- Anti-virus
-
Logiciel antivirus
Pour les articles homonymes, voir AV.Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer les logiciels malveillants (dont les virus ne sont qu'un exemple).
Sommaire
Fonctionnement
L'antivirus vérifie les fichiers et courriers electroniques.
Il utilise differentes méthodes:
- Les principaux antivirus du marché se concentrent sur des fichiers de signatures et comparent alors la signature virale du virus aux codes à vérifier.
- La méthode heuristique est la méthode la plus puissantes,tendant à découvrir un code malveillant par son comportement.Elle essaie de le détecter en analysant le code d'un programme inconnu. Parfois de fausses alertes peuvent être provoquées.
- L’analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures.
Les antivirus peuvent balayer le contenu d'un disque dur, mais également la mémoire de l'ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux montant que descendant. Ainsi, les courriels sont examinés, mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions réseau, clefs USB…Approche
On distingue plusieurs types d’antivirus selon leur fonctionnement. La première méthode est celle du dictionnaire.
Dictionnaire
Les créateurs d’antivirus ayant préalablement identifié et enregistré des informations sur le virus, comme le ferait un dictionnaire, l’antivirus peut ainsi détecter et localiser la présence d’un virus. Lorsque cela se produit, l'antivirus dispose de trois options, il peut :
- tenter de réparer les fichiers endommagés en éliminant le virus ;
- mettre les dossiers en quarantaine afin qu’ils ne puissent être accessibles aux autres dossiers ni se répandre et qu'ils puissent éventuellement être réparés ultérieurement ;
- supprimer les fichiers contaminés.
Afin de maximiser le rendement de l'antivirus, il est essentiel d’effectuer de fréquentes mises à jour en téléchargeant des versions plus récentes. Des internautes consciencieux et possédant de bonnes connaissances en informatique peuvent identifier eux-mêmes des virus et envoyer leurs informations aux créateurs de logiciels antivirus afin que leur base de données soit mise à jour.
Généralement, les antivirus examinent chaque fichier lorsqu'il est créé, ouvert, fermé ou lu. De cette manière, les virus peuvent être identifiés immédiatement. Il est possible de programmer le système d’administration pour qu’il effectue régulièrement un examen de l'ensemble des fichiers sur l'espace de stockage (disque dur, etc).
Même si les logiciels antivirus sont très performants et régulièrement mis à jour, les créateurs de virus font tout aussi souvent preuve d'inventivité. En particulier, les virus « oligomorphiques », « polymorphiques » et plus récemment, « métamorphiques », sont plus difficiles à détecter.
Liste blanche
La « liste blanche » est une technique de plus en plus utilisée pour lutter contre les logiciels malveillants. Au lieu de rechercher les logiciels connus comme malveillants, on empêche l'exécution de tout programme à l'exception de ceux qui sont considérés comme fiables par l'administrateur système. En adoptant cette méthode de blocage par défaut, on évite les problèmes inhérents à la mise à jour du fichier de signatures virales. De plus, elle permet d'empêcher l'exécution de programmes indésirables. Étant donné que les entreprises modernes possèdent de nombreuses applications considérées comme fiables, l'efficacité de cette technique dépend de la capacité de l'administrateur à établir et mettre à jour la liste blanche. Cette tâche peut être facilitée par l'utilisation d'outils d'automatisation des processus d'inventaire et de maintenance.
Comportements suspects
Une autre approche pour localiser les virus consiste à détecter les comportements suspects des programmes. Par exemple, si un programme tente d’écrire des données sur un programme exécuté, l’antivirus détectera ce comportement suspect et en avisera l’usager qui lui indiquera les mesures à suivre.
Contrairement à l’approche précédente, la méthode du comportement suspect permet d’identifier des virus très récents qui ne seraient pas encore connus dans le dictionnaire de l'antivirus. Toutefois, le fait que les usagers soient constamment avertis, de fausses alertes peuvent les rendre insensibles aux véritables menaces. Si les usagers répondent « Accepter » à toutes ces alertes, l’antivirus ne leur procurera aucune protection supplémentaire. Ce problème s’est aggravé depuis 1997, puisque plusieurs programmes inoffensifs ont modifié certains fichiers exécutables sans observer ces fausses alertes. C’est pourquoi, les antivirus les plus modernes utilisent de moins en moins cette méthode.
Autres approches
L'analyse heuristique est utilisée par quelques antivirus. Par exemple, l’antivirus peut analyser le début de chaque code de toutes les nouvelles applications avant de transférer le contrôle à l’usager. Si le programme semble être un virus, alors l’usager en sera averti. Toutefois, cette méthode peut également mener à de fausses alertes. La méthode heuristique permet de détecter des variantes de virus et, en communiquant automatiquement les résultats de l'analyse à l'éditeur, celui-ci peut en vérifier la justesse et mettre à jour sa base de définitions virales.
La méthode du bac à sable (Sandbox (sécurité informatique) en anglais) consiste à émuler le système d’exploitation et à exécuter le fichier lors de cette simulation. Une fois que le programme prend fin, les logiciels analysent le résultat du bac à sable afin de détecter les changements qui pourraient contenir des virus. En raison des problèmes de performance, ce type de détection a lieu habituellement pendant le balayage sur demande. Cette méthode peut échouer puisque les virus peuvent s’avérer non déterministes et résulter de différentes actions ou même peut-être d’aucune action lorsque exécuté. Il est impossible de le détecter à partir d’une seule exécution.
Problèmes dignes d’intérêt
- La propagation des virus utilisant les courriels comme vecteur d’infection (vers) pourrait être inhibée de manière plus efficace et moins dispendieuse sans installation d’antivirus supplémentaires si des bogues dans les logiciels de courrier électronique clients, qui permettent l'exécution non autorisé du code, étaient corrigés.
- La connaissance informatique chez les utilisateurs peut être un bon complément pour les logiciels antivirus. Le fait d’apprendre à ces derniers comment utiliser les ordinateurs de manière sécuritaire (par exemple, ne pas télécharger sur Internet et exécuter des programmes inconnus) ralentirait la propagation des virus et rendrait les logiciels antivirus presque inutiles.
- La création et la diffusion constantes des virus favorisent la vente d'antivirus. Certaines personnes pensent que les éditeurs d’antivirus font affaire avec des créateurs de virus afin de soutenir leur marché.
- Certains antivirus peuvent réduire de manière considérable la performance des ordinateurs, notamment lorsqu’ils résident en mémoire (analyse en temps réel). Les utilisateurs peuvent désactiver la protection antivirus pour surmonter la perte de performance, mais cela augmente le risque d’infection. Pour un maximum de protection, le logiciel antivirus doit être activé en tout temps, malgré la réduction des performances du système.
- Il est fortement déconseillé d'avoir plusieurs antivirus installés sur un même ordinateur, car cela pourrait l’endommager, en particulier s’ils résident en mémoire. Cette mise en garde n’est pas toujours mentionnée dans les manuels.
- Il est parfois nécessaire de désactiver temporairement la protection contre les virus lorsqu’on installe des mises à jour importantes telles que Windows Service Packs ou celles des pilotes de périphérique de cartes graphiques. Si la protection antivirus fonctionne en même temps, cela peut empêcher la mise à jour.
- Lors de l’acquisition d’un logiciel antivirus, une clause de souscription automatiquement renouvelée peut être prévue, de sorte que la carte de crédit de l'acheteur est automatiquement débitée. Par exemple, McAfee exige qu'un client se désabonne au moins 60 jours avant la fin de la souscription. Pourtant, McAfee ne fournit ni ligne téléphonique, ni un autre moyen afin de se désabonner directement depuis leur site Internet. Dans ce cas, le recours de l'abonné est de contester les frais avec la société émettrice de carte de crédit.
- Les antivirus sont souvent responsables de nombreux problèmes informatiques. Certains disent même qu’ils causent plus de tort que de bien à l’utilisateur au final. Néanmoins, un utilisateur novice ne peut s’en passer sans courir de grands risques.
- Il faut souvent configurer manuellement certains logiciels (décompression d'archives, gestionnaire de téléchargement, peer-to-peer, etc.) pour qu'ils fassent appel à l'antivirus.
Historique
Plusieurs compagnies revendiquent le titre de créateur du premier logiciel antivirus. La première annonce publique d’une neutralisation d’un virus pour PC a été faite par European Bernt Fix (ou Bernd) au début de l’année 1987, sur le virus Vienna. Suite à ce virus, plusieurs autres virus ont fait surface comme par exemple Ping Pong, Lehigh et Surviv-3, aussi connu sous le nom de Jérusalem.
Depuis 1988, plusieurs compagnies ayant pour objectif d’approfondir les recherches dans le domaine des logiciels antivirus se sont regroupées. Les premières percées en matière d'antivirus ont eu lieu en mars 1988 avec la sortie de Den Zuk, crée par l'Indonésien Denny Yanuar Ramdhani. Den Zuk pouvait neutraliser le virus Brain. En avril 1988, le forum Virus-L a été créé sur Usenet, et le milieu de l'année 1988 a vu la conception d'un appareil de recherche capable de détecter les virus et les Trojans qui étaient connus du public. En automne 1988 est paru le logiciel antivirus Dr. Solomon's Anti-Virus Toolkit conçu par Briton Alan Solomon. À la fin du mois de décembre 1990, le marché en est venu au point d'offrir au consommateur 19 différents produits reliés aux antivirus, parmi ceux-ci, Norton Antivirus et VirusScan de McAfee.
Peter Tippett a beaucoup participé à l'émergent domaine de la détection de virus informatiques. Il était urgentologue de profession et possédait également sa compagnie de logiciels. Il a lu un article à propos du virus Lehigh, qui fut le premier à être développé, mais c’est en fait sur Lehigh lui-même que Tippett s’est le plus renseigné. Il s’est posé la question s’il y avait des caractéristiques similaires entre ces virus et ceux qui attaquent les humains. D’un point de vue épidémique, il a été en mesure de déterminer comment ces virus affectaient les processeurs à même l’ordinateur (le secteur de démarrage était visé par le virus Brain, les fichiers .com par le virus Lehigh, tandis que le virus Jérusalem s'attaquait à la fois aux fichiers .com et .exe). La compagnie de Tippett, Certus International Corp. s’est donc impliqué dans la création de logiciels antivirus. Il a vendu la compagnie en 1992 à Symantec Corp. et Tippett s'est joint à eux, en implantant le logiciel conçu au nom de Symantec, AntiVirus Norton.
Voir aussi
- Liste de logiciels antivirus
- Fichier de test Eicar
- Virus informatique
- European Institute for Computer Antivirus Research
- Sécurité des systèmes d'information
Liens externes
- (fr) Catégorie Antivirus de l’annuaire dmoz
- Portail de la sécurité informatique
Catégorie : Logiciel antivirus
Wikimedia Foundation. 2010.