Comment fonctionnent les antivirus

Vous utilisez un antivirus mais vous n’avez pas trop d’idée comment il fonctionne.
Vous souhaitez connaître d’avantage sur comment ça marche.

En effet un antivirus se doit de :

  • détecter un logiciel malveillant en amont de son exécution afin de notifier l’utilisateur
  • si le malware est déjà présent dans le système, le reconnaître et le supprimer. C’est le principe de la désinfection.

Cet article donne les grandes lignes sur le fonctionnement des antivirus.
Vous trouverez aussi un glossaire des protections afin de ne pas tout confondre.

Comment fonctionnent les antivirus

Glossaire

Afin de ne pas tout mélanger, on commence par une liste des principaux termes.
N’hésitez pas à cliquer sur les liens pour plus d’explications.

  • Les antivirus : logiciel qui s’installe sur l’ordinateur afin de protéger des logiciels malveillants (virus, trojan, backdoor, spywares, etc). Ce dernier peut détecter et éradiquer ces derniers même une fois installé. On parle alors de nettoyage.
  • Les pare-feu : S’installe entre deux réseaux, il peut s’agir d’une application ou d’un boitier. Ce dernier a vocation de filtre les connexions réseaux et autoriser celles dont une règle le permet.
  • VPN : Permet une connexion sécurisé via un tunnel chiffré entre deux réseau. Aujourd’hui les VPN sont vendus à des fins d’anonymisations et aussi de sécurité.

Quelques liens aussi pour clarifier certains éléments :

Enfin du côté des logiciels malveillants, vous pouvez aussi lire ces articles qui liste les catégories.

L’antivirus

Voici comment fonctionne un antivirus de manière globale.

L’utilisateur installe sur son ordinateur un client antivirus.
Ce dernier se compose d’une interface qui permet de lancer une analyse, configurer ce dernier etc.
L’antivirus possède diverses modules de protection (temps réel, WEB, etc).
Lorsque l’antivirus détecte une menace, ce dernier émet une alerte et l’utilisateur peut effecteur diverses actions.
Enfin l’utilisateur peut lancer des analyses de l’ordinateur ou l’antivirus peut en configurer des automatiques.

L'antivirus Windows Defender de Windows 10

L’antivirus possède des parties « cachées » que l’utilisateur ne voit pas.
Par exemple, l’antivirus télécharge des définitions virales et se met à jour tous les jours.
Le but est de suivre les menaces qui sortent chaque jour afin de pouvoir protéger et détecter ces dernières.

Enfin l’antivirus modifie beaucoup le système d’exploitation.
En effet, il se charge très bas dans le système afin de modifier des fonctions de Windows.
Cela permetde se placer dans certains éléments du système.
Par exemple afin d’écouter les fonctions d’ouvertures, suppression de fichiers pour pouvoir analyser ces derniers.
Cela peut parfois causer des plantages de type BSOD ou des problèmes de mises à jour de Windows.
En effet, l’antivirus utilise des pilotes et si ce dernier est bugué alors il cause alors des problèmes.

Les détections

Pour trouver un malware, l’antivirus doit être capable de détecter un fichier malveillant parmi les sains.
Pour cela, on combine plusieurs type de détections.
Certains sont basiques et d’autres plus avancées.

Lorsque l’antivirus se trompe et prend un fichier sain pour malware, on parle alors de faux positifs.

Détection par signatures

Il s’agit d’un morceaux de code spécifique à un malware et donc on parle alors de signature.
Il s’agit d’un motif qu’utilise le malware dans le code qui permet de le reconnaître.
Puis on ajoute celle-ci définitions virales de l’antivirus misent à jour tous les jours.
Et ainsi lorsqu’un fichier comporte ce morceaux de code, il est considéré comme étant malveillant.
Parfois il s’agit simplement d’ajouter le hash du fichier malveillant.

Ce type de détection fut les premières utilisées mais avec le nombre grandissant de menaces, elles deviennent vite obsolètes.
Ainsi d’autres types de détections sont utilisées mais la signature s’utilise en soutien.

Par abus de langage, un peu comme le mot virus, le mot signature peut viser d’autres éléments qui s’ajoutent dans la base de données.
Alors que ce dernier n’est pas vraiment une signature.

Détection heuristiques et génériques

Portions de code plus général qui visent à générer des détections plus larges afin de détecter de manière plus courante les malwares.
La difficulté avec la détection générique est de jongler entre un code général efficaces sans générer trop de faux positif.

