DAVFI

Le financement de DAVFI se fait par le FSN (Fonds national pour la Société Numérique), dans le cadre des Investissements d'avenir (anciennement Grand Emprunt), à hauteur de 5,5 millions d'€, sur deux ans. Ceci laisse perplexe lorsque l'on voit des produits comme Emsisoft A² (A Squared) (désormais appelé Emsisoft Anti-Malware), truster la première place des tests contre la WildList alors que c'est le fruit d'un seul homme, Andreas Haak, qui a commencé son projet seul, alors étudiant sans un centime, avant de créer sa société.

Les utilisateurs sont appelés à participer au développement de l'outil en définissant les besoins. Ils sont groupés sous forme de deux comités, depuis septembre 2012 :

• Le Comité français sera piloté par le consortium de développement de DAVFI et, parmi ses membres, devraient figurer l'administration, des entreprises de toutes tailles ainsi que des représentants de la société civile (associations, journalistes ...).

• Le Comité Européen sera piloté par EICAR et, parmi ses membres, devraient figurer l'OTAN, le BSI allemand (équivalent de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)), AV-Comparatives (l'un des organismes crédibles de tests et comparatifs antivirus), ainsi que plusieurs entreprises européennes.

Ce projet a été audité par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui lui a donné un avis favorable. « Il pourra donc être intégré à une offre de solutions de sécurité à destination des administrations », explique-t-on à l'ANSII.

DAVFI est un projet Open Source (sauf quelques modules spécifiques). C'est ce que rappelle Jérôme Notin, Président de la société Nov'IT, agissant en Chef de File du Consortium.

On ne sait pas grand chose, pour un projet public et Open Source. Les technologies essentielles utilisées par les antivirus sont les technologies Réactive (bases de signatures), Proactive (Sanboxing) et contrôle d'intégrité. Le comportement des antivirus est On-Access ou On-Demand. Les technologies les plus avancées sont la technologie Proactive utilisant une sandbox (appelée aussi méthodes " Heuristiques " et s'exécutant dans une " Machine virtuelle ") et les contrôleurs d'intégrité (ou HIPS).

Le produit issu de DAVFI sera à base de signatures

Il est dit que la version grand public, gratuite, sera uniquement à base de signatures. Si c'est le cas, ce produit ne servira strictement à rien puisque trois des grandes méthodes des virus pour outrepasser la barrière de l'antivirus est d'empêcher la constitution des bases de signatures. On se retrouve dans la situation d'un antivirus comme clamAV ou clamWin :

1. Polymorphisme : c'est le virus lui-même qui mute chaque fois qu'il se réplique (ce qui est complexe à écrire et brillant, en termes de développement informatique pur). Des bases de signatures exhaustives sont impossibles.

2. Clones singuliers : c'est la capacité de certains générateurs de virus à générer le même code des millions de fois en introduisant des millions de variantes. C'est le générateur de virus qui crée des clones comportant des singularités (ce qui est beaucoup plus trivial). Des bases de signatures exhaustives sont impossibles.

3. Déploiements instantanés en utilisant un BotNet. Des centaines de millions d'ordinateurs peuvent être attaqués en quelques minutes lorsqu'il y a exploitation d'une faille de sécurité. Le temps de réponse des éditeurs d'antivirus est trop lent. Ils doivent prendre le temps de recevoir des exemplaires de la malveillance, de l'analyser, d'en extraire des signatures certaines, de les introduire dans une mise à jour de leurs bases de signatures, de pousser ces mises à jour chez leurs clients (ou d'attendre que ceux-ci fassent une mise à jour périodique de leur antivirus). Tout ceci prend, au mieux, quelques heures, au pire plusieurs jours. C'est trop tard - le parc informatique est pénétré.

Une excellente machine virtuelle peut fonctionner seule, d'une manière purement théorique, appuyée par des listes blanches à base de contrôles d'intégrité et une interaction avec un utilisateur avancé, du niveau d'un directeur de la sécurité des systèmes d'information (les alertes sont totalement ingérables par un particulier lambda - se souvenir de cet aspect de Viguard qui fut contraint d'en venir à une base de signatures - on ne parle pas du Scandale de Viguard). Mais une base de signatures nécessite l'embauche de centaines de chercheurs en cryptanalyse, à temps plein, par l'exploitant du produit issu des cogitations de DAVFI. Il n'est pas question, à ce niveau de sécurité des systèmes d'information, de se reposer sur quelques contributeurs issus de la masse des particuliers. Les expériences de cette nature ont toutes démontré l'échec de cette utopie.

Toutefois... les chercheurs du laboratoire de virologie et de cryptologie opérationnelles de l'ESIEA auraient-ils trouvé une technologie permettant à des bases de signatures d'avoir trois réponses (Oui, Non, Peut-être) au lieu de deux (Oui, Non) ? Utiliseraient-ils une forme inversée ou réciproque d'ECC pour se permettre d'identifier des variantes de signatures ?

Machine virtuelle (analyse heuristique).

On n'imagine pas un antivirus ne pas avoir de comportement heuristique en ouvrant et analysant le comportement de chaque fichier, dans une machine virtuelle, avant qu'il ne soit autorisé à s’ouvrir dans la machine réelle. On observe ce qu'il ferait s'il était ouvert dans une machine réelle. Quelles clés il créerait, modifierait, détruirait ? Quels fichiers il créerait, modifierait, détruirait ? A quelles zones du système toucherait-il ? Au MBR ? A la liste de démarrage ? Aux couches d'abstractions ? Crochètera-t-il les appels système ? A quels niveaux de privilège prétend-t-il ? etc. ... Ceci porte, bien entendu, sur tous les exécutables, mais aussi sur tous les fichiers qui font faire quelque chose à un exécutif (les documents PDF, les documents média... ouverts avec l'exécutif de leur technologie (les plug-ins, etc. ...). Ceci permet de détecter les menaces totalement inconnues.

Il y a au moins dix ans que les antivirus utilisent cette technologie qui permet de détecter les menaces en l'absence complète de signature dans la base de signatures. On reste donc perplexe à propos de la capacité du projet DAVFI de trouver - développer - déployer une technologie réellement innovante que les plus grandes sociétés de sécurité informatique du monde, employant des centaines de personnes et existant depuis parfois plus de 20 ans, avec plusieurs laboratoires de recherche dans le monde, n'auraient pas imaginée.

Toutefois...

Contrôle d'intégrité

Un très grand nombre de fichiers appartiennent à un corpus relativement ou totalement stable et n'ont pas à changer. C'est le cas de tous les fichiers Windows, tous les fichiers d'Open Office, tous les fichiers de toutes les applications sûres, installées, etc. ... Pour ces fichiers, il ne s'agit pas, sans cesse, de les analyser avec un antivirus pour voir s'ils sont contaminés ou pas. Ces fichiers ont une forme et un contenu intangibles (sauf cas particulier des mises à jour périodiques tels les Microsoft Update...). Leur contenu n'a pas à changer, un point, c'est tout. On doit, d'une manière ou d'une autre, connaître leurs hashcodes (non attaquables par collision - donc, au moins, utilisant l'algorithme SHA-256) :

• Soit calculés par l'outil de contrôle d'intégrité à un moment où la machine est dans un état réputé sain.

• Soit, lorsque c'est possible, fournis par l'éditeur lui-même, réputé.

• Soit établis par l'antivirus après diverses analyses s'assurant de l'innocuité de l'objet, dont une analyse heuristique en mode paranoïaque.

Le travail de l'antivirus consiste, lorsque l'objet est sollicité, à recalculer son hashcode et s'assurer qu'il ne diverge pas de ce qu'il doit être. La base de données n'est pas une base de signatures des malveillances mais une base de signatures des états sains que les fichiers doivent conserver.

C'est également ainsi que l'on constitue une liste blanche qui ne doit, en aucune manière, s'imaginer par l'enveloppe (le nom, la taille, la date de création, la date de dernière mise à jour, les attributs, etc. ...).

Les difficultés, avec ces outils, proviennent des mises à jour, qu'il faut suivre, et de certains programmes totalement légitimes mais qui écrivent eux-mêmes des choses dans leur corps, modifiant ainsi sans cesse les hashcodes qui ne peuvent plus être utilisés.

Analyse d'URLs - Filtrage Web

Celle-ci doit se faire au deuxième degré (le contenu de l'URL et le suivi des URLs contenu dans l'URL, lorsqu'il y en a). Un travail au moins égal à Trustwave SecureBrowsing (anciennement Finjan SecureBrowsing puis M86 SecureBrowsing) doit être envisagé).

Ré-écriture à la volée

De nombreux documents consultés parviennent aux utilisateurs truffés de scripts ou englobés dans des scrpts ou exigeant un lecteur particulier d'une technologie standard. Il est bon qu'un logiciel de sécurité agisse en proxy et ré-écrive à la volée le flux épuré des choses suspicieuses.

Analyse des certificats

Pas un mot sur ce sujet.

DAVFI (le site DAVFI) (pas un mot à propos de DAVFI !).

