Il y a 10 ans déjà, j'animais un des rares sites indépendants francophones (à peu près pareil niveau Europe), concernant des analyses d'antivirus et notamment ViGuard.
Viguard ? un projet frnco-américano-israëlien. Un principe, un concept, se fondant sur l'absence de signatures antivirales.
Entre 2002 et 2006, j'ai ainsi pu contre-analyser les travaux d'un certain Guillaume T., mais aussi et surtout mettre ViGuard face à la plupart des codes viraux les plus dangereux/répandus de l'époque. Bilan plutôt positif, d'ailleurs, sauf pour les espiogiciels ("spywares") pour certaines raisons. J'ai également été en contact avec Eyal Dotan, Directeur technique de l'éditeur de ViGuard, Tegam, pour tester des bêtas et remonter des bogues.
Travaillant de façon rapprochée avec des structures d'assistance informatique, où les demandes pour machines infectées ne faisaient qu'augmenter, je peux attester des éléments suivants :
Contexte :
- sur des centaines de machines,
- dans le monde du grand public et de la PME,
- ViGuard installé sur des machines de 98 SE à XP SP2
Résulats:
Moins de 1% des machines vérifiées se sont révélées infectées même au bout de 2 à 3 ans sous ADSL (et en mode modem ! pas NAT...). Certaines machines sont encore aujourd'hui équipées de ViGuard, alors qu'il s'agit de Windows 2000 SP4 (hé oui, la vie, la vraie...), plus supporté et où nombre d'antivirus courants ne s'installent plus... Et les vérifications multi-moteurs (plus de 4) montrent qu'elles sont rarement infectées !
Mais plus important encore, à l'époque, le concept ViGuard a été complètement décrié et décridibilisé.
Beaucoup confondaient ViGuard avec un antivirus classique, et cherchaient à faire "bouton droit, analyser" sur des répertoires avec des fichiers potentiellement infectés, puis râlaient ensuite de ne pas avoir de résultat...
ViGuard, que certains (dont moi) appelaient "firewall antiviral" est un fonctionnement en liste blanche, et non pas liste noire comme les antivirus classiques. Il fonctionnait sur le principe de la surveillance des modifications du système (notamment les modules de démarrage, et les modifications de binaires). Il permettait également de spécifier des permissions d'accès et modifications ; voici un petit exemple de matrice de droits :
(merci BrotherSoft pour avoir conservé cette capture).
Et en dernière version (Platinum) :
(merci ici à 01Net).
Il était reproché à Tegam son marketing, sa communication. Le refrain était "Viguard annonce protéger contre les virus connus et inconnus : c'est impossible !". Les plus pointus faisaient même référence à la thèse de Fred Cohen, en 1986...
Aujourd'hui, je lis:
http://www.esiea.fr/davfi,-le-1er-antivirus-libre-100-francais-(3137).cml
L'approche technique innovante de DAVFI le rendra capable de détecter les variantes inconnues de codes identifiés et de prévenir l’action de codes inconnus
J'espère donc que DAVFI n'oubliera pas l'histoire, et des projets comme ViGuard. A l'époque, ViGuard a vu son concept dénigré, et je ne peux qu'être curieux de le voir réapparaître aujourd'hui sous une autre forme.
Au passage, ViGuard n'était pas le seul projet autour de ce concept d'antivirus sans signature : PrevX, System Safety Monitor, etc. étaient sur la même logique.
NB : je dispose toujours de plusieurs versions de ViGuard, notamment de celle dite Platinum, (presque pas mise en vente car l'UAC de Vista était passé par là...), je peux les fournir pour servir la bonne cause (car je crois effectivement en ce concept, que l'on retrouve dans AppLocker par ex :) )
