'appuiera sur les techniques de listes blanches. L'internaute et l'entreprise pourront le configurer de façon à ce qu'il n'accepte que les types de fichiers (par exemple les .doc) les plus couramment utilisés. Si l'utilisateur reçoit un email avec une pièce jointe dans un format non autorisé au préalable, l'antivirus s'appuiera sur des techniques de recodage / transcodage réalisées au niveau des passerelles ou des serveurs. Un document Word pourrait ainsi être « allégé » de certains éléments connus pour être porteurs d'infections (comme les macros).

Un antivirus protégé contre les attaques

Les techniques de détection par signatures seront conservées mais sous une forme probabiliste (incluant des signatures comportementales). A la différence des antivirus actuels, cette analyse comportementale sera capable de détecter la moindre variante grâce à des algorithmes développés par l'ESIEA. Au cas où une nouvelle variante n'aura pas été repérée, le logiciel sera épaulé par les outils d'analyse réseaux conçus par Qosmos. Son moteur d'analyse de paquets en profondeur (Deep Packet Inspection, DPI) pourra indiquer par exemple que tel port ouvert par un code malveillant déjà répertorié est actuellement exploité par cette variante inconnue.

Ce logiciel open source devrait être disponible en 2013 en deux versions. Celle destinée au grand public reposera essentiellement sur la détection par signatures et le filtrage des fichiers. Destinée aux entreprises et administrations, la seconde sera proposée sous forme de services (4 euros par an et par poste) et fournira des outils complémentaires. Elle reconnaitra les documents « tatoués » en provenance de l'État ou de services accrédités (Impôts, banques...). La gestion des bases de signatures ainsi que le code binaire en mémoire du produit seront protégés par des techniques de cryptographie.