VirusTotal vient de limiter l’accès à son service gratuit d’analyse de fichiers ou d’adresses web douteux. Cette filiale de Google dit avoir constaté certains abus dans son utilisation, mais les éditeurs d'antivirus qui ne pourraient plus y accéder risquent de voir tomber les scores de détection de leurs outils. Voilà déjà douze ans que VirusTotal permet aux utilisateurs et aux éditeurs d’antivirus d’échanger des informations pour sécuriser Internet. Son service s’appuie sur une vaste communauté et sur la collaboration des fournisseurs d’outils de sécurité. Son fonctionnement est simple : tout un chacun peut soumettre un fichier ou une URL qu’il juge suspects et recevoir en retour un rapport d’analyse après que ceux-ci soient passés par les différents moteurs antivirus et outils de scan des éditeurs participant à VirusTotal.

En échange, ces fournisseurs reçoivent des échantillons des nouveaux malwares qui leur permettront d’améliorer la protection de leurs utilisateurs. Le service permet aussi d’identifier les faux positifs, ces fichiers que certains scanners ont, à tort, jugés malveillants. « Pour que cet écosystème fonctionne, chacun doit donner en retour », expose dans un billet de blog, Bernardo Quintero, le responsable du service. « Il est frustrant de constater des abus et c’est dommageable pour notre communauté », ajoute-t-il.

Les nouveaux venus devront être soumis à des testeurs indépendants

Pour éviter les mauvais comportements, tous les éditeurs d’outils devront maintenant intégrer leur scanner de détection dans l’interface publique du service s’ils veulent recevoir en retour les résultats des autres antivirus à travers l’API de VirusTotal. Par ailleurs, les nouveaux outils d’analyse qui voudraient rejoindre la communauté devront être examinés de façon indépendante par des testeurs de sécurité, suivant les recommandations de l’AMTSO (Anti-malware testing standards organization). Cette décision pourrait écarter du service un certain nombre d’acteurs de l’analyse de virus et augmenter l’exposition aux risques de hacking estiment certains acteurs de l’industrie, comme AV-Test, cité par Reuters.

Le changement de règles d’utilisation du service aurait été poussé par des acteurs installés, moins valorisés que des start-ups de sécurité concurrente de nouvelle génération, en pleine croissance. Mais il pourrait porter préjudice à certains acteurs du marché antivirus, moins bien implantés, dont les outils risquent de multiplier les faux positifs s’ils ne peuvent plus utiliser le service VirusTotal.

Le service ne doit pas dispenser de faire ses propres recherches

Sur le blog de VirusTotal, Bernardo Quintero a jugé nécessaire de remettre certaines pendules à l’heure en rappelant les termes d’utilisation du service et les bonnes pratiques imposées. Premièrement, VirusTotal ne doit en aucune façon être exploité d’une manière qui gênerait directement ou indirectement l’industrie des antivirus et analyseurs d’URL. Le service ne doit pas se substituer à une solution antivirus et les données qu’il génère ne peuvent pas être automatiquement utilisées par d’autres utilisateurs d’antivirus qui, par exemple, se contenteraient de copier les signatures ainsi générées pour leur propre compte sans avoir eux-mêmes fait d’autres recherches. VirusTotal ne doit pas servir à générer des comparatifs entre les logiciels antivirus.

Bernardo Quintero rappelle sur ce point que certains moteurs d’antivirus sophistiqués peuvent disposer de fonctionnalités de détection supplémentaires qui ne fonctionnent pas dans l’environnement d’analyse de VirusTotal. C’est pourquoi les résultats de scan du service ne sont pas destinés à comparer les outils. De même, « VirusTotal ne doit pas être utilisé pour discréditer (…) un acteur de l’industrie anti-malware », pointe le responsable du service en mettant également en garde contre l’utilisation des noms de marque sans permission.

Ouvert moyennant contribution

Reuters rapporte que, selon certains acteurs connaissant bien le domaine, si aucun nom n’a été cité, certaines sociétés de sécurité à haut profil comme Cylance, Palo Alto Networks ou CrowdStrike, ainsi que d’autres plus petites, seraient concernées par cette restriction d’utilisation du service. Cylance, par exemple, ne veut plus partager sa technologie et a cessé de fournir ses évaluations il y a deux semaines, mais CrowdStrike dit de son côté n'avoir pas été écarté du service. Dans un tweet, hier, le responsable de VirusTotal, Bernardo Quintero, a indiqué que le service était ouvert à tout nouveau contributeur et toute technologie.