Search Results

La vie s’est arrêtée le 24 novembre dernier, sur le blog consacré à l’antivirus Microsoft Live OneCare. Un communiqué en forme de faire-part de deuil, qui annonçait la mort commerciale de la suite « anti-virus-spyware-firewall » de Microsoft, et préparait l’avènement d’un successeur « gratuit, peut-être plus limité, qui bénéficierait de nouvelles technologies de mise à jour en quasi-temps réel, destiné à tous les usagers, particuliers et petites structures ».

Portant le nom de code Morro, mais diffusé sous l’appellation kilométrique de Microsoft Security Essentials (MSE), ce programme entame, à partir du 23 juin 2009, sa phase dite de « Beta Marketing », c’est-à-dire de pré-version pouvant être téléchargée. Un logiciel réservé aux personnes ayant à la fois une certaine soif de sécurité et un goût du risque assez prononcé. Car installer un programme en cours d’élaboration peut avoir des effets désastreux sur une machine de travail.

Le privilège d’essayer Morro est pourtant réservé à une élite. Très particulière, l’élite. Car, comme le précise la page de téléchargement de MSE, ne pourront récupérer le successeur de OneCare que les ressortissants des Etats-Unis, d’Israël (version anglaise uniquement), les habitants de la Chine Populaire et les Brésiliens. Si l’on se réfère aux statistiques de l’Antiphishing Working Group, Israël mis à part et Russie non-comprise, ce sont là les 3 pays placés, sur les 12 derniers mois d’activité, au « top ten » de la production de malwares, spam, phishing et autres amabilités du genre. Sage décision que celle de Microsoft que de faire tester ses logiciels de protection là où il y en a peut-être le plus besoin, mais également et surtout là où il risque de se trouver la population la plus importante susceptible de rechercher une faille dans son fonctionnement. Espérons, au passage, qu’une version spéciale aura été offerte à Thierry Zoller, LE spécialiste des failles affectant les antivirus. Un chercheur dont le blog, ces dernières semaines, s’est enrichi d’un nombre impressionnant de bulletins d’alertes visant notamment Fprot, Clamav, Norman, Icarus, Kaspersky, Avira, F-Secure…

En lutte ouverte

D’un point de vue stratégique, la sortie de MSE est un pavé dans la mare qui éclabousse les Kaspersky, McAfee, Sophos, Symantec, F-Secure… en un mot les spécialistes du logiciel de protection commercial à destination grand-public. Certes, chacun de ces acteurs possède un trésor de guerre confortable et réalise une partie importante de son chiffre d’affaires grâce à des licences « grand compte», des suites logicielles adaptées aux entreprises, des contrats OEM avec des intégrateurs (fabricants d’appliances notamment)… mais le marché de l’ordinateur personnel continue à représenter une part appréciable des revenus. Or, ce même marché grand public est de moins en moins enclin à acheter de manière régulière un programme destiné à protéger une machine des dangers provoqués par une faille logicielle connue… ce qui se traduit dans l’esprit du public par « un logiciel que l’on doit acheter pour se préserver des problèmes provoqués par les défauts de fabrication des logiciels eux-mêmes ».

A ceci vient s’ajouter le succès croissant des programmes offrants au moins une version gratuite, AVG Free, ClamAV et consorts, qui ne sont ni meilleurs… ni plus mauvais que leurs concurrents « commerciaux du haut au bas de gamme ».

Les contre-performances des A.V.

Comme si cela ne suffisait pas, voici que la superbe image d’absolue perfection desdites suites de protection se trouve de plus en plus souvent malmenée. Par des chercheurs en sécurité qui osent clamer haut et fort le peu d’entrain que certains éditeurs d’A.V. montrent à corriger certains bugs de conception. Par l’échec cuisant qu’a représenté la dernière grande infection Conficker, dont les mécanismes de contournement parvenaient à museler pratiquement toutes les procédures de mises à jour des programmes de sécurité. Par le fait, également que la discorde règne de plus en plus dans les rangs des éditeurs. Particulièrement depuis le lancement de Windows Vista, dont les principes de fonctionnement interdisent désormais certaines libertés de programmation qu’appréciaient tout particulièrement les auteurs de firewalls, antivirus et autres outils de filtrage et d’analyse. Ce sont notamment les auteurs d’antivirus Américains qui se sont montrés le plus virulent vis à vis de Microsoft. Les plus virulents et les plus lents à fournir des éditions Vista 64 bits de leurs outils.

Enfin, cerise sur le kernel, voilà que depuis une bonne année fleurissent de redoutables Scarewares, des antivirus plus faux que nature, souvent même porteurs de virus, mais prenant l’aspect, les couleurs et l’apparence de fonctionnement d’un véritable bouclier anti-malware garanti pur Microsoft ou Symantec Original. Des Scarewares dont l’impact sur l’image de marque de la profession est incalculable.

