Les antivirus

Les antivirus sont des logiciels qui ont pour objectif de détecter et supprimer le contenu malicieux quelqu’il soit (Trojan, Virus, Ver, Spyware, etc) d’un ordinateur.

Petit rappel ethymologique :

  • Antivirus gratuits, on parle d’antivirus ne demandant aucun licence payante pour être utilisé, se reporter au dossier : Les antivirus gratuits
  • Les Internet Security ou « Suite de sécurité » : Ce sont versions complètement qui en plus, d’embarquer une partie antivirus, embarquent pare-feu (firewall) et parfois un contrôle parental.

Voici quelques éléments explicatifs des différents modules de protection que l’on trouve dans la plupart des antivirus.

Antivirus-Logo

Les détections antivirus

Afin de reconnaître les programmes malicieux, les antivirus utilisent différentes méthodes.
Voici quelques méthodes courantes que l’on retrouve dans la plupart des antivirus actuel.

La détection statique, elle consiste à analyser le code d’un fichier sans exécuter ce dernier :

  • La détection par signature : il s’agit de détection qui correspond à des portions de code significative d’une famille de virus en particulier. Ce type de signature est relativement facile à contourner pour les auteurs de malwares notamment à travers l’utilisation de packers/crypters ou la mutation de code.
  • La détection heuristique : portions de code plus généralistes qu visent à générer des détections plus larges afin de détecter de manière plus courante les malwares et non une famille en particulier. La difficulté avec la détection générique est de jongler entre un code général efficaces sans générer trop de faux positif.

La détection comportementale : celle-ci consiste à exécuter le fichier dans un environnement fermé et contrôlé par l’antivirus (bac à sables / sandbox) afin de détecter des comportements utilisés couramment par les programmes malicieux. (par exemple la copie dans %APPDATA%, la création d’une clef Run etc).
Cette détection est relativement efficace même si les auteurs malwares/virus tentent bien entendu de contourner celle-ci notamment à travers la détection des bac à sables/sandbox.

Exemple ci-dessous de la détection Sandbox d’Avast! :

Avastv8_AutoSandbox

Les cloud antivirus : Les campagnes malicieuse
s visent à pousser des centaines/milliers de fichiers différents à travers l’utilisation de  packers/crypters poussant au final, un même virus/malwares. Il s’agit d’un véritable bruteforce contre les protections antivirus.
Les détections statiques par signatures et heuristiques sont devenues trop faibles et inefficaces face à ces campagnes malicieuses.
Les antivirus ont consolidé et améliorés ces protections à travers « le cloud antivirus« , il s’agit d’une vaste base de données alimentés par les clients antivirus (oui car les clients antivirus remontent diverses informations sur les fichiers en cours d’exécution sur l’ordinateur – ceci peut poser des problèmes de confidentialités, mais ce n’est pas l’objet de cet article), inversement, les clients antivirus peuvent piocher des informations dans cette base de données.
Les Cloud antivirus offrent donc diverses améliorations comme :

  • La possibilité de détecter des éléments malicieux sans avoir besoin de mettre à jour le client antivirus. Cette protection est mise à jour en temps réel sur le Cloud, il n’y a plus ce laps de temps 1h à 2h entre le moment où l’éditeur d’antivirus ajoute une nouvelle détection, créé une nouvelle version de la base de données antivirus, la met en ligne, pour être au final, téléchargé par le client antivirus.
  • Les éditeurs d’antivirus peuvent effectuer data mining (exploitation de données sur de grandes base de données), recouper certaines données pour offrir une protection plus élargie et plus précise.
  • Les éditeurs d’antivirus peuvent aussi mettre en ligne diverses informations, comme par exemple, pour un fichier son « taux d’utilisation », si un fichier est peu téléchargé, il est potentiellement malicieux. C’est une des approches notamment de Symantec à travers ses détections Suspicious.Insight
  • Cela permet enfin de détecter, suivre plus facilement de nouvelles attaques et campagne de virus/malwares notamment par pays.
  • Enfin cela peut permettre d’alléger l’utilisation CPU/Mémoire du client antivirus qui embarque des définitions virales plus que sous la forme de cache.

Les données collectées peuvent aller des URLs visitées, aux sujets des emails, le but étant d’utiliser ces informations dans le cas d’éléments malicieux.
Exemple des policy Avast! :

Avast_confidentialite

Exemple ci-dessous de fichiers connus des éditeurs d’antivirus avec le taux d’utilisation avec l’antivirus NOD32 :

NOD32_Antivirus_Outils_Processus_cours

et Symantec Norton :
Norton_2012_performances3

Les adresses WEB alimentent aussi ces bases de données Cloud, lorsque les laboratoires reçoivent un nouveau fichier, ce dernier est analysé de manière automatique, si le malware contacte des adresses WEB spécifiques, celles-ci sont ajoutées en blacklist.
De même les antivirus effectuent du Web Reputation et classifie par thèmes les sites visités pour alimenter leurs contrôle parental.

Pensez que les cloud antivirus sont inégaux, en effet, monter une tel infrastructure demande des ressources importantes, or les budgets des différents éditeurs d’antivirus sont inégaux.

Protection en temps réel

La protection en temps réel est un module important de l’antivirus qui va scanner les fichiers et URLs (adresse WEB)  qui vont transiter sur l’ordinateur.
Lors de la copie d’un fichiers provenant d’une ressources externe (partage de fichiers, disques amovibles, téléchargement par internet), la protection en temps réel analyse donc les nouveaux fichiers arrivant sur l’ordinateur afin de détecter des virus, les fichiers manipulés par l’utilisateur, les processus en cours d’exécution etc.
Il se passe exactement la même chose avec les URLs contactés par les processus (navigateurs WEB, processus de Windows et application installées).

