Assiste.com
cr 04.07.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Logiciels (logithèque) |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Il est actuellement en cours de développement.
Contrairement à ce qui était annoncé, il ne semble pas du tout être Open-source.
Seule une version sur rom de remplacement, pour terminaux mobiles, sous le nom de « UHURU » Mobile, a été distribuée pour Nexus 4, gratuitement, en janvier 2014. Un projet de vente de Nexus 4 pré-équipés a été prévu pour octobre 2014 puis a été annulé sans aucune explication (bugs ?).
A la date de dernière révision de cet article (décembre 2015), on ne sait strictement rien du projet, des produits, de leurs places dans la compétition, des technologies, de la vitesse, de la taille, des bases de signatures, d'une éventuelle sandbox ou machine virtuelle, etc. ... Rien ! Il n'y a qu'un site de 3 ou 4 pages quasiment vides (ces nouveaux sites pour gros doigts sur petits écrans tactiles où rien n'est écrit sauf des déclarations péremptoires).
Le projet d'avoir un antivirus franco français a été présenté le 10 septembre 2011 et s'est cristallisé le 14 novembre 2011. Proposé aux grands projets soutenus par l'Etat, le projet est accepté et trouve alors un financement. Le projet DAVFI est lancé le 4 juillet 2012.
L'ambition est simple : imposer la souveraineté numérique de la France et révolutionner le monde de l'antivirus ! Rien que ça.
Le produit issu de ces travaux de recherches et de démonstrations de faisabilité sera disponible en trois versions :
MS-Windows
GNU/Linux
Android (la version Android, nommée DavDroïd durant la phase actuelle de R&D, est envisagée, par l'ESIEA, avec un an d'avance : démonstrateur en septembre 2013).
Le nom du projet, « Démonstrateurs », témoigne qu'il s'agit, pour l'instant, de tester diverses idées (innovantes ?). Par la suite, il faudra en retenir une (ou plusieurs).
Lorsque les « Démonstrateurs » retenus auront réussi à 100%, plusieurs fois de suite, les tests contre la WildList et autres tests des organismes crédibles de tests et comparatifs des antivirus, il faudra songer à lui trouver un nom correspondant à un produit réel.
DAVFI permettra à la France et à l'Europe d'acquérir leur souveraineté numérique dans le domaine des antivirus.
Paris, le 4 juillet 2012 – Le lancement de DAVFI correspond à la mise en œuvre d'un programme de R&D soutenu par le Fonds national pour la Société Numérique (FSN) dans le cadre des Investissements d'Avenir (Grand Emprunt), Appel à projet Sécurité et Résilience des réseaux.
La sécurité des systèmes d’information représente un enjeu économique et stratégique crucial. Elle doit garantir, tant pour les particuliers que les entreprises, l’intégrité des transactions, la confiance entre les parties et la protection du patrimoine informationnel ; conditions sine qua non au bon développement de l'économie numérique.
Dans ce contexte, la mise en œuvre d’une politique industrielle en matière de sécurité des systèmes d’information vise trois objectifs :
- favoriser le développement du commerce électronique
- faciliter un usage plus large et plus efficace des technologies disponibles pour que les entreprises se protègent de manière satisfaisante
- aider les entreprises présentes sur le territoire national du secteur à innover et produire de la valeur, conquérir des parts de marché et créer des emplois.
L'antivirus est un élément clé dans la chaîne de sécurisation d'une infrastructure
« Les modèles technologiques de détection des antivirus actuels ont montré leurs limites et ne répondent plus aujourd'hui aux menaces. L'approche technique innovante de DAVFI le rendra capable de détecter les variantes inconnues de codes identifiés et de prévenir l’action de codes inconnus. Basé sur une décennie de travaux de recherche, DAVFI assure d'ores et déjà une rupture technologique dans la lutte antivirale » note Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles de l'ESIEA.
Porté par un consortium d'experts français réunissant l'Ecole supérieure d'informatique, électronique et automatique (ESIEA), alliée aux entreprises Nov'IT (Chef de File) avec Init SYS pour la R&D, Qosmos, Teclib' et DCNS Research ; DAVFI est conçu pour évoluer en fonction des besoins et demandes des utilisateurs.