A toutes ces considérations, l’on doit ajouter de simples considérations économiques. L’assurance n’est chère qu’avant l’accident, a-t-on coutume de dire. Et dépenser 40 ou 50 euros par an pour un danger de moins en moins avéré… voilà qui est difficilement justifiable en temps de crise. Car les virus destructeurs et casseurs, les Attila du Noyau, les Tamerlan du disque dur se font de plus en plus rares aux yeux du public. L’infection se fait discrète, le virus moderne zombifie, vole des informations, transforme un poste innocent en usine à spam, mais jamais il n’impacte trop fortement le fonctionnement de la machine. La grande majorité des utilisateurs non professionnels sont persuadés posséder une machine saine, protégée par un A.V. non remis à jour faute de licence valide et ignorants de l’activité fébrile d’une dizaine de spywares et agents de zombification.
Tous les éléments sont là pour que s’achève doucement l’ère de l’antivirus grand public payant. Un modèle timidement amorcé par quelques outsiders Clamav, AVG, Housecall et de Trend, Bitdefender Free, Avast, ClamWin, Avira… , tous très rapidement adoptés dans un premier temps par les habitués des forums et geeks avertis, rapidement imités par une majorité de non-spécialistes. L’arrivée de Microsoft sur ce terrain pourrait certes sonner le glas d’un « paranoïa business » en perte de vitesse, mais également léser ce même marché des gratuits par le seul poids de son renom. Microsoft OneCare gratuit est un risque certain pour la survie des petits éditeurs et la diversité de l’offre non-marchande. Si cette diversité venait à disparaître, cela laisserait une fois de plus à Microsoft la possibilité de revenir brutalement à un modèle payant, prenant ainsi en otage une clientèle qui n’aurait plus aucun autre recours. Redmond a plus d’une fois recouru à cette méthode.

NDLC Note de la Correctrice : C’est avec l’énergie du désespoir et une abnégation sans borne que je suis parvenue à censurer les titres consternants que la rédaction de CNIS avait osé envisager d’utiliser. Du lamentable à l’absolument catastrophique, nos lecteurs ont échappé à :

– Morro est arrivé-é-é (hélas !)

– Morro ? Vache ! (Trois fois hélas !)

– Vaste Programme (disait le Général en réponse à l’exclamation « Morro cons ! »

– Morro Palestine (il paraît que c’est une « private joke » dans le monde de la sécurité)

– Morro virus

– Morro cité chez les malwares (consternant, je vous dis, consternant)

– L’Arrivage-ci, si : la, Morro saute ! (ce serait ce que dit un vendeur d’antivirus « payants » en enlevant de ses étagères les boîtes d’antivirus gratuits Microsoft, afin de faire de la place et du chiffre) (A-peu-près réservé aux amateurs de Dalida)

– 2A, 2B (celle-là, elle est téléphonée : Corses bas et Maures hauts)

– Eclats de voix et fuites de gaz par le haut (réponse : mots-rots, tiroir de charade dans la plus pure tradition de Pierre Etienne)

– Sonomètre suivra ! (contrepet de lettres pour « virus : Moro est né ». Il manque un « R », c’est un échec et çà ne fait rien au scrabble)

–

Ô nuit désastreuse ! Ô nuit effroyable, où retentit tout à coup, comme un éclat de tonnerre, cette étonnante nouvelle : One Care se meurt, One Care est mort !. Mais les programmes aussi peuvent espérer une seconde vie, une métempsychose commerciale, sous forme de logiciel « freeware ». Ce One Care là, dénommé Morro, sera, à partir de la fin 2009, allégé de deux fonctions accessoires et totalement inutiles : la partie « PC Tuning » et son backup plus agaçant qu’efficace. Deux fonctions redondantes, battues en brèche soit par les outils déjà présents dans le système (ntbackup par exemple), soit par des utilitaires freewares ou commerciaux mieux conçus et plus efficaces. Commercialement parlant, avant le lancement de Morro, One Care édition commerciale aura disparu à la fin du premier semestre 2009.

Après des années d’errance, de contrats Central Point en tentatives bancales d’intégration dans MS-DOS, Microsoft n’a jamais très bien su comment concilier à la fois la « culpabilité » de ses propres failles, la sécurité de ses noyaux, sans pour autant risquer un nouveau procès « antitrust » entamé par les principaux éditeurs d’antivirus. Pourtant, qui donc mieux que l’éditeur d’un système d’exploitation est à même de savoir comment protéger ses propres points faibles ? C’est précisément ce qu’ont pensé les principaux prévisionnistes du marché, en prédisant un succès certain à OneCare. Succès d’autant plus garanti que son prix (entre 40 et 50 euros à l’heure actuelle) englobait 3 licences, forçant du même coup la concurrence à revoir à la baisse les tarifs pratiqués jusqu’à présent. La sauce, d’ailleurs, ne pouvait que prendre, puisque l’éditeur tente d’inonder la planète, plus de 8 mois durant, avec une édition de OneCare qui ne portait de « Beta » que le nom. Ajoutons enfin que l’empreinte mémoire du programme, tout comme sa consommation CPU, firewall compris, s’avère généralement bien plus indolore que celles des principaux logiciels équivalents. Malgré ces atouts, le mariage n’a pas pu s’opérer. La fusion avec l’éventail des logiciels de la famille « live » (notamment l’administration à distance du parc d’antivirus) n’a pas su plaire aux TPE, les commerciaux de Microsoft n’ont pas ferraillé assez fort pour que One Care entre dans les catalogues des fournisseurs d’accès Internet ou dans l’éventail des offres pré-installées OEM, comme ont su le faire Symantec ou McAfee par exemple. La diabolisation de la marque auprès du grand public a fait le reste…
L’ange protecteur diabolisé

Une diabolisation difficile à combattre, car reposant sur des arguments simples, simplistes même. Pour quelle raison devrait-on subir, en raison de ce qui relève de « l’erreur de fabrication », la levée d’un impôt annuel (plus connu sous le nom de licence) qui irait enrichir des spécialistes de la protection rapprochée ? Et peut-on considérer comme normal et moral que l’éditeur de Windows même tire des bénéfices de ses propres erreurs ? Propos certes outranciers, mais qui reflètent avec fidélité le sentiment de frustration de la majorité des usagers, professionnels ou non. Enfin, l’idée même d’une station « microsoftisée du sol au plafond » ne pouvait réellement séduire, particulièrement après la véritable campagne de protestation soulevée par les spécialistes du périmétrique lors du lancement de Windows. Souvenons-nous : le modèle de sécurité noyau imposé alors aux programmeurs rendit brutalement toutes les passerelles de filtrage « incompatibles ». Pis encore, la diffusion du SP1, après un an d’existence du nouveau Windows, reposait le problème en désactivant, une fois de plus, une grande majorité de logiciels antivirus, à l’exception de One Care. De quoi rappeler aux « vieux » utilisateurs, ces « malheureux bugs volontaires » qui bloquaient le lancement de Lotus 123. Encore pourrait-on mentionner la longue, très longue absence de One Care sur les plateformes 64 bits, un « détail » qui exaspéra principalement les utilisateurs professionnels.

Ce sentiment d’exaspération devient bien plus prégnant lorsqu’une récente étude de Secunia révèle qu’aucun antivirus n’est actuellement capable de bloquer une attaque « hors norme ». Ces outils de protection ne fonctionnent en effet qu’en vertu du principe « action-réaction », et ne sont efficaces qu’à l’encontre des infections connues. Quoi qu’en disent les littératures marketing et autres comptines sur les moteurs heuristiques. Or, de plus en plus, les spywares, rootkits, codes zombificateurs, keyloggers et autres malwares dormants ont recours à des codes d’exploitation polymorphes, à courte durée de vie, qui reposent eux-mêmes sur des failles répertoriées CVE et écrits pour les besoins de la cause. Des codes que les principaux antivirus ne « voient » absolument pas. Il y a bien longtemps, lorsque les seuls périls se limitaient à un Bosach, un Whales, un JeruB, un Frodo, il pouvait être sinon logique, du moins sage, d’acquérir au prix fort un programme réputé protéger contre plus de 90% des menaces connues. Las, depuis, les dangers ont évolué, l’efficacité des outils s’est proportionnellement amoindrie, même si, d’un point de vue technologique, d’immenses progrès ont été réalisés. Il faut se rendre à l’évidence : on ne peut combattre une attaque bactériologique avec une colichemarde ou contrer le feu nucléaire avec un écu portant blason. Corolaire de la question, doit-on payer aussi cher un système de défense dont la solidité s’est érodée avec le temps ?

Ce pourrait d’ailleurs être là le discours que tiendront les hommes du marketing Microsoft. Un OneCare gratuit ne marque pas le début d’une concurrence déloyale visant les McAfee, les Symantec, les Kaspersky et autres Sophos, qui se veulent plus « riches », plus « universels » qu’un simple chasse-virus. C’est le signe d’un changement d’époque, l’aveu qu’une pièce importante de la protection périmétrique doit devenir gratuite, non seulement parce que c’est là la contrepartie équitable des erreurs de conception de l’éditeur, mais également parce que le véritable combat ne se situe plus sur le terrain des programmes à reconnaissance de signatures. L’antivirus, programme révolu sous sa forme originelle, est devenu ce que les américains appelle une « commodity », un de ces petits riens nécessaires qui méritent à peine une considération distraite.

Comment les concurrents vont-ils accepter ce superbe sophisme ? Très probablement avec un chœur de protestations indignées. On criera au scandale, avec autant de violence –probablement plus- que n’en a provoqué la publication de l’étude Secunia. Puis, passés les premiers émois, Morro sera décrié, et l’on reverra paraître des études comparatives sur le nombre de virus « bloqués » par telles marques et passés inaperçus aux yeux des outils Microsoft, sur son incapacité à détecter des pages Web douteuses ou des emails au contenu suspect (bref, des menaces ne relevant pas de l’analyse virale) et la vie des « suites intégrales de protection totale indice 40 » reprendra son cours. Le firewall intégré d’origine Microsoft n’entrave pas les ventes des produits concurrents. Pas plus que la présence d’antivirus déjà gratuits (clamAV, AVG…) n’a réduit à néant l’espérance de survie des programmes dits « payants ».