Avast_protection_en_temps_reel

La détection FileRepMalware d’Avast!! correspond au Cloud Antivirus (qui se nomme CyberCapture) :

Avast_FileRepMalware

La protection en temps réel va faire de même avec la protection WEB qui va bloquer toute adresse malicieuse.
Si l’antivirus détecte une connexion vers adresse connue pour être malicieuse, celui-ci va émettre une alerte et bloquer celle-ci.
Deux cas de figure se présentent :

  • Vous surfez et le site sur lequel vous vous connectez contacte une adresse malicieuse
    • soit parce qu’il a été piraté ou une publicité malicieuse tente de rediriger vers un Web Exploit.
    • Une régie publicitaire est blacklistée par l’antivirus, notamment certains régies publicitaires sur les sites de streaming illégaux, P2P etc peuvent l’être.

Notez que Google fait un peu la même chose à travers son Google SafeBrowsing.

En outre, le cloud antivirus permet aussi lors des recherches WEB de noter les sites et prévenir si ces derniers sont malicieux et bloquer l’accès des sites malicieux. Ci-dessous des recherches Google avec les notes sur chaque résultat (coche verte ou étoile verte) :

Kaspersky_web_reputation

AVG Antivirus :AVG_2012_protection_WEB_reputation4
BitDefender_Web_Reputation

et une adresse WEB bloquée par Avast! avec la détection URL:MAL

avast_blocage_arnaque_support_tech_scam

Protection Mails

Ce module de protection vise à détecter les emails malicieux, qui la plupart du temps embarquent des pièces jointes malicieuses.
Les virus par email restent toujours actifs et ont repris du poil de la bête depuis fin 2015 avec des campagnes de ransomwares.
Certaines protections mails peuvent aussi incorporer un antispam (souvent dans les suites de sécurité).

Cela permet donc de protéger l’ordinateur en amont de la réception des mails, puisque les mails malicieux vont être interceptés par l’antivirus.
Bien entendu, si des emails passent ou si vous utilisez un antivirus sans protection mails, la protection en temps réel va bloquer le malware/virus durant la tentative d’ouverture de la pièce jointe vérolée.

La quarantaine

Lorsqu’un élément malicieux est détecté, plusieurs choix s’offrent, en général à vous.

  • Supprimer le fichier : le fichier est supprimé de l’ordinateur. Cette option est de moins en moins présente pour ne pas poser des problèmes en cas de faux positif.
  • Accès refusé : cette option n’est pas présente sur tous les antivirus, Antivir propose notamment celle-ci. Le fichier malicieux reste à son emplacement d’origine mais l’antivirus empêche son accès.
  • Mise en quarantaine : le fichier malicieux est déplacé dans une zone contrôle par l’antivirus, ce dernier ne peut plus interagir avec le système. Le gros avantage de cette solution est qu’il permet de restaurer le fichier en cas faux positif.

Tous les antivirus offrent un menu Quarantaine qui permet en autre de restaurer un fichier malicieux.
Certaines autres options sont proposés comme la possibilité de soumettre le fichier à l’analyse du laboratoire de l’éditeur de l’antivirus.
Dans le cas d’un fichier détecté comme malicieux, vous pouvez placer ce dernier en quarantaine, si vous avez un doute sur la véracité de la menace, vous pouvez envoyer l’échantillon à l’éditeur de sécurité qui vous donnera le statut du fichier.
Si le fichier s’avère sain, vous pourrez alors restaurer ce dernier.

Pour toutes les interrogations autour de la quarantaine antivirus, lire : la FAQ de la quarantaine.

La zone de quarantaine de NOD32 :

NOD32_Antivirus_Quarantaine

La zone de quarantaine de l’antivirus Avast!Avast_V8_quarantaine

Analyse antivirus ou scan antivirus

L’analyse antivirus ou scan antivirus consiste à analyser l’ordinateur afin de déceler la présence d’un malware et nettoyer ce dernier.
L’antivirus va :

  • analyser les processus en cours d’exécution et leurs dépendances
  • analyser les éléments qui se chargent au démarrage de Windows (Clef Run, Services Windows etc)
  • les fichiers contenus sur le disque, deux cas se présentent alors :
    • vous avez demandé une analyse complète : tous les fichiers du disque vont être analysés
    • vous avez demandé une analyse « intelligente » : l’antivirus va analyser les fichiers des dossiers susceptibles de contenir des malwares (profil utilisateur, Program files et le dossier Windows).

Exemple des différents type d’analyse antivirus d’Avast! :

Avast_analyse_ordinateur

Le scan antivirus peut-être intéressant à la suite d’une alerte de la protection en temps réel ou dans le cas d’un doute afin de contrôler ce dernier.
Pensez aussi qu’un malware/virus peut s’introduire dans l’ordinateur, car pas détecté par l’antivirus au moment de l’attaque.
Il est donc recommandé d’effectuer une mise à jour de la définition virale avant d’effectuer une analyse complète de l’ordinateur.

Voici un exemple de détection à la suite d’une analyse par Malwarebytes Anti-Malware :

Malwarebytes_Examen2

Les pare-feu ou Firewall

Les pare-feu ou firewall anglais sont éléments réseaux qui permettent d’autoriser ou refuser l’établissement de connexion à partir de règles pré-définies.
Les pare-feu sont en général présents dans les suite de sécurité antivirus.
Pour plus d’informations sur le fonctionne et l’importance d’un pare-feu, lire notre dossier : Les pare-feu sur Windows

Liens connexes

et le tutoriel pour sécuriser son ordinateur : Comment sécuriser Windows et et Virus : Surveiller Windows.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 1 008 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *