L’antivirus détecte les menaces qu’il connaît déjà. Le problème est que les attaquants le savent très bien et modifient régulièrement leurs outils pour contourner les signatures. Les exploits du jour zéro, les techniques d’obscurcissement avancées, les attaques intégrées dans les macros des documents Office ou le contenu actif des fichiers PDF sont autant de menaces que les antivirus traditionnels traitent mal ou pas du tout. Deep CDR d’OPSWAT aborde le problème sous un angle totalement différent.
Principales conclusions
- Deep CDR (Content Disarm and Reconstruction) élimine les menaces des fichiers en les déconstruisant et en les reconstruisant.
- Ne repose pas sur la détection des logiciels malveillants – supprime tous les contenus actifs potentiellement dangereux
- Le résultat est un fichier nettoyé, entièrement utilisable, exempt de menaces connues et inconnues.
- Deep CDR prend en charge plus de 100 formats de fichiers, y compris Office, PDF, images et archives.
- Il est particulièrement efficace là où les antivirus traditionnels échouent : dans les attaques de type « zero-day » et « fileless ».
Table des matières
- Pourquoi les antivirus traditionnels ne suffisent-ils pas ?
- Qu’est-ce que le Deep CDR et comment fonctionne-t-il ?
- Quels sont les éléments supprimés au cours du processus de REC ?
- Formats de fichiers pris en charge
- CDR approfondi et sandboxing – deux approches différentes du même problème
- Applications pratiques – quand le Deep CDR est-il utile ?
- Intégration avec MetaDefender
- FAQ
- Résumé
Pourquoi les antivirus traditionnels ne suffisent-ils pas ?
Les antivirus traditionnels fonctionnent selon le principe de la correspondance des signatures : ils comparent un fichier ou son hachage à une base de données de menaces connues. Cette approche présente un défaut fondamental : elle ne fonctionne que si la menace est déjà connue. Il existe un décalage entre le moment où un nouveau logiciel malveillant est utilisé pour la première fois dans une attaque et le moment où sa signature apparaît dans les bases de données antivirus – et c’est ce décalage qui est le plus dangereux.
En outre, même les menaces connues peuvent être masquées en modifiant simplement le code, en changeant les en-têtes de fichiers ou en utilisant des techniques d’obscurcissement. Les recherches montrent que même une analyse simultanée avec des dizaines de moteurs antivirus ne garantit pas la détection de toutes les menaces.
Qu’est-ce que le Deep CDR et comment fonctionne-t-il ?
Deep CDR (Content Disarm and Reconstruction) est une technologie qui inverse l’approche de la protection. Au lieu de rechercher des menaces, elle part du principe que tout fichier peut contenir une menace et supprime tous les éléments susceptibles d’être malveillants, qu’ils soient ou non répertoriés dans des bases de données de logiciels malveillants.
Le processus se déroule en trois étapes. La première est la déconstruction – le fichier est décomposé en ses éléments constitutifs conformément à la spécification du format. La deuxième est le nettoyage : tous les éléments actifs (macros, scripts, objets intégrés, contenu actif) sont supprimés. La troisième est la reconstruction – le fichier est reconstitué sous une forme nettoyée, en conservant son contenu utile.
Quels sont les éléments supprimés au cours du processus de REC ?
Deep CDR supprime un large éventail d’éléments potentiellement dangereux des fichiers. Dans les documents Office, il s’agit notamment des macros VBA (le vecteur d’attaque le plus courant), des objets OLE intégrés (qui peuvent contenir des fichiers exécutables), du contenu actif (liens vers des ressources externes, formulaires) et des champs à mise à jour automatique.
Dans les fichiers PDF, JavaScript (couramment utilisé dans les exploits PDF), les scripts ActionScript, les exécutables intégrés et les liens vers des ressources externes sont supprimés. Dans les images : données cachées dans les métadonnées et charges utiles intégrées par stéganographie. Dans les archives – l’ensemble est analysé récursivement, fichier par fichier.
