A rien si l’on parvient à l’éviter, nous explique rapidement Thierry Zoller. Et le chercheur Luxembourgeois d’expliquer comment il est possible de camoufler un code dangereux dans un format compressé (zip, Arc ou équivalent) conçu de telle manière que l’antivirus ne sache pas l’ouvrir à des fins d’analyse, mais que rien n’empêche le destinataire dudit fichier de l’extraire et de l’exécuter. Face à un tel problème, le logiciel de protection se contente de laisser passer le document inconnu.
Au niveau du poste local, cette forme de camouflage n’a que très peu d’importance, car l’antivirus attend le malware au tournant. Si l’utilisateur tente d’extirper les données de leur coquille, le logiciel de protection détectera la présence d’un code actif en mémoire dès le début de son exécution. Il en va tout autrement si la protection périmétrique est installée sur une passerelle de messagerie, un proxy, un serveur… Car ainsi séparé de l’utilisateur par un brin réseau, l’antivirus ne peut détecter un agissement suspect dans un espace mémoire qui n’est pas le sien. Pis encore, si le malware en question est stocké sur un serveur –base de données, messagerie, serveur de fichiers etc-, autant de machines qui jamais n’ouvrent ou n’exécutent le moindre fichier-, il risque de se passer beaucoup de temps avant qu’un administrateur découvre l’origine d’une infection chronique d’origine pratiquement indétectable. L’on pourrait d’ailleurs utiliser l’argument de Thierry Zoller et l’étendre à la notion « d’outils de sécurité diffusés en mode cloud computing » : même efficace, un filtrage décentralisé doit nécessairement être doublé d’une instance « locale » du programme de détection d’attaque.