Si l’on devait résumer en quelques mots la vision que les médias portent sur le rachat de VirusTotal par Google, ce serait par un « bonne nouvelle, Google récupère un acteur de la sécurité pour parfaire la protection de son « market ». VirusTotal est particulièrement apprécié du public pour son outil de scan d’URL ».
Ce sont là deux contre-vérités. En premier lieu, on voit mal comment un antivirus (voire une armée d’antivirus concaténés) pourrait mieux chasser la présence de fonctions natives de certaines appliquettes destinées au marché Android. La géolocalisation, la récupération d’informations personnelles dépendant du terminal, l’émission de ces données à destination d’un service extérieur, tout ça ne définit pas une activité virale, mais d’outils légaux « by design », naturellement destinés au bien du consommateur. Détecter et bloquer de telles fonctions équivaudrait à invalider 80 % des appliquettes actuellement diffusées par Google. VirusTotal n’est doué d’aucune intelligence artificielle capable de distinguer une « bonne » géolocalisation d’une mauvaise, une « bonne » récupération d’historique de navigation d’une mauvaise et ainsi de suite.
… quant au scan d’URL, à part quelques très rares paranoïaques ou chercheurs en sécurité, qui donc l’utilise ? La lourdeur de la procédure cantonne ce genre de service dans la catégorie « gadget à usage exceptionnel ».
Reste un usage de VirusTotal qui semble avoir été occulté par une soudaine amnésie sélective de la part de bon nombre de nos confrères : la vérification systématique des « payload » et vecteurs de diffusion conçus par les auteurs de virus ou de toolkits à malwares eux-mêmes. Ce n’est pourtant pas Google qui a inventé l’accroche « 0/42 VT Score Guaranteed » qui accompagne les documentations publicitaires de BlackHoles et proches cousins. Outil apprécié des filières mafieuses, ce bijou ajouté à la couronne Google a un parfum sulfureux.
VirusTotal, c’est le Janus de la protection, une arme à double tranchant qui peut avoir deux aspects. Le premier, angélique et blanc comme neige, qui affirme que le crible d’un fichier par 42 antivirus différents est une forme d’assurance « ceinture et bretelles » garantissant une absolue innocuité dudit fichier (ce qui est techniquement totalement inexact), le second, diabolique et sombre comme une dette souveraine Hellène, qui offre un label de furtivité et d’invisibilité à tout code d’origine BlackHat. Il y aura donc deux manières de lire, désormais, la phrase « applications Android vérifiée et garantie 0/42 par GoogleVirusTotal ». Assurance de pureté ou de très bonne infection ?… En admettant que Google envisage de rendre ce nouveau service commercial, la firme pourrait bien décrocher ses premiers clients du côté de Saint-Pétersbourg, dans la banlieue de Shenzhen ou dans les faubourgs de Rio …