Formats de fichiers pris en charge
La technologie Deep CDR d’OPSWAT prend en charge plus de 100 formats de fichiers, y compris tous les formats Microsoft Office (docx, xlsx, pptx et les anciennes versions binaires), PDF, les formats OpenDocument, les images (JPEG, PNG, TIFF, BMP), les fichiers HTML, les archives (ZIP, RAR, 7z) et bien d’autres encore.
Il s’agit d’un point crucial : une solution n’est utile que si elle prend en charge les formats réellement utilisés dans l’organisation. La prise en charge des formats binaires hérités d’Office est particulièrement importante dans les environnements où les anciens fichiers .doc et .xls sont encore en circulation.
CDR approfondi et sandboxing – deux approches différentes du même problème
Le sandboxing est une approche alternative de la protection contre les menaces inconnues : un fichier est exécuté dans un environnement isolé et son comportement est observé. S’il se comporte de manière malveillante, il est bloqué.
Le Deep CDR et le sandboxing résolvent le même problème avec des méthodes différentes et fonctionnent mieux ensemble. Le sandboxing prend du temps – le fichier doit être exécuté et surveillé, ce qui peut prendre des minutes, voire des dizaines de minutes. Le Deep CDR est rapide comme l’éclair : quelques secondes suffisent pour reconstituer un fichier. Le sandboxing peut ne pas détecter les menaces qui ne s’activent que lorsque certaines conditions sont remplies. Deep CDR élimine les menaces indépendamment des conditions d’activation.
Applications pratiques – quand le Deep CDR est-il utile ?
Le Deep CDR est utile partout où des fichiers externes pénètrent dans un environnement protégé : passerelles de courrier électronique (purge des pièces jointes avant livraison), portails web acceptant des fichiers d’utilisateurs externes, transferts de fichiers entre réseaux avec différents niveaux de confiance, analyse de supports amovibles à l’entrée d’un réseau protégé.
Elle est particulièrement précieuse dans les environnements où le temps de réponse est essentiel – une passerelle de messagerie qui efface les fichiers en quelques secondes ne retarde pas le flux de communication.
Intégration avec MetaDefender
Deep CDR est l’une des technologies clés de la plateforme OPSWAT MetaDefender et fonctionne en conjonction avec le multiscanning et le Proactive DLP. Le multiscanning détecte les menaces connues, le Deep CDR élimine les menaces potentiellement inconnues et le Proactive DLP protège contre les fuites de données sensibles. Ensemble, ils forment une protection multicouche qui s’attaque aux menaces qui ne peuvent pas être contrées efficacement par une seule méthode.
FAQ
Deep CDR détériore-t-il les fichiers ? Peuvent-ils être ouverts normalement après le nettoyage ? Le fichier nettoyé est entièrement utilisable – il contient le contenu original (texte, graphiques, tableaux), mais sans les éléments actifs. Si le fichier a été formaté, le formatage est conservé.
Que se passe-t-il lorsqu’un fichier est trop endommagé pour être reconstruit ? OPSWAT offre une politique configurable – un fichier peut être bloqué, mis en quarantaine ou marqué pour un examen manuel.
Le Deep CDR fonctionne-t-il en temps réel ? Oui, il faut entre une fraction de seconde et quelques secondes pour reconstruire un document typique, ce qui permet de l’utiliser dans les passerelles de courrier électronique sans retard notable.
Le CDR remplace-t-il l’antivirus ? Non – le CDR et l’antivirus sont complémentaires. Le CDR élimine les menaces que l’antivirus ne voit pas. L’antivirus détecte les menaces que le CDR n’a pas besoin de supprimer. Ensemble, ils offrent un niveau de protection plus élevé.
Résumé
Deep CDR d’OPSWAT est une technologie qui modifie l’approche de la protection contre les menaces véhiculées par les fichiers – de la détection réactive à la suppression préemptive. En purgeant chaque fichier de son contenu actif potentiellement malveillant, Deep CDR protège contre les zero-day, les macro-virus et les techniques d’obscurcissement avancées, là où les antivirus traditionnels échouent.