Le consortium :

• Nov'IT (chef de file) - opérateur innovant délivrant des services de sécurité

• *Ecole ESIEA - leur laboratoire de cryptologie et de virologie opérationnelles, basé à Laval

• QOSMOS - éditeur de solution de Network Intelligence (solutions d'espionnage sur l'Internet, en particulier sur d'autres protocoles que les habituels HTTP, HTTPS, FTP, sftp et smtp) - Pas un mot sur DAVFI sur leur site. (Spéculation : protocoles MMS, RTSP, Metalink, Magnet link, Podcast, RTMP, BitTorrent, eDonkey...).

• Teclib (Technologies Libres pour l'entreprise) - Expert en développement et intégration d’outils d’inventaire et gestion de parc - Pas un mot sur DAVFI sur leur site, mis à part le fait qu'ils participent à un projet institutionnel du nom de DAVFI.

• DCNS Research (ex DCN) - Leader mondial du secteur de la défense navale. Pas un mot sur DAVFI sur leur site.

• Init SYS - Virtual Network Enabler - IAAS (Infrastructure As AService) - Recherches et développement - Filiale du groupe Alphalink - Permet à ses partenaires de devenir Opérateur Virtuel de Télécommunications - IAAS est un modèle de Cloud Computing et à ce titre, pratique la collecte voix et données sur les mobiles et les fixes. Pas un mot sur DAVFI sur leur site.

• Le Monde Numérique
  

• Génération NT
  

• ZDNet
  

• *Global Security Mag
  

• Maxisciences
  

• *Lemonde Informatique
  

• Usine Nouvelle
  

• Les Echos
  

17.10.2013 Présentation (livraison), au Sénat, de la version Android

Depuis la fin du projet DAVFI, le 30 septembre 2014, et son passage, ensuite, en produit public sous le nom d'Uhuru devant être commercialisé par la société Nov'IT (chef de file du projet DAVFI), plus rien ne se passe.

Le code source du moteur d'analyse n'est toujours pas publié et aucune information concernant les technologies innovatrices créées pour DAVFI n'est disponible.

Quant à Uhuru, ce n'est pas un antivirus, mais un système d'exploitation sécurisé, en ROM (composant électronique Read Only Memory), remplaçant la ROM initiale, pour Smartphones et Tablettes basés sur Android avec contrôle du parc équipé de cette ROM par une console centrale (bonjour la confidentialité !). On ne sait rien de la commercialisation de ces ROM ni même s'il en a été commercialisé. À l'occasion l'occasion de tests, ces ROM ont été par deux fois prises en défaut de faille de sécurité :

• A quick security review of the Uhuru Mobile demo ROM.

• Prise de contrôle ROOT malgré la ROM Uhuru.

À ce stade, en l'absence de la moindre information technique et économique, le projet DAVFI ressemble plus à une escroquerie financière du type de l'affaire des avions renifleurs.

Les contribuables français ont donné 6 millions d'euros à une bande de bras cassés pompeurs de subventions pour développer un antivirus souverain sous le nom de projet DAVFI (Démonstrateurs d'AntiVirus Français et Internationaux), appelé Uhuru dans sa version Androïd, et appelé Armadito dans sa version Windows / Linux. (Quels noms à la con, de surcroît !)

En 2012, le projet DAVFI, à coups de millions d'€, à été bien vendu à nos politiques qui nous ont fait cracher au bassinet (argent public, argent facile).

Armadito, l'avatar MS-Windows et GNU/Linux de DAVFI, est développé par Teclib’. Il a été annoncé le 09.06.2016 à... Barcelonne (??? Je croyais que c'était un projet de souveraineté française avec des subventions françaises [bien qu'il y ait eu une ouverture européenne que j'ai déjà signalée plus tôt] !)

Les impulsions technologiques qui font croire à une approche totalement novatrice coiffant de très haut toutes les solutions antivirus actuellement existantes, sont « vendues » par Eric Filiol, docteur en mathématiques appliquées et en informatique, ingénieur en cryptologie, directeur du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA (École supérieure d’informatique, électronique et automatique), initiateur des Challenges IAWACS (il n'y en aura que deux), et ancien officier de carrière (dont plusieurs années en cryptologie et renseignements).

DAVFI était un concept totalement révolutionnaire (sur le papier), valant bien ces 6 millions d'euros !

Nous devions être :

• Technologiquement très au-dessus des antivirus actuels et des méthodes faillibles (bases de signatures et analyses heuristiques) et sandboxing grâce aux idées d'Eric Filiol.

