Antivirus : le fonctionnent (détection, protection)

Dernière Mise à jour le

Vous utilisez un antivirus mais vous n’avez pas trop d’idée comment il fonctionne.
Vous souhaitez connaître d’avantage sur comment ça marche.

En effet un antivirus se doit de :

  • détecter un logiciel malveillant en amont de son exécution afin de notifier l’utilisateur
  • si le malware est déjà présent dans le système, le reconnaître et le supprimer. C’est le principe de la désinfection.

Cet article donne les grandes lignes sur le fonctionnement des antivirus.
Vous trouverez aussi un glossaire des protections afin de ne pas tout confondre.

Antivirus : le fonctionnent (détection, protection)

Le fonctionnement des antivirus

Voici comment fonctionne un antivirus de manière globale.

L’utilisateur installe sur son ordinateur un client antivirus.
Ce dernier se compose d’une interface qui permet de lancer une analyse, configurer ce dernier etc.
L’antivirus possède diverses modules de protection (temps réel, WEB, etc).
Lorsque l’antivirus détecte une menace, ce dernier émet une alerte et l’utilisateur peut effecteur diverses actions.
Enfin l’utilisateur peut lancer des analyses de l’ordinateur ou l’antivirus peut en configurer des automatiques.

L'antivirus Windows Defender de Windows 10

L’antivirus possède des parties « cachées » que l’utilisateur ne voit pas.
Par exemple, l’antivirus télécharge des définitions virales et se met à jour tous les jours.
Le but est de suivre les menaces qui sortent chaque jour afin de pouvoir protéger et détecter ces dernières.

Enfin l’antivirus modifie beaucoup le système d’exploitation.
En effet, il se charge très bas dans le système afin de modifier des fonctions de Windows.
Cela permet de se placer dans certains éléments du système.
Par exemple afin d’écouter les fonctions d’ouvertures, suppression de fichiers pour pouvoir analyser ces derniers.
Cela peut parfois causer des plantages de type BSOD ou des problèmes de mises à jour de Windows.
En effet, l’antivirus utilise des pilotes et si ce dernier est bugué alors il cause alors des problèmes.

Les type détections de l’antivirus

Pour trouver un malware, l’antivirus doit être capable de détecter un fichier malveillant parmi les sains.
Pour cela, on combine plusieurs type de détections.
Certains sont basiques et d’autres plus avancées.

Lorsque l’antivirus se trompe et prend un fichier sain pour malware, on parle alors de faux positifs.

Comment fonctionnent les antivirus

Détection par signatures

Il s’agit d’un morceaux de code spécifique à un malware et donc on parle alors de signature.
Il s’agit d’un motif qu’utilise le malware dans le code qui permet de le reconnaître.
Puis on ajoute celle-ci définitions virales de l’antivirus misent à jour tous les jours.
Et ainsi lorsqu’un fichier comporte ce morceaux de code, il est considéré comme étant malveillant.
Parfois il s’agit simplement d’ajouter le hash du fichier malveillant.

Ce type de détection fut les premières utilisées mais avec le nombre grandissant de menaces, elles deviennent vite obsolètes.
Ainsi d’autres types de détections sont utilisées mais la signature s’utilise en soutien.

Par abus de langage, un peu comme le mot virus, le mot signature peut viser d’autres éléments qui s’ajoutent dans la base de données.
Alors que ce dernier n’est pas vraiment une signature.

Détection heuristiques et génériques

Portions de code plus général qui visent à générer des détections plus larges afin de détecter de manière plus courante les malwares.
La difficulté avec la détection générique est de jongler entre un code général efficaces sans générer trop de faux positif.

Ces détections génériques peuvent aussi viser une famille de malware.
Par exemple ci-dessous, cette analyse VirusTotal montre des détections heuristiques sur la famille InstallCore.
On les reconnaît car ils portent la mention Heur ou Generic.

Détection comportementale

Celle-ci consiste à exécuter le fichier dans un environnement fermé et contrôlé par l’antivirus comme un bac à sables.
Cela afin de tester le fichier et vérifier son comportement d’un programme malicieux, par exemple la copie de fichiers dans %APPDATA%, la création d’une clef Run, etc.
Cette détection est relativement efficace même si les auteurs malwares tentent bien entendu de contourner celle-ci.

Voici un exemple ci-dessous de la détection Sandbox d’Avast! :

Les antivirus : utilisation et fonctionnement

Cloud et machine learning

Depuis plusieurs années, les éditeurs d’antivirus doivent faire face à une monté en puissance des malwares.
Chaque année des millions de fichiers malveillants inondent internet et les ordinateurs.
Cela pose des problèmes du côté du client antivirus dont la base de données gonfle.
Enfin il faut donc pouvoir suivre, analyser, classer ces millions de fichiers.

Pour répondre à cela, deux technologies ont vu le jour : Le Cloud et Machine Learning.

Le Cloud

Les campagnes de malwares visent à pousser des centaines ou milliers de fichiers différents à travers l’utilisation de packers/crypters.
Il s’agit d’un véritable bruteforce contre les protections antivirus.
Les détections statiques par signature et heuristique deviennent vite trop faibles et inefficaces face à ces attaques.
De plus les définitions virales gonflent avec le temps et pose des problèmes de fonctionnement du client antivirus.
Afin de répondre à cela, les antivirus ont consolidé et amélioré ces protections à travers « le cloud antivirus« .

Il s’agit d’une vaste base de données alimentée par les clients antivirus
Ces derniers remontent diverses informations sur les fichiers en cours d’exécution sur l’ordinateur.
Quand un fichier s’avère positif alors on l’envoie en analyse dans le laboratoire ou automatique.

Ci-dessous, la capture d’écran des paramètres de Cloud et envoie d’échantillon de Windows Defender.

Le Cloud antivirus et envoie d'échantillon de Windows Defender.

Enfin cela peut poser des problèmes de confidentialités puisque l’antivirus a accès à toutes les données de l’ordinateur.
Bien entendu l’éditeur se focalise sur les fichiers malveillants, ainsi les fichiers images ne sont pas analysés.

Cloud antivirus quelles améliorations ?

Les Cloud antivirus offrent donc diverses améliorations comme :

  • Des mises à jour en temps réel. La possibilité de détecter des éléments malicieux sans avoir besoin de mettre à jour le client antivirus. Cette protection est mise à jour en temps réel dans le Cloud. Il n’y a plus ce laps de temps 1h à 2h entre le moment où l’éditeur d’antivirus ajoute une nouvelle détection et la met en ligne et le client antivirus la récupère.
  • Alléger le client antivirus. Cela peut permettre d’alléger l’utilisation CPU et Mémoire du client antivirus. En effet cela réduit la taille des définitions virales.
  • L’analyse automatique par Machine Learning comme expliqué plus bas dans cet article.
  • On ouvre les portes du data mining (exploitation de données sur de grandes base de données). Cela permet de recouper certaines données pour offrir une protection plus élargie et plus précise.
  • Le File Reputation. Les éditeurs d’antivirus peuvent aussi mettre en ligne diverses informations, comme par exemple, pour un fichier son « taux d’utilisation ». Si un fichier est peu téléchargé, il peut s’agir d’un malware. On constitue alors des réputations de fichiers ou file reputation.
  • Détecter des attaques ciblées. Cela permet enfin de détecter, suivre plus facilement de nouvelles attaques et campagne de virus qui vise des entités précises (Pays, gouvernement, société).
Ces mécanismes visent à récupérer beaucoup de données.
On en parle dans l’article : Les données récupérées par les antivirus : télémétrie, documents, URLs visitées

Machine learning

Le nombre de malware étant de plus en plus important, les antivirus ont dû trouver d’autres méthodes que l’analyse humaine.
Pour s’aider, ils utilisent le machine learning.
C’est à dire des mécanismes de reconnaissances et classements effectuées par des programmes ou intelligence artificielles (IA).

Il s’agit de faire tourner le malware dans un environnement virtualisé.
A partir de là on classe le fichier comme sain, malware, logiciel indésirables, etc.
Cela permet aussi de suivre des familles de malwares.

Ci-dessous le machine learning de Microsoft pour Windows Defender.

Machine learning de Windows Defender

La suite dans la page suivante.

Les antivirus : le dossier COMPLETLa protection Web antivirus : bloquer les sites malveillants
(Visité 11 733 fois, 8 visites ce jour)
12 Partages
Tweetez
Partagez12
Enregistrer
Partagez