DAVFI proposera un antivirus à performances élevées, dont le code sera libre et ouvert (hors quelques modules spécifiques). Plusieurs versions permettront une adaptabilité aux larges déploiements et aux modes postes de travail et réseaux. Une version gratuite sera proposée pour les particuliers. Audité dans le cadre du projet pour une CSPN [*] (ANSSI, Agence nationale de la sécurité des systèmes d'information), DAVFI pourra à terme être intégré à une offre complète à destination des administrations, des Opérateurs d'Importance Vitale (OIV), des entreprises et des particuliers.
« La confiance que l'on pourra lui accorder en tant qu'outil de sécurité sera notamment garantie par l'ouverture du code. Un fondamental pour ce type de solution est en effet de pouvoir valider que son comportement réel est bien le comportement attendu. » précise Jérôme Notin, Président de la société Nov'IT et Chef de File du Consortium.
DAVFI, un antivirus solidaire et durable
Le consortium souhaite impliquer un maximum d'acteurs afin de garantir le succès global du projet, dans une démarche d'échanges libres et ouverts.
Deux Comités des utilisateurs seront ainsi mis en place à partir de septembre 2012 et auront une implication très forte en participant réellement à l'élaboration des outils et à la définition des besoins. La disponibilité de DAVFI sur le marché est attendue pour l'année 2014.
Le Comité Européen sera géré par l'Institut EICAR (http://www.eicar.org) et devrait avoir comme membres l'OTAN, le BSI allemand (équivalent de l'ANSSI), AV-Comparatives … ainsi que des entreprises européennes.
Le Comité français sera directement géré par le Consortium et réunira des membres de la de l'administration, des entreprises de toutes tailles ainsi que des représentants de la société civile (associations, journalistes …).
Le consortium DAVFI fait appel aux ressources de cinq acteurs français de premier plan dans la sécurité des systèmes d'information, pour résoudre les défis de sécurité et de fiabilité des réseaux. Nov'IT, Chef de file, opérateur innovant délivrant des services de sécurité ; le laboratoire de cryptologie et de virologie opérationnelles de l'école d'ingénieurs ESIEA, basé à Laval ; Qosmos, éditeur de solution de Network Intelligence ; Teclib, expert en développement et intégration d'outils d'inventaire et gestion de parc ; et la DCNS Research, leader mondial du secteur de la défense navale. Proposé dans le cadre des Investissements d'Avenir (Grand Emprunt) : Appel à projet Sécurité et Résilience des Réseaux #2.
DAVFI a reçu le Label System@tic et les lettres de soutien GT LL, April et Aful. Un budget de 5,5 millions d'euros sur deux ans d'investissement sera alloué à la R&D du projet, en se basant sur les travaux du Laboratoire de virologie et cryptologie de l'ESIEA, dirigé par Éric Filiol.
Docteur en mathématiques appliquées et en informatique, ingénieur en cryptologie, Éric Filiol est le Directeur du laboratoire de virologie et de cryptologie opérationnelles de l’ESIEA à Laval, depuis 2008. Éric Filiol a aupavant servi 22 ans au Ministère de la Défense (Infanterie/Troupes de Marine), dont la moitié dans le domaine de la sécurité de l’information et de systèmes. Disposant d'une culture de l'opérationel, il est spécialisé en cryptologie symétrique, et plus particulièrement en cryptanalyse, en virologie informatique et en techniques de cyberguerre. Eric est également Directeur scientifique de l'Institut Eicar et éditeur en chef de la revue "journal of computer virology and computer hacking".
Titulaire du DTA MACAO et diplomé de l'Institut MCA, Jérôme Notin est le Président de Nov'IT. Impliqué dans le monde de la sécurité et des Logiciels Libres depuis de nombreuses années, Jérôme Notin a en particulier participé au développement de la société INL/EdenWall Technologies, à l'origine du premier pare-feu par identité. Jérôme Notin a toujours travaillé pour des sociétés innovantes et apporte aujourd'hui son expérience à la société Nov'IT, qu'il a co-fondée.
Le principe général de la CSPN (Certification de Sécurité de Premier Niveau) est de proposer une évaluation en charge et délai contraints pouvant mener à une certification.
CSPN sur Agence nationale de la sécurité des systèmes d’information
Lors du FIC de 2013 (Lille, les 28 et 29 Janvier 2013), le caractère franco français a été critiqué et le projet a pris un caractère européen.