• Souverainement, indépendant de tous ces antivirus étrangers. La France (ses administrations et ses grandes entreprises), devait avoir un antivirus français car tous les antivirus actuels sont étrangers et sont des dispositifs d'espionnage (par exemple Scandale du cartel Avast, AVG, Piriform - vente données privées).

Mais, pour ne pas « consommer » ces 6 millions d'euros, et se les garder dans les fouilles, le consortium d'entreprises confie le développement à des étudiants (quelques ingénieurs ont été délégués un temps mais ne sont pas restés longtemps sur le projet).

Mi-juillet 2016, peu après l'annonce d'Armadito (09.06.2016), le code source d'Armadito est déposé sur github, sous le nom de projet Armadito et le nom de produit Armadito-av ( https://github.com/armadito/armadito-av ).

Notes de génèse :
Le 19.02.2014, deux ans après le début du projet DAVFI (donc il n'a plus rien à « vendre », les subventions sont déjà données), rapporté dans « Sécurité numérique et risques: enjeux et chances pour les entreprises » publié par la Sénat, Jérôme Notin, Président de Nov'it (chef de file du consortium de sociétés impliquées dans le projet DAVFI), audité par le Sénat, dit des choses de portée générale intéressantes (extraits choisis soulignés par Assiste.com) ( https://www.senat.fr/rap/r14-271-2/r14-271-2_mono.html#toc4 ) :

...les entreprises, les administrations et les particuliers font de plus en plus confiance à des logiciels antivirus étrangers. Nous faisons donc confiance à des logiciels propriétaires et fermés qui sont installés sur les postes de travail et les serveurs et qui ont accès à toutes les données tout en échangeant de manière chiffrée avec l'étranger.

Il s'agit là d'intelligence économique et non de lutte contre le terrorisme

...les Américains enregistrent absolument tout et, même s'ils sont incapables de tout déchiffrer aujourd'hui, ils estiment qu'ils pourront y parvenir dans quelques années.

(ndlr : les clouds !) Il y existe un gros problème de souveraineté, de confiance dans les outils, antivirus ou autres. Par définition, toute l'information conservée sur des machines est concernée, où que ce soit.

Un exemple de la domination étrangère et de la perte de souveraineté est donné par les outils de gestion des événements des systèmes d'information. Ce sont de véritables pieuvres qui se mettent au-dessus des antivirus, des routeurs, des pare-feu, des serveurs, de tout ce qui est informatique. Thales propose cela mais avec un outil américain Arcsight (de Micro Focus) financé par le fonds In-Q-Tel, lui-même financé par la CIA.

(ndlr : parlant de DAVFI - qu'est-ce que cette notion de « sondes souveraines » dans un antivirus ?) ...appel à projet qui a pour objectif principal de disposer de sondes souveraines. Des technologies maîtrisées, ni américaines ou chinoises, seront employées pour développer nos propres outils de surveillance réseau. Ce que l'État a imaginé, en tant qu'outil de supervision de sécurité globale du système, ce sera le but ultime car il sera capable de voir ce que les autres outils ne voient pas.

Un antivirus est là pour protéger mais il ne peut être infaillible. En revanche, ce système global sera au-dessus de toutes les strates d'information.

Le contrat moral que DAVFI (Démonstrateurs d'antivirus français et internationaux) a avec l'État est de pouvoir fournir un outil qui va bien plus loin que ce que font aujourd'hui les antivirus.

(ndlr : ??? purs mensonges ?) La première partie des modules, actuellement testée, permet déjà de faire beaucoup plus que ce que permettaient les antivirus actuels, en particulier sur les capacités de détection de codes inconnus, ...

Aujourd'hui, si on ne réussit pas à pénétrer mon téléphone, on aura quand même des informations sur moi par des éléments détournés comme la géolocalisation. Par recoupement, on aura un profilage.

(ndlr : ??? Est-ce que DAVFI est un projet d'espionnage global dans un concept stalinien « Tous suspects », outre l'intelligence économique ?) La NSA croise les communications. Dans le monde du renseignement, plus on a de l'information, plus c'est intéressant même pour les services français. Le renseignement informatique au sens très large aide les services dans leur mission, dans la lutte contre le terrorisme ou dans l'intelligence économique.

la NSA avait déjà mis en place Échelon. (ndlr : Là, Jérome Notin fait allusion à : Pertes de marchés pour cause d'espionnage)

Le 29.10.2014, Eric Filiol déclare, dans Fin et bilan du projet DAVFI (archivé) :

Lors de chaque livraison, les outils et/ou infrastructures de production de signatures, de collecte et d’analyse de malware… ont été aussi fournis. (ndlr : Je croyais que l'on était très loin, très au-dessus des bases de signatures, un truc impossible à tenir et exploiter, voué à l'échec systématique, les virus polymorphes et les virus clones singuliers étant capables de provoquer plusieurs millions de signatures différentes d'eux-mêmes à l'heure.)

