En soi, la défense antivirus basée sur les signatures devient de moins en moins efficace parce que les développeurs de logiciels malveillants sont de plus à plus habiles et parviennent à trouver des moyens pour engendrer des taux énormes de mutations de virus. Dans ce cas, le blocage des malwares par des méthodes qui reposent uniquement sur l'analyse des signatures est pratiquement impossible. « En 2009, Symantec avait dénombré 240 millions de virus et n'a pas encore fini de comptabiliser ceux en circulation l'an dernier, sans doute le double, » a déclaré Hormazd Romer, directeur du marketing produit pour le département Sécurité d'entreprise chez Symantec. « Les auteurs de malware ont adopté un modèle de micro-distribution basé sur la mutation de virus » a expliqué le responsable de Symantec. « Du coup, c'est l'explosion. »

Pour se défendre contre ces assauts, Symantec a mis au point une méthode d'identification de fichiers basée sur le cloud computing.  Baptisée Symantec Insight, elle sera ajoutée à Symantec Endpoint Protection 12. Symantec a déjà testé sa technologie Insight l'an dernier dans son logiciel antimalware grand public Norton qui analyse les fichiers téléchargés par l'utilisateur depuis un service cloud. « En évaluant les évènements rencontrés par des millions d'utilisateurs de la solution de Symantec, ainsi que d'autres facteurs, l'objectif est de déterminer le risque que présente le fichier en cours d'inspection, » a expliqué Hormazd Romer. Selon lui, il est notamment important de savoir si le fichier est connu, combien de fois il a été repéré, et de quand il date. « Ces malware mutants résistent aussi bien qu'un panaris sur le pouce, » a-t-il commenté, ajoutant que Symantec avait tracé plus de 2 milliards de fichiers en ayant à l'esprit « qu'un logiciel normal ne se modifiait pas comme ça. »

Des options activées en fonction des groupes d'utilisateurs

« Dans la nouvelle version de Endpoint Protection, l'usage de la technologie Insight est laissé à l'appréciation des gestionnaires de sécurité de l'entreprise, lesquels pourront décider de l'activer ou non, » a précisé Hormazd Romer. Insight permet au gestionnaire de sécurité d'appliquer ses propres paramètres en fonction de groupes d'utilisateurs. De même, les paramètres de la « configuration dial» de Symantec Endpoint Protection 12 permettent de choisir différents seuils de risques. Selon le niveau de risque, il est possible soit de bloquer tout type de fichiers provenant du web ou de la messagerie, soit d'informer simplement l'utilisateur que tel ou tel fichier est suspect. Un message de mise en garde peut aussi proposer à l'utilisateur de ne pas ouvrir le fichier.

La protection antivirus basée sur la signature des fichiers est toujours maintenue comme une autre une ligne de défense possible. Et pour la première fois dans une mise à jour de logiciels, Symantec ajoutera Sonar, une troisième méthode de détection basée sur le comportement et déjà introduite dans des produits grand public de l'éditeur. « Celle-ci procède à une vérification des fichiers en temps réel, et au moment de leur ouverture, ils sont exécutés dans une sandbox », explique Hormazd Romer. L'objectif de Sonar est d'arrêter tout ce qui passe au travers d'Insight ou qui n'est pas détecté par l'analyse des signatures.

Pour l'instant Symantec Endpoint Protection 12 est disponible en version bêta, la mouture finale pour Windows, Mac et Linux étant attendue cet été. Une version optimisée est recommandée pour les environnements VMware ou Hyper-V. Symantec annonce qu'elle sortira également une version distincte pour les petites et moyennes entreprises (de cinq à 99 employés), similaire, mais pas optimisée pour les environnements virtualisés et avec une gestion de console différente.