Inscrit dans le programme européen de Stockholm de 2010-2015, le renforcement de la lutte contre la cybercriminalité est devenu une des priorités de l’Union européenne. Convaincue de la nécessité d’être partie prenante de cet effort, la Gendarmerie Nationale a lancé en 2007 la première édition du FIC (Forum International de la Cybercriminalité).
Le lancement de DAVFI, "premier antivirus Open Source made in France" disponible dès 2014, correspond à la mise en œuvre d'un programme de R&D soutenu par le Fonds national pour la Société Numérique (FSN) dans le cadre des Investissements d'Avenir (Grand Emprunt) engagés dès 2010.
Sur un marché des logiciels antivirus actuellement dominé par les pays de l'Est, (Kaspersky, Avast, BitDefender...), les Etats-Unis (Symantec, McAfee) ou encore le Japon (Trend Micro), DAVFI sera un des éléments de la souveraineté numérique de la France et de l'Europe.
La sécurité des systèmes d’information est un enjeu économique et stratégique crucial. Pouvoir garantir, tant pour les particuliers que pour les entreprises, l’intégrité des transactions, la confiance entre les parties et la protection du patrimoine informationnel est une condition sine qua non au bon développement de l'économie numérique.
Plusieurs versions permettront une adaptabilité aux larges déploiements et aux modes postes de travail et réseaux. Une version gratuite sera proposée pour les particuliers. Audité dans le cadre du projet pour une CSPN (ANSSI, Agence nationale de la sécurité des systèmes d'information), DAVFI pourra à terme être intégré à une offre complète à destination des administrations, des Opérateurs d'Importance Vitale (OIV), des entreprises et des particuliers.
Le projet est géré et développé par un consortium de grands acteurs français :
Nov'IT, agissant en chef de file
ESIEA (Ecole Supérieure d'Informatique, Électronique et Automatique) - Grande école d'ingénieurs
Teclib'
La DCNS Research (ex DCN)
Init SYS - Recherches et développement
|
Le financement de DAVFI se fait par le FSN (Fonds national pour la Société Numérique), dans le cadre des Investissements d'avenir (anciennement Grand Emprunt), à hauteur de 5,5 millions d'€, sur deux ans. Ceci laisse perplexe lorsque l'on voit des produits comme Emsisoft A² (A Squared) (désormais appelé Emsisoft Anti-Malware), truster la première place des tests contre la WildList alors que c'est le fruit d'un seul homme, Andreas Haak, qui a commencé son projet seul, alors étudiant sans un centime, avant de créer sa société.
|
Les utilisateurs sont appelés à participer au développement de l'outil en définissant les besoins. Ils sont groupés sous forme de deux comités, depuis septembre 2012 :
Le Comité français sera piloté par le consortium de développement de DAVFI et, parmi ses membres, devraient figurer l'administration, des entreprises de toutes tailles ainsi que des représentants de la société civile (associations, journalistes ...).
Le Comité Européen sera piloté par EICAR et, parmi ses membres, devraient figurer l'OTAN, le BSI allemand (équivalent de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)), AV-Comparatives (l'un des organismes crédibles de tests et comparatifs antivirus), ainsi que plusieurs entreprises européennes.
Ce projet a été audité par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui lui a donné un avis favorable. « Il pourra donc être intégré à une offre de solutions de sécurité à destination des administrations », explique-t-on à l'ANSII.
|
DAVFI est un projet Open Source (sauf quelques modules spécifiques). C'est ce que rappelle Jérôme Notin, Président de la société Nov'IT, agissant en Chef de File du Consortium.
« La confiance que l'on pourra lui accorder en tant qu'outil de sécurité sera notamment garantie par l'ouverture du code. Une des données fondamentales pour ce type de solution est en effet de pouvoir valider que son comportement réel est bien le comportement attendu. »
|
On ne sait pas grand chose, pour un projet public et Open Source. Les technologies essentielles utilisées par les antivirus sont les technologies Réactive (bases de signatures), Proactive (Sanboxing) et contrôle d'intégrité. Le comportement des antivirus est On-Access ou On-Demand. Les technologies les plus avancées sont la technologie Proactive utilisant une sandbox (appelée aussi méthodes " Heuristiques " et s'exécutant dans une " Machine virtuelle ") et les contrôleurs d'intégrité (ou HIPS).