Eric Filiol, peu après la publication du code source d'Armadito, monte immédiatement au créneau et commente au vitriol le code source d'Armadito (la version finale Windows/Linux de « son projet DAVFI ») qu'il voit apparaître sur github (github est un service web d'hébergement et de gestion de développement de logiciels, dont les projets open source) :

Je recopie ici une citation d'Eric Filiol trouvée sur Silicon.fr qui ne cite pas de source et ne donne pas de date. Je n'ai pas été capable de trouver la source.

« cela n’a aucun rapport avec le projet que nous avions livré. Le résultat est pitoyable et consternant. Le code est devenu un fatras mêlant développements Linux et Windows, fichiers json, scripts… Aucune analyse statique de code n’a été menée et la qualité du code n’est pas digne d’un étudiant en programmation ». ... « la présence de ce que l’on pourrait qualifier de Backdoor (Porte dérobée), mais qui a été très vite retirée. Cela en dit long sur le sérieux et la crédibilité de l’équipe en charge de l’industrialisation de DAVFI ».

le 20.06.2016, Nicolas Ruff, membre de la Google Security Team, ajoute dans un papier au vitriol :

Le gachis

http://news0ft.blogspot.fr/2016/06/le-gachis.html

...la librairie de « chiffrement » Perseus – censée protéger les SMS sur la version « Android » du projet – est régulièrement la risée des participants à la conférence SSTIC. Le plus grave .../... la méconnaissance répétée des mécanismes de génération d’aléa par son auteur, pourtant l’un des fondamentaux de la cryptologie.

...la version « Android » du projet, publiée en 2014, a été immédiatement « cassée »...

...la version « Windows », récemment libérée sur GitHub, souffre de failles énormes...

...détection de codes malveillants dans les fichiers PDF par la recherche de motifs triviaux,...

...incapacité totale à analyser des exécutables « .NET »...

...heuristiques « avancées » consiste à comparer la liste des sections et des imports du fichier exécutable avec une base de référence, comprenant des fichiers « sains » et des fichiers « malveillants ». (ndlr : je vous laisse imaginer la taille de la base de données et l'imbécilité de la méthode !) ...problème de cette heuristique, c’est qu’elle détecte plusieurs composants critiques du système Windows lui-même comme malveillants. Ce qui pose la question du contrôle qualité chez l’éditeur – le Faux positif étant un événement essentiellement catastrophique.

...le projet Armadito échoue à innover dans le domaine de la virologie opérationnelle.

...signatures Authenticode (ndlr : vérification ignorée !)

...signatures Yara (ndlr : vérification ignorée !)

...API ouverte (ndlr : absente, dans un outil ciblant les grands comptes et administration !) permettant d’interagir avec le moteur d’analyse, par exemple pour réaliser un hunt dans un parc étendu.

...extension du moteur avec des greffons (ndlr : absence de mécanisme d'accueil !) bien entendu sandboxés (à la Nessus, avec son langage NASL). Ceci permettrait également de créer une communauté autour du produit

...support de vecteurs dangereux et peu analysés (ndlr : absents), tels que les scripts PowerShell ou les macros Office...

...un modèle de sécurité basé sur des signatures (liste noire) est voué à l’échec

(ndlr : Et de conclure)
Confier le développement d’un logiciel – qui plus est de sécurité – à une armée mexicaine en partie composée de stagiaires et de thésards, n’ayant aucune expérience antérieure dans l’édition logicielle – ni la sécurité, ni aucune connaissance opérationnelle du monde de l’entreprise, sur la base de quelques travaux académiques à l’applicabilité douteuse : quelqu’un y croyait-il sérieusement ?
La seule explication rationnelle à l'existence de ce projet n'est probablement pas à chercher du côté de l'avancement de la science.

Mon sentiment :

1. Consommation de subventions en faisant semblant de développer quelque chose

2. Armadito-av ressemble furieusement à un mauvais ClamAV (Linux) / ClamWin (Windows).

Au moins, ClamAV, Open Source, qui ne travaille qu'avec des bases de signatures et un moteur heuristique, fait du bon boulot. Ajouter une Sandbox à ClamAV / ClamWin eu été moins coûteux et plus intelligent.