C’est bien connu, Microsoft publie nettement moins d’alertes que le monde Linux… ergo, Windows est plus solide que Linux. Le nombre de failles rendues publiques chaque mois diminue, ergo les noyaux sont plus solides. L’antivirus Omo compte 12 millions d’enzymes gloutons antiviraux, il est donc bien meilleur que l’antivirus Persil, qui ne contient que 10 millions d’ions nettoyants à base de synode dégénéré.
Cette logique de la comptabilité soi-disant scientifique est aussi vicieuse qu’un syllogisme sophiste*. C’est faire fi des « rustines cumulatives » qui gomment d’un revers de patch une kyrielle de gouffres béants. C’est ignorer des failles officiellement inconnues, « vendues au marché noir », sans compter les vulnérabilités qui dorment dans les tiroirs des « response team » débordés. C’est faire abstraction du fait qu’il faut moins d’une heure à un script kiddy pour générer un virus polymorphe et furtif à coup d’outils à génération automatique et parfois moins d’une demi journée à un expert pour rédiger proprement un exploit inconnu des outils de protection classiques.
C’est ce que dénonce Dancho Danchev, dans un article intitulé « Compter les impacts de balles sur le front du malware ». Les éditeurs d’antivirus, explique Danchev, sont confrontés à un formidable conflit d’intérêt. Ils sont tenus de conserver, sous des prétextes souvent discutables, les mécanismes de détection par « reconnaissance de signature », pour la bonne et simple raison qu’avec des filtres heuristiques efficaces, il ne serait presque plus nécessaire d’enrichir aussi souvent l’antivirus salvateur. Forcément, voilà qui n’arrangerait pas les ventes, les messages des directeurs marketing et les arguments des vendeurs de boîtes.
Surenchère des statistiques
Il est en outre de tradition de jouer, dans ce métier, sur la corde alarmiste. Sans ces dizaines de millions de malwares, sans cette hécatombe quasi certaine, il devient difficile de se comparer à ses concurrents. « Les éditeurs d’A.V. comptent-ils les virus ou plus honnêtement les familles de virus ? » s’interroge Danchev. Face à ce jeux des chiffres, les utilisateurs de Storm et autres kits « concentrateurs de malwares » fabriquent en quelques secondes une nouvelle arme, qui n’est jamais que le regroupement d’un shrapnel d’infections déjà connues mais dont la nouvelle signature n’est connue d’aucun programme de filtrage périmétrique.
10 millions de virus répertoriés, 1 millions de failles en moins, 250 000 rustines en plus, tout cela ne signifie rien tant qu’il n’existe pas une jauge permettant de quantifier le risque réel lié à l’alerte. Une « faille DNS », bien que préoccupante, s’avère généralement moins destructrice qu’une paille dans le métal d’Outlook ou de Firefox. Lesquelles failles, bénéficiant généralement d’une médiatisation d’envergure, voient leur fenêtre de vulnérabilité se refermer plus rapidement que certains défauts Java ou Acrobat Reader qui font, depuis des lustres, le bonheur des serveurs du Rock Phishing ou du RBN, ces plateformes mafieuses Chinoises et Russes.
*NdlC Note de la Correctrice : L’on pourrait y voir un parallèle avec le paradoxe du fromage à trou. Plus un programme est long, plus il y a de trous (de sécurité). Mais plus il y a de trous, moins il y a de programme, donc plus il y a de programme, moins il y a de programme. Ne rions pas. C’est ce que l’on appelle le PLMC, ou Paradoxe du Million de Lignes de Code. Demain, sur 10 cm d’éditeur hexa propre et sec, nous étudierons le paradoxe de la rustine. Plus un programme est vieux, plus l’on y découvre de trous. Plus on y découvre de trous, plus on y applique de rustines… Trouvez la majeure et la mineure paradoxale du syllogisme du bouchon. Les copies seront relevées à 6H ce soir.