Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Artemis (McAfee)

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
25.01.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajouté un mot sur la déesse Artémis.

Artemis, de McAfee, est un nom donné à des fichiers sur la base de leur réputation, en dehors de toute analyse. Ces fichiers à mauvaise réputation sont considérés succeptibles de contenir des malveillances.

Artemis (McAfee)

Artemis (McAfee)Artemis (McAfee)Artemis (McAfee)

La société McAfee utilise souvent le terme Artémis (Artemis) pour qualifier certains objets, lors d'une analyse antivirale. Qu'est-ce que le virus Artemis ?

Artémis, dans la mythologie grecque, est une déesse de la chasse (aux virus) « vierge » et n'aimant pas les hommes (sans savoir ce que c'est, mais simplement parce que sa mère lui a transmis cette aversion).

Artemis, de McAfee, pose un problème de détermination de la nocivité d'un fichier analysé par les antivirus de McAfee.

Le nom d'Artemis donné par McAfee à certaines détections de fichiers signifie, en substance " Je ne sais pas trop de quoi il s'agit, mais des utilisateurs pensent que c'est malveillant. ". C'est un mécanisme des outils McAfee lors de la surveillance et protection des Clouds.

On est dans le problème posé par le Crowdsourcing (comme avec WOT - Web Of Trust).

La clientèle de McAfee étant constituée de nombreuses entreprises (monde professionnel, monde du travail, etc. ...), le classement en " Fichier susceptible d'être malveillant ", au sens de l'entreprise, est totalement différent de la notion de malveillance au sens purement informatique et froidement technique du terme.

Artemis, chez McAfee, ne désigne pas une malveillance stricto sensu, mais un jugement de valeur. Le problème est que McAfee ne communique pas du tout à propos du classement Artemis. Le nom reste, en 2014, alors qu'un service est mis en place, dans un Cloud, à destination des entreprises, avec un frontal local appelé McAfee Global Threat Intelligence Proxy (McAfee GTI Proxy). Ce service est officiellement accessible uniquement à partir de McAfee VirusScan Enterprise (versions 8.7 ou ultérieures). Cette version de l'antivirus McAfee fait alors des requêtes McAfee GTI (anciennement Artemis) vers le proxy McAfee GTI, sans avoir besoin d'accéder au Cloud McAfee (une façon de soulager la charge des serveurs).

Le problème est que les entreprises possèdent des niveaux d'exigences et des facteurs de vision des fichiers informatiques, surtout les exécutables, qui n'ont rien à voir avec la pure malveillance techniquement prouvée par les laboratoires d'analyses. Un simple jeu de cartes, comme le solitaire, totalement anodin et propre, peut être classé Artemis par les jugements de valeurs des entreprises, qui voient d'un très mauvais œil des jeux sur un poste de travail.

Artemis est un nom donné à des fichiers sur la base de leur réputation, en dehors de toute analyse. Ces fichiers à mauvaise réputation sont considérés susceptibles de contenir des malveillances ou d'être des malveillances.

Ainsi, prenons l'utilitaire totalement anodin et propre DirLister (cet outil permet de lister un répertoire). Ce test est conduit le 30.11.2014.

Analyse de DirLister par VirusTotal (56 antivirus) le 30.11.2014
Aucune détection.
Antivirus Résultat Mise à jour
ALYac 20141130
AVG 20141130
AVware 20141121
Ad-Aware 20141130
AegisLab 20141130
Agnitum 20141129
AhnLab-V3 20141130
Antiy-AVL 20141130
Avast 20141130
Avira 20141130
Baidu-International 20141130
BitDefender 20141130
Bkav 20141127
ByteHero 20141130
CAT-QuickHeal 20141129
CMC 20141127
ClamAV 20141130
Comodo 20141130
Cyren 20141130
DrWeb 20141130
ESET-NOD32 20141130
Emsisoft 20141130
F-Prot 20141130
F-Secure 20141130
Fortinet 20141129
GData 20141130
Ikarus 20141130
Jiangmin 20141129
K7AntiVirus 20141128
K7GW 20141129
Kaspersky 20141130
Kingsoft 20141130
Malwarebytes 20141130
McAfee 20141130
McAfee-GW-Edition 20141130
MicroWorld-eScan 20141130
Microsoft 20141130
NANO-Antivirus 20141130
Norman 20141130
Panda 20141130
Qihoo-360 20141130
Rising 20141129
SUPERAntiSpyware 20141130
Sophos 20141130
Symantec 20141130
Tencent 20141130
TheHacker 20141130
TotalDefense 20141129
TrendMicro 20141130
TrendMicro-HouseCall 20141130
VBA32 20141128
VIPRE 20141130
ViRobot 20141130
Zillya 20141127
Zoner 20141127
nProtect 20141128

Simultanément, Stinger (de McAfee) est lancé (en mode paranoïaque - Very High) :

Artemis (McAfee)
Détection en Artemis (McAfee) au même moment où 56 antivirus ne détectent rien (y compris deux antivirus McAfee) dans le panel VirusTotal.

On sera donc extrêmement circonspect avec les détections Artemis de McAfee. Ne pas détruire mais, éventuellement, mettre en quarantaine (ou ne rien faire) en attendant d'avoir de plus amples analyses (utiliser le service VirusTotal ou le service Metascan ou l'utilitaire VT Hash Check.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

McAfee parle de McAfee Global Threat Intelligence Proxy (McAfee GTI Proxy) - ex Artemis et de ePolicy Orchestrator (ePO)

McAfee Global Threat Intelligence Proxy (McAfee GTI Proxy) permet aux postes clients McAfee VirusScan Enterprise (version 8.7 ou ultérieure) d'exécuter des requêtes McAfee GTI (anciennement Artemis) sur la réputation de fichiers à partir du réseau d'entreprise, sans nécessiter un accès direct au nuage McAfee public. McAfee GTI Proxy permet aux entreprises de disposer d'une protection à jour contre les menaces et de fonctionnalités performantes de détection des virus, dont une puissante protection contre les menaces persistantes avancées et les réseaux de robots, et ce même avec un accès Internet limité.

Communications Internet consolidées — Qu'elles soient motivées par des impératifs de conformité ou d'autres facteurs, les entreprises présentent généralement des besoins uniques en matière d'accès des applications aux ressources du Web. Aux entreprises qui possèdent des environnements avec une connectivité Internet limitée, McAfee propose McAfee GTI Proxy pour consolider les communications entre d'une part, les clients McAfee VirusScan Enterprise dont la fonction de requête McAfee GTI sur la réputation des fichiers est activée et d'autre part, le nuage McAfee, par l'intermédiaire d'une série de serveurs proxy contrôlables.

Déploiement et gestion optimisés — McAfee GTI Proxy est une appliance virtuelle VMware gérée par la plate-forme McAfee ePolicy Orchestrator (ePO). Optimisé pour une efficacité maximale, McAfee GTI Proxy représente une charge très réduite pour le réseau.

Protection en temps réel contre les menaces — En interrogeant McAfee GTI via Internet pour déterminer en temps réel la réputation des fichiers, McAfee GTI Proxy identifie les fichiers suspects, susceptibles de contenir des logiciels malveillants.

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "