Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
|
|
La société McAfee utilise souvent le terme Artémis (Artemis) pour qualifier certains objets, lors d'une analyse antivirale. Qu'est-ce que le virus Artemis ?
Artémis, dans la mythologie grecque, est une déesse de la chasse (aux virus) « vierge » et n'aimant pas les hommes (sans savoir ce que c'est, mais simplement parce que sa mère lui a transmis cette aversion).
Artemis, de McAfee, pose un problème de détermination de la nocivité d'un fichier analysé par les antivirus de McAfee.
Le nom d'Artemis donné par McAfee à certaines détections de fichiers signifie, en substance " Je ne sais pas trop de quoi il s'agit, mais des utilisateurs pensent que c'est malveillant. ". C'est un mécanisme des outils McAfee lors de la surveillance et protection des Clouds.
On est dans le problème posé par le Crowdsourcing (comme avec WOT - Web Of Trust).
La clientèle de McAfee étant constituée de nombreuses entreprises (monde professionnel, monde du travail, etc. ...), le classement en " Fichier susceptible d'être malveillant ", au sens de l'entreprise, est totalement différent de la notion de malveillance au sens purement informatique et froidement technique du terme.
Artemis, chez McAfee, ne désigne pas une malveillance stricto sensu, mais un jugement de valeur. Le problème est que McAfee ne communique pas du tout à propos du classement Artemis. Le nom reste, en 2014, alors qu'un service est mis en place, dans un Cloud, à destination des entreprises, avec un frontal local appelé McAfee Global Threat Intelligence Proxy (McAfee GTI Proxy). Ce service est officiellement accessible uniquement à partir de McAfee VirusScan Enterprise (versions 8.7 ou ultérieures). Cette version de l'antivirus McAfee fait alors des requêtes McAfee GTI (anciennement Artemis) vers le proxy McAfee GTI, sans avoir besoin d'accéder au Cloud McAfee (une façon de soulager la charge des serveurs).
Le problème est que les entreprises possèdent des niveaux d'exigences et des facteurs de vision des fichiers informatiques, surtout les exécutables, qui n'ont rien à voir avec la pure malveillance techniquement prouvée par les laboratoires d'analyses. Un simple jeu de cartes, comme le solitaire, totalement anodin et propre, peut être classé Artemis par les jugements de valeurs des entreprises, qui voient d'un très mauvais œil des jeux sur un poste de travail.
Artemis est un nom donné à des fichiers sur la base de leur réputation, en dehors de toute analyse. Ces fichiers à mauvaise réputation sont considérés susceptibles de contenir des malveillances ou d'être des malveillances.
Ainsi, prenons l'utilitaire totalement anodin et propre DirLister (cet outil permet de lister un répertoire). Ce test est conduit le 30.11.2014.
Analyse de DirLister par VirusTotal (56 antivirus) le 30.11.2014 Aucune détection. |
||
---|---|---|
Antivirus | Résultat | Mise à jour |
ALYac | 20141130 | |
AVG | 20141130 | |
AVware | 20141121 | |
Ad-Aware | 20141130 | |
AegisLab | 20141130 | |
Agnitum | 20141129 | |
AhnLab-V3 | 20141130 | |
Antiy-AVL | 20141130 | |
Avast | 20141130 | |
Avira | 20141130 | |
Baidu-International | 20141130 | |
BitDefender | 20141130 | |
Bkav | 20141127 | |
ByteHero | 20141130 | |
CAT-QuickHeal | 20141129 | |
CMC | 20141127 | |
ClamAV | 20141130 | |
Comodo | 20141130 | |
Cyren | 20141130 | |
DrWeb | 20141130 | |
ESET-NOD32 | 20141130 | |
Emsisoft | 20141130 | |
F-Prot | 20141130 | |
F-Secure | 20141130 | |
Fortinet | 20141129 | |
GData | 20141130 | |
Ikarus | 20141130 | |
Jiangmin | 20141129 | |
K7AntiVirus | 20141128 | |
K7GW | 20141129 | |
Kaspersky | 20141130 | |
Kingsoft | 20141130 | |
Malwarebytes | 20141130 | |
McAfee | 20141130 | |
McAfee-GW-Edition | 20141130 | |
MicroWorld-eScan | 20141130 | |
Microsoft | 20141130 | |
NANO-Antivirus | 20141130 | |
Norman | 20141130 | |
Panda | 20141130 | |
Qihoo-360 | 20141130 | |
Rising | 20141129 | |
SUPERAntiSpyware | 20141130 | |
Sophos | 20141130 | |
Symantec | 20141130 | |
Tencent | 20141130 | |
TheHacker | 20141130 | |
TotalDefense | 20141129 | |
TrendMicro | 20141130 | |
TrendMicro-HouseCall | 20141130 | |
VBA32 | 20141128 | |
VIPRE | 20141130 | |
ViRobot | 20141130 | |
Zillya | 20141127 | |
Zoner | 20141127 | |
nProtect | 20141128 |
Simultanément, Stinger (de McAfee) est lancé (en mode paranoïaque - Very High) :
On sera donc extrêmement circonspect avec les détections Artemis de McAfee. Ne pas détruire mais, éventuellement, mettre en quarantaine (ou ne rien faire) en attendant d'avoir de plus amples analyses (utiliser le service VirusTotal ou le service Metascan ou l'utilitaire VT Hash Check.
McAfee Global Threat Intelligence Proxy (McAfee GTI Proxy) permet aux postes clients McAfee VirusScan Enterprise (version 8.7 ou ultérieure) d'exécuter des requêtes McAfee GTI (anciennement Artemis) sur la réputation de fichiers à partir du réseau d'entreprise, sans nécessiter un accès direct au nuage McAfee public. McAfee GTI Proxy permet aux entreprises de disposer d'une protection à jour contre les menaces et de fonctionnalités performantes de détection des virus, dont une puissante protection contre les menaces persistantes avancées et les réseaux de robots, et ce même avec un accès Internet limité.
Communications Internet consolidées — Qu'elles soient motivées par des impératifs de conformité ou d'autres facteurs, les entreprises présentent généralement des besoins uniques en matière d'accès des applications aux ressources du Web. Aux entreprises qui possèdent des environnements avec une connectivité Internet limitée, McAfee propose McAfee GTI Proxy pour consolider les communications entre d'une part, les clients McAfee VirusScan Enterprise dont la fonction de requête McAfee GTI sur la réputation des fichiers est activée et d'autre part, le nuage McAfee, par l'intermédiaire d'une série de serveurs proxy contrôlables.
Déploiement et gestion optimisés — McAfee GTI Proxy est une appliance virtuelle VMware gérée par la plate-forme McAfee ePolicy Orchestrator (ePO). Optimisé pour une efficacité maximale, McAfee GTI Proxy représente une charge très réduite pour le réseau.
Protection en temps réel contre les menaces — En interrogeant McAfee GTI via Internet pour déterminer en temps réel la réputation des fichiers, McAfee GTI Proxy identifie les fichiers suspects, susceptibles de contenir des logiciels malveillants.
|
|