Lundi, les comités utilisateurs du projet DAVFI (pour « Démonstrateur d’Anti-virus Français et International ») ont été officiellement lancés, le projet DAVFI ayant lui-même été présenté début juillet. Parmi les motivations à l’origine du projet, le doute qui pèse sur les éditeurs anti-virus actuels, qui seraient entrés dans un cercle vicieux, absorbés par un business model qui poursuit des objectifs distincts de ceux de leurs clients. En clair, les anti-virus classiques n’auraient pas intérêt à être réellement efficaces, puisque cela signerait leur mort (sans menace, plus d’ennemi à combattre…). Sans compter la possibilité pour ces sociétés de servir, de gré ou de force, de relais de la puissance pour leur pays, sur un marché à l’importance stratégique croissante.
Dans la communauté de la sécurité, ce lancement d’un anti-virus français obtint des réactions très contrastées, allant du « bravo » au « c’est n’importe quoi ». Ayant moi-même hésité entre ces deux extrêmes, voici en quelques mots mon point de vue sur le sujet.
Tout d’abord, le marché actuel des anti-virus est atteint depuis une dizaine d’années par la schizophrénie : cet écosystème, qui brasse globalement des milliards de dollars de chiffre d’affaires annuel, est passé du statut de « remède miracle » à celui de « mal nécessaire » ; le principal moteur de la vente des logiciels anti-virus n’est plus leur performance vérifiable mais la peur instillée par ces éditeurs. Cela fait en effet des années que ces produits sont en sursis, les DSI ne pouvant raisonnablement pas s’en passer, mais explorant des pistes alternatives pour s’en affranchir. En effet, depuis 2006 et la fameuse déclaration du CERT gouvernemental australien (selon lequel 80% des malwares en circulation à un instant donné restaient inaperçus des anti-virus), et toujours pas démentie 6 ans plus tard, la R&D alternative s’organise : détection réseau, analyse dynamique, classification, collecte à grande échelle… Tous ces champs d’activité ont vu des myriades de petites sociétés se développer, empiétant petit à petit sur les terres ancestrales des grands barons de l’anti-virus.
Une autre raison, rarement évoquée, pour laquelle les anti-virus classiques échouent massivement : ils reposent sur l’installation d’un agent local, devant être coordonné et maintenu à jour, et sont dédiés à la protection du poste de travail. Ce modèle, qui a fait leur succès, constitue aujourd’hui leur principale limite. Cette approche est rendue obsolète par les évolutions des systèmes d’information d’entreprise : les parcs informatiques sont de moins en moins maîtrisés ; le « bring your own device » introduit des terminaux non infogérés sur le SI ; et le Cloud computing, privé ou externe, s’accompagne trop rarement de contre-mesures anti-malwares pour protéger les machines virtuelles hébergées. Sans compter le sacro-saint principe de subsidiarité, qui permet dans un même grand groupe de faire coexister des politiques de sécurité implémentées par des outils aux performances très différentes et aux périmètres bien séparés. Résultat : un vrai casse-tête pour gérer de manière rationnelle le risque d’infection virale quand le parc informatique est segmenté et protégé par des solutions complètement différentes les unes des autres (on citera, pour le fun, le cas extrême où la filiale A utilise un anti-virus lui-même reconnu comme virus par la filiale B… c’est du vécu), et impossible d’établir des métriques cohérentes.
Je pense donc qu’il existe une place à prendre pour les outils centralisés de détection de malware, adaptés à des réseaux physiques et virtualisés, sur lesquels se connectent des terminaux inconnus, et sans agents éparpillés sur tout le parc informatique. On ne les citera pas mais de nombreux produits voient le jour dans cette direction, s’appuyant sur des moyens de détection dans le réseau pour repérer les malwares. La question est donc : quelle architecture sera retenue par DAVFI ? Avec ou sans agent ? N’ayant pas été présent à la conférence de lancement, il semble que peu d’informations aient filtré à ce sujet, mais la volonté de faire un anti-virus fonctionnant sur Windows, Linux, Android et iOS le situerait a priori dans la catégorie « avec agent » (sinon, pourquoi citer les OS compatibles ?). Premier point de vigilance donc…
Autre point qui mérite d’être questionné : le budget de 5 millions d’Euros, pour 5 partenaires. A titre de comparaison, au niveau de l’Union Européenne, dans le cadre du Framework Programme 7 (FP7), le budget du programme « ICT Trust and Security » est d’environs 2,5 milliards (oui, milliards) d’Euros à lui seul sur la période 2007-2013, répartis en plusieurs appels à projets successifs, qui donnent lieu au financement de centaines de projet de recherche en sécurité de l’information. Le projet DAVFI est donc équivalent en volume à un projet collaboratif européen de taille relativement moyenne.
Sur le domaine de l’anti-malware et de la supervision sécurité, l’UE a financé dans le cadre du FP7 des projets comme WOMBAT, DEMONS, ou encore MASSIF, et le dernier appel à projet ouvert jusqu’en janvier 2013 aborde de nouveau cette thématique. Toute une galaxie de projets auxquels participent des armées de chercheurs des mondes universitaires, industriels et éditeurs de solutions. Je me pose donc la question de l’avenir du projet DAVFI, franco-français, modestement financé, et se donnant l’ambition importante de faire mieux que l’état de l’art actuel. Si des avancées scientifiques sont certainement possibles sur ce domaine, encore très ouvert, en revanche il me semble douteux de se donner pour ambition de créer un vrai produit industriel anti-virus qui fasse mieux que les solutions actuelles du marché. Je suis le premier à déplorer le retard français en la matière, mais 5 millions d’Euros et 5 partenaires pour percer dans une industrie à plusieurs milliards, c’est irréaliste ; je pense qu’il faut plutôt s’attendre à voir à l’issue de ce projet de recherche une preuve de concept, démontrant des procédés de détection innovants (et d’ailleurs ce serait déjà très positif), mais pas un produit fini aux performances suffisantes pour un déploiement à grande échelle (ou distribué à la FNAC — c’est aussi ça, un anti-virus !). Mentionnons également le fait que par essence, un projet collaboratif n’est pas le véhicule rêvé pour aboutir à un produit fini et maintenu dans le temps, qui serait bien mieux hébergé dès le début (et pas juste à l’issue du projet) dans une entreprise : dans tout projet collaboratif, l’overhead de la collaboration varie exponentiellement avec le nombre de partenaires, et chaque partenaire poursuit ses propres objectifs en parallèle de ceux du projet lui-même. Quand ils ne sont pas dans le projet juste pour toucher les subventions (ça peut arriver…).
Quant à l’objectif secondaire affiché de fournir à l’Europe un moteur anti-virus indépendant et de pure conception européenne, réveillons-nous, cet objectif a déjà été atteint depuis longtemps par nos voisins : Sophos au Royaume-Uni, Panda en Espagne, EMSISoft en Autriche, NOD32 en Slovaquie, etc, etc.
Donc l’anti-virus français pour madame Michu, c’est probablement pas pour demain ! Mais on peut raisonnablement s’attendre dans DAVFI à de réelles innovations techniques.
[edit : correction d’une erreur sur le budget du programme ICT Trust and Security]