Il est dit que la version grand public, gratuite, sera uniquement à base de signatures. Si c'est le cas, ce produit ne servira strictement à rien puisque trois des grandes méthodes des virus pour outrepasser la barrière de l'antivirus est d'empêcher la constitution des bases de signatures. On se retrouve dans la situation d'un antivirus comme clamAV ou clamWin :
Polymorphisme : c'est le virus lui-même qui mute chaque fois qu'il se réplique (ce qui est complexe à écrire et brillant, en termes de développement informatique pur). Des bases de signatures exhaustives sont impossibles.
Clones singuliers : c'est la capacité de certains générateurs de virus à générer le même code des millions de fois en introduisant des millions de variantes. C'est le générateur de virus qui crée des clones comportant des singularités (ce qui est beaucoup plus trivial). Des bases de signatures exhaustives sont impossibles.
Déploiements instantanés en utilisant un BotNet. Des centaines de millions d'ordinateurs peuvent être attaqués en quelques minutes lorsqu'il y a exploitation d'une faille de sécurité. Le temps de réponse des éditeurs d'antivirus est trop lent. Ils doivent prendre le temps de recevoir des exemplaires de la malveillance, de l'analyser, d'en extraire des signatures certaines, de les introduire dans une mise à jour de leurs bases de signatures, de pousser ces mises à jour chez leurs clients (ou d'attendre que ceux-ci fassent une mise à jour périodique de leur antivirus). Tout ceci prend, au mieux, quelques heures, au pire plusieurs jours. C'est trop tard - le parc informatique est pénétré.
Une excellente machine virtuelle peut fonctionner seule, d'une manière purement théorique, appuyée par des listes blanches à base de contrôles d'intégrité et une interaction avec un utilisateur avancé, du niveau d'un directeur de la sécurité des systèmes d'information (les alertes sont totalement ingérables par un particulier lambda - se souvenir de cet aspect de Viguard qui fut contraint d'en venir à une base de signatures - on ne parle pas du Scandale de Viguard). Mais une base de signatures nécessite l'embauche de centaines de chercheurs en cryptanalyse, à temps plein, par l'exploitant du produit issu des cogitations de DAVFI. Il n'est pas question, à ce niveau de sécurité des systèmes d'information, de se reposer sur quelques contributeurs issus de la masse des particuliers. Les expériences de cette nature ont toutes démontré l'échec de cette utopie.
Toutefois... les chercheurs du laboratoire de virologie et de cryptologie opérationnelles de l'ESIEA auraient-ils trouvé une technologie permettant à des bases de signatures d'avoir trois réponses (Oui, Non, Peut-être) au lieu de deux (Oui, Non) ? Utiliseraient-ils une forme inversée ou réciproque d'ECC pour se permettre d'identifier des variantes de signatures ?
L'approche technique innovante de Davfi le rendra capable de détecter les variantes inconnues de codes identifiés.
Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles de l'École supérieure d'informatique, électronique et automatique (ESIEA)
On n'imagine pas un antivirus ne pas avoir de comportement heuristique en ouvrant et analysant le comportement de chaque fichier, dans une machine virtuelle, avant qu'il ne soit autorisé à s’ouvrir dans la machine réelle. On observe ce qu'il ferait s'il était ouvert dans une machine réelle. Quelles clés il créerait, modifierait, détruirait ? Quels fichiers il créerait, modifierait, détruirait ? A quelles zones du système toucherait-il ? Au MBR ? A la liste de démarrage ? Aux couches d'abstractions ? Crochètera-t-il les appels système ? A quels niveaux de privilège prétend-t-il ? etc. ... Ceci porte, bien entendu, sur tous les exécutables, mais aussi sur tous les fichiers qui font faire quelque chose à un exécutif (les documents PDF, les documents média... ouverts avec l'exécutif de leur technologie (les plug-ins, etc. ...). Ceci permet de détecter les menaces totalement inconnues.
Il y a au moins dix ans que les antivirus utilisent cette technologie qui permet de détecter les menaces en l'absence complète de signature dans la base de signatures. On reste donc perplexe à propos de la capacité du projet DAVFI de trouver - développer - déployer une technologie réellement innovante que les plus grandes sociétés de sécurité informatique du monde, employant des centaines de personnes et existant depuis parfois plus de 20 ans, avec plusieurs laboratoires de recherche dans le monde, n'auraient pas imaginée.
Toutefois...
DAVFI assure d'ores et déjà une rupture technologique dans la lutte antivirale.
Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles de l'École supérieure d'informatique, électronique et automatique (ESIEA)
En tant que société reconnue depuis plus de 20 ans dans les technologies de détection, cette annonce nous interpelle sur plusieurs points. Les créateurs de DAVFI mettent en cause aujourd’hui la capacité des antivirus du marché à anticiper et détecter les menaces émergentes, alors qu’ESET au même titre que plusieurs autres éditeurs, ont depuis très longtemps développé des techniques de détection proactives. Aussi peut-être ne parlons-nous pas de la même chose ? Auquel cas, il nous semble important, pour nous comme pour les utilisateurs, de connaître et comprendre quels seraient les éléments différentiateurs que pourrait apporter DAVFI par rapport à l’existant.
Rodolphe Bouchez, ESET France, dans une reflexion sur Global Security Mag en juillet 2012.
Un très grand nombre de fichiers appartiennent à un corpus relativement ou totalement stable et n'ont pas à changer. C'est le cas de tous les fichiers Windows, tous les fichiers d'Open Office, tous les fichiers de toutes les applications sûres, installées, etc. ... Pour ces fichiers, il ne s'agit pas, sans cesse, de les analyser avec un antivirus pour voir s'ils sont contaminés ou pas. Ces fichiers ont une forme et un contenu intangibles (sauf cas particulier des mises à jour périodiques tels les Microsoft Update...). Leur contenu n'a pas à changer, un point, c'est tout. On doit, d'une manière ou d'une autre, connaître leurs hashcodes (non attaquables par collision - donc, au moins, utilisant l'algorithme SHA-256) :
Soit calculés par l'outil de contrôle d'intégrité à un moment où la machine est dans un état réputé sain.
Soit, lorsque c'est possible, fournis par l'éditeur lui-même, réputé.
Soit établis par l'antivirus après diverses analyses s'assurant de l'innocuité de l'objet, dont une analyse heuristique en mode paranoïaque.
Le travail de l'antivirus consiste, lorsque l'objet est sollicité, à recalculer son hashcode et s'assurer qu'il ne diverge pas de ce qu'il doit être. La base de données n'est pas une base de signatures des malveillances mais une base de signatures des états sains que les fichiers doivent conserver.
C'est également ainsi que l'on constitue une liste blanche qui ne doit, en aucune manière, s'imaginer par l'enveloppe (le nom, la taille, la date de création, la date de dernière mise à jour, les attributs, etc. ...).
Les difficultés, avec ces outils, proviennent des mises à jour, qu'il faut suivre, et de certains programmes totalement légitimes mais qui écrivent eux-mêmes des choses dans leur corps, modifiant ainsi sans cesse les hashcodes qui ne peuvent plus être utilisés.
Celle-ci doit se faire au deuxième degré (le contenu de l'URL et le suivi des URLs contenu dans l'URL, lorsqu'il y en a). Un travail au moins égal à Trustwave SecureBrowsing (anciennement Finjan SecureBrowsing puis M86 SecureBrowsing) doit être envisagé).
De nombreux documents consultés parviennent aux utilisateurs truffés de scripts ou englobés dans des scrpts ou exigeant un lecteur particulier d'une technologie standard. Il est bon qu'un logiciel de sécurité agisse en proxy et ré-écrive à la volée le flux épuré des choses suspicieuses.
« A la différence des antivirus actuels, celui-ci bénéficiera en effet de nouvelles techniques de détection permettant de bloquer les codes malveillants avant qu'ils n'infectent l’ordinateur. L’antivirus français issu du projet DAVFI s’appuiera sur de nouvelles méthodes. Premièrement, il fonctionnera à partir de plusieurs niveaux de listes blanches. L’utilisateur, par exemple, réglera ce logiciel de façon à ce qu’il n’accepte que les formats de fichiers (PDF, .doc…) qu’il utilise couramment. L’antivirus sera donc configurable selon la politique fonctionnelle choisie. S'il reçoit des pièces jointes dans d'autres formats, l’antivirus les recodera en supprimant certaines fonctionnalités jugées dangereuses comme les macros sous Word qui ont été à l'origine des attaques de Bercy ».
Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles de l'École supérieure d'informatique, électronique et automatique (ESIEA) dans LesEchos.
Pas un mot sur ce sujet.
|
DAVFI (le site DAVFI) (pas un mot à propos de DAVFI !).
Le consortium :
Nov'IT (chef de file) - opérateur innovant délivrant des services de sécurité
*Ecole ESIEA - leur laboratoire de cryptologie et de virologie opérationnelles, basé à Laval
QOSMOS - éditeur de solution de Network Intelligence (solutions d'espionnage sur l'Internet, en particulier sur d'autres protocoles que les habituels HTTP, HTTPS, FTP, sftp et smtp) - Pas un mot sur DAVFI sur leur site. (Spéculation : protocoles MMS, RTSP, Metalink, Magnet link, Podcast, RTMP, BitTorrent, eDonkey...).
Teclib (Technologies Libres pour l'entreprise) - Expert en développement et intégration d’outils d’inventaire et gestion de parc - Pas un mot sur DAVFI sur leur site, mis à part le fait qu'ils participent à un projet institutionnel du nom de DAVFI.
DCNS Research (ex DCN) - Leader mondial du secteur de la défense navale. Pas un mot sur DAVFI sur leur site.
Init SYS - Virtual Network Enabler - IAAS (Infrastructure As AService) - Recherches et développement - Filiale du groupe Alphalink - Permet à ses partenaires de devenir Opérateur Virtuel de Télécommunications - IAAS est un modèle de Cloud Computing et à ce titre, pratique la collecte voix et données sur les mobiles et les fixes. Pas un mot sur DAVFI sur leur site.
|
|
17.10.2013 Présentation (livraison), au Sénat, de la version Android
Depuis la fin du projet DAVFI, le 30 septembre 2014, et son passage, ensuite, en produit public sous le nom d'Uhuru devant être commercialisé par la société Nov'IT (chef de file du projet DAVFI), plus rien ne se passe.
Le code source du moteur d'analyse n'est toujours pas publié et aucune information concernant les technologies innovatrices créées pour DAVFI n'est disponible.
Quant à Uhuru, ce n'est pas un antivirus, mais un système d'exploitation sécurisé, en ROM (composant électronique Read Only Memory), remplaçant la ROM initiale, pour Smartphones et Tablettes basés sur Android avec contrôle du parc équipé de cette ROM par une console centrale (bonjour la confidentialité !). On ne sait rien de la commercialisation de ces ROM ni même s'il en a été commercialisé. À l'occasion l'occasion de tests, ces ROM ont été par deux fois prises en défaut de faille de sécurité :
À ce stade, en l'absence de la moindre information technique et économique, le projet DAVFI ressemble plus à une escroquerie financière du type de l'affaire des avions renifleurs.
|
Les contribuables français ont donné 6 millions d'euros à une bande de bras cassés pompeurs de subventions pour développer un antivirus souverain sous le nom de projet DAVFI (Démonstrateurs d'AntiVirus Français et Internationaux), appelé Uhuru dans sa version Androïd, et appelé Armadito dans sa version Windows / Linux. (Quels noms à la con, de surcroît !)
En 2012, le projet DAVFI, à coups de millions d'€, à été bien vendu à nos politiques qui nous ont fait cracher au bassinet (argent public, argent facile).
Armadito, l'avatar MS-Windows et GNU/Linux de DAVFI, est développé par Teclib’. Il a été annoncé le 09.06.2016 à... Barcelonne (??? Je croyais que c'était un projet de souveraineté française avec des subventions françaises [bien qu'il y ait eu une ouverture européenne que j'ai déjà signalée plus tôt] !)
Les impulsions technologiques qui font croire à une approche totalement novatrice coiffant de très haut toutes les solutions antivirus actuellement existantes, sont « vendues » par Eric Filiol, docteur en mathématiques appliquées et en informatique, ingénieur en cryptologie, directeur du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA (École supérieure d’informatique, électronique et automatique), initiateur des Challenges IAWACS (il n'y en aura que deux), et ancien officier de carrière (dont plusieurs années en cryptologie et renseignements).
DAVFI était un concept totalement révolutionnaire (sur le papier), valant bien ces 6 millions d'euros !
Nous devions être :
Technologiquement très au-dessus des antivirus actuels et des méthodes faillibles (bases de signatures et analyses heuristiques) et sandboxing grâce aux idées d'Eric Filiol.
Souverainement, indépendant de tous ces antivirus étrangers. La France (ses administrations et ses grandes entreprises), devait avoir un antivirus français car tous les antivirus actuels sont étrangers et sont des dispositifs d'espionnage (par exemple Scandale du cartel Avast, AVG, Piriform - vente données privées).
Mais, pour ne pas « consommer » ces 6 millions d'euros, et se les garder dans les fouilles, le consortium d'entreprises confie le développement à des étudiants (quelques ingénieurs ont été délégués un temps mais ne sont pas restés longtemps sur le projet).
Mi-juillet 2016, peu après l'annonce d'Armadito (09.06.2016), le code source d'Armadito est déposé sur github, sous le nom de projet Armadito et le nom de produit Armadito-av ( https://github.com/armadito/armadito-av ).
Notes de génèse :
Le 19.02.2014, deux ans après le début du projet DAVFI (donc il n'a plus rien à « vendre », les subventions sont déjà données), rapporté dans « Sécurité numérique et risques: enjeux et chances pour les entreprises » publié par la Sénat, Jérôme Notin, Président de Nov'it (chef de file du consortium de sociétés impliquées dans le projet DAVFI), audité par le Sénat, dit des choses de portée générale intéressantes (extraits choisis soulignés par Assiste.com) ( https://www.senat.fr/rap/r14-271-2/r14-271-2_mono.html#toc4 ) :
...les entreprises, les administrations et les particuliers font de plus en plus confiance à des logiciels antivirus étrangers. Nous faisons donc confiance à des logiciels propriétaires et fermés qui sont installés sur les postes de travail et les serveurs et qui ont accès à toutes les données tout en échangeant de manière chiffrée avec l'étranger.
Il s'agit là d'intelligence économique et non de lutte contre le terrorisme
...les Américains enregistrent absolument tout et, même s'ils sont incapables de tout déchiffrer aujourd'hui, ils estiment qu'ils pourront y parvenir dans quelques années.
(ndlr : les clouds !) Il y existe un gros problème de souveraineté, de confiance dans les outils, antivirus ou autres. Par définition, toute l'information conservée sur des machines est concernée, où que ce soit.
Un exemple de la domination étrangère et de la perte de souveraineté est donné par les outils de gestion des événements des systèmes d'information. Ce sont de véritables pieuvres qui se mettent au-dessus des antivirus, des routeurs, des pare-feu, des serveurs, de tout ce qui est informatique. Thales propose cela mais avec un outil américain Arcsight (de Micro Focus) financé par le fonds In-Q-Tel, lui-même financé par la CIA.
(ndlr : parlant de DAVFI - qu'est-ce que cette notion de « sondes souveraines » dans un antivirus ?) ...appel à projet qui a pour objectif principal de disposer de sondes souveraines. Des technologies maîtrisées, ni américaines ou chinoises, seront employées pour développer nos propres outils de surveillance réseau. Ce que l'État a imaginé, en tant qu'outil de supervision de sécurité globale du système, ce sera le but ultime car il sera capable de voir ce que les autres outils ne voient pas.
Un antivirus est là pour protéger mais il ne peut être infaillible. En revanche, ce système global sera au-dessus de toutes les strates d'information.
Le contrat moral que DAVFI (Démonstrateurs d'antivirus français et internationaux) a avec l'État est de pouvoir fournir un outil qui va bien plus loin que ce que font aujourd'hui les antivirus.
(ndlr : ??? purs mensonges ?) La première partie des modules, actuellement testée, permet déjà de faire beaucoup plus que ce que permettaient les antivirus actuels, en particulier sur les capacités de détection de codes inconnus, ...
Aujourd'hui, si on ne réussit pas à pénétrer mon téléphone, on aura quand même des informations sur moi par des éléments détournés comme la géolocalisation. Par recoupement, on aura un profilage.
(ndlr : ??? Est-ce que DAVFI est un projet d'espionnage global dans un concept stalinien « Tous suspects », outre l'intelligence économique ?) La NSA croise les communications. Dans le monde du renseignement, plus on a de l'information, plus c'est intéressant même pour les services français. Le renseignement informatique au sens très large aide les services dans leur mission, dans la lutte contre le terrorisme ou dans l'intelligence économique.
la NSA avait déjà mis en place Échelon. (ndlr : Là, Jérome Notin fait allusion à : Pertes de marchés pour cause d'espionnage)
Le 29.10.2014, Eric Filiol déclare, dans Fin et bilan du projet DAVFI (archivé) :
Lors de chaque livraison, les outils et/ou infrastructures de production de signatures, de collecte et d’analyse de malware… ont été aussi fournis. (ndlr : Je croyais que l'on était très loin, très au-dessus des bases de signatures, un truc impossible à tenir et exploiter, voué à l'échec systématique, les virus polymorphes et les virus clones singuliers étant capables de provoquer plusieurs millions de signatures différentes d'eux-mêmes à l'heure.)
Eric Filiol, peu après la publication du code source d'Armadito, monte immédiatement au créneau et commente au vitriol le code source d'Armadito (la version finale Windows/Linux de « son projet DAVFI ») qu'il voit apparaître sur github (github est un service web d'hébergement et de gestion de développement de logiciels, dont les projets open source) :
Je recopie ici une citation d'Eric Filiol trouvée sur Silicon.fr qui ne cite pas de source et ne donne pas de date. Je n'ai pas été capable de trouver la source.
« cela n’a aucun rapport avec le projet que nous avions livré. Le résultat est pitoyable et consternant. Le code est devenu un fatras mêlant développements Linux et Windows, fichiers json, scripts… Aucune analyse statique de code n’a été menée et la qualité du code n’est pas digne d’un étudiant en programmation ». ... « la présence de ce que l’on pourrait qualifier de Backdoor (Porte dérobée), mais qui a été très vite retirée. Cela en dit long sur le sérieux et la crédibilité de l’équipe en charge de l’industrialisation de DAVFI ».
le 20.06.2016, Nicolas Ruff, membre de la Google Security Team, ajoute dans un papier au vitriol :
Le gachis
http://news0ft.blogspot.fr/2016/06/le-gachis.html...la librairie de « chiffrement » Perseus – censée protéger les SMS sur la version « Android » du projet – est régulièrement la risée des participants à la conférence SSTIC. Le plus grave .../... la méconnaissance répétée des mécanismes de génération d’aléa par son auteur, pourtant l’un des fondamentaux de la cryptologie.
...la version « Android » du projet, publiée en 2014, a été immédiatement « cassée »...
...la version « Windows », récemment libérée sur GitHub, souffre de failles énormes...
...détection de codes malveillants dans les fichiers PDF par la recherche de motifs triviaux,...
...incapacité totale à analyser des exécutables « .NET »...
...heuristiques « avancées » consiste à comparer la liste des sections et des imports du fichier exécutable avec une base de référence, comprenant des fichiers « sains » et des fichiers « malveillants ». (ndlr : je vous laisse imaginer la taille de la base de données et l'imbécilité de la méthode !) ...problème de cette heuristique, c’est qu’elle détecte plusieurs composants critiques du système Windows lui-même comme malveillants. Ce qui pose la question du contrôle qualité chez l’éditeur – le Faux positif étant un événement essentiellement catastrophique.
...le projet Armadito échoue à innover dans le domaine de la virologie opérationnelle.
...signatures Authenticode (ndlr : vérification ignorée !)
...signatures Yara (ndlr : vérification ignorée !)
...API ouverte (ndlr : absente, dans un outil ciblant les grands comptes et administration !) permettant d’interagir avec le moteur d’analyse, par exemple pour réaliser un hunt dans un parc étendu.
...extension du moteur avec des greffons (ndlr : absence de mécanisme d'accueil !) bien entendu sandboxés (à la Nessus, avec son langage NASL). Ceci permettrait également de créer une communauté autour du produit
...support de vecteurs dangereux et peu analysés (ndlr : absents), tels que les scripts PowerShell ou les macros Office...
...un modèle de sécurité basé sur des signatures (liste noire) est voué à l’échec
(ndlr : Et de conclure)
Confier le développement d’un logiciel – qui plus est de sécurité – à une armée mexicaine en partie composée de stagiaires et de thésards, n’ayant aucune expérience antérieure dans l’édition logicielle – ni la sécurité, ni aucune connaissance opérationnelle du monde de l’entreprise, sur la base de quelques travaux académiques à l’applicabilité douteuse : quelqu’un y croyait-il sérieusement ?
La seule explication rationnelle à l'existence de ce projet n'est probablement pas à chercher du côté de l'avancement de la science.
Mon sentiment :
Consommation de subventions en faisant semblant de développer quelque chose
Armadito-av ressemble furieusement à un mauvais ClamAV (Linux) / ClamWin (Windows).
Au moins, ClamAV, Open Source, qui ne travaille qu'avec des bases de signatures et un moteur heuristique, fait du bon boulot. Ajouter une Sandbox à ClamAV / ClamWin eu été moins coûteux et plus intelligent.
Collection de dossiers : Les logithèques |
---|