Ces détections génériques peuvent aussi viser une famille de malware.
Par exemple ci-dessous, cette analyse VirusTotal montre des détections heuristiques sur la famille InstallCore.
On les reconnaît car ils portent la mention Heur ou Generic.

Détection comportementale

Celle-ci consiste à exécuter le fichier dans un environnement fermé et contrôlé par l’antivirus comme un bac à sables.
Cela afin de tester le fichier et vérifier son comportement d’un programme malicieux, par exemple la copie de fichiers dans %APPDATA%, la création d’une clef Run, etc.
Cette détection est relativement efficace même si les auteurs malwares tentent bien entendu de contourner celle-ci.

Voici un exemple ci-dessous de la détection Sandbox d’Avast! :

Les antivirus : utilisation et fonctionnement

Cloud et machine learning

Depuis plusieurs années, les éditeurs d’antivirus doivent faire face à une monté en puissance des malwares.
Chaque année des millions de fichiers malveillants inondent internet et les ordinateurs.
Cela pose des problèmes du côté du client antivirus dont la base de données gonfle.
Enfin il faut donc pouvoir suivre, analyser, classer ces millions de fichiers.

Pour répondre à cela, deux technologies ont vu le jour : Le Cloud et Machine Learning.

Le Cloud

Les campagnes de malwares visent à pousser des centaines ou milliers de fichiers différents à travers l’utilisation de packers/crypters.
Il s’agit d’un véritable bruteforce contre les protections antivirus.
Les détections statiques par signature et heuristique deviennent vite trop faibles et inefficaces face à ces attaques.
De plus les définitions virales gonflent avec le temps et pose des problèmes de fonctionnement du client antivirus.
Afin de répondre à cela, les antivirus ont consolidé et amélioré ces protections à travers « le cloud antivirus« .

Il s’agit d’une vaste base de données alimentée par les clients antivirus
Ces derniers remontent diverses informations sur les fichiers en cours d’exécution sur l’ordinateur.
Quand un fichier s’avère positif alors on l’envoie en analyse dans le laboratoire ou automatique.

Ci-dessous, la capture d’écran des paramètres de Cloud et envoie d’échantillon de Windows Defender.

Le Cloud antivirus et envoie d'échantillon de Windows Defender.

Enfin cela peut poser des problèmes de confidentialités puisque l’antivirus a accès à toutes les données de l’ordinateur.
Bien entendu l’éditeur se focalise sur les fichiers malveillants, ainsi les fichiers images ne sont pas analysés.

Cloud antivirus quelles améliorations ?

Les Cloud antivirus offrent donc diverses améliorations comme :

  • Des mises à jour en temps réel. La possibilité de détecter des éléments malicieux sans avoir besoin de mettre à jour le client antivirus. Cette protection est mise à jour en temps réel dans le Cloud. Il n’y a plus ce laps de temps 1h à 2h entre le moment où l’éditeur d’antivirus ajoute une nouvelle détection et la met en ligne et le client antivirus la récupère.
  • Alléger le client antivirus. Cela peut permettre d’alléger l’utilisation CPU et Mémoire du client antivirus. En effet cela réduit la taille des définitions virales.
  • L’analyse automatique par Machine Learning comme expliqué plus bas dans cet article.
  • On ouvre les portes du data mining (exploitation de données sur de grandes base de données). Cela permet de recouper certaines données pour offrir une protection plus élargie et plus précise.
  • Le File Reputation. Les éditeurs d’antivirus peuvent aussi mettre en ligne diverses informations, comme par exemple, pour un fichier son « taux d’utilisation ». Si un fichier est peu téléchargé, il peut s’agir d’un malware. On constitue alors des réputations de fichiers ou file reputation.
  • Détecter des attaques ciblées. Cela permet enfin de détecter, suivre plus facilement de nouvelles attaques et campagne de virus qui vise des entités précises (Pays, gouvernement, société).

Les données collectées par le Cloud

Les données collectées peuvent aller des URLs visitées, aux sujets des emails, le but étant d’utiliser ces informations dans le cas d’éléments malicieux.
Exemple des policy Avast! :

Les antivirus : utilisation et fonctionnement

Exemple ci-dessous de fichiers connus des éditeurs d’antivirus avec le taux d’utilisation avec l’antivirus NOD32 :

Les antivirus : utilisation et fonctionnement

et Symantec Norton :

Les antivirus : utilisation et fonctionnement

Les adresses WEB alimentent aussi ces bases de données Cloud.
Ainsi lorsque les laboratoires reçoivent un nouveau fichier, ce dernier est analysé de manière automatique.
Si le malware contacte des adresses WEB spécifiques, celles-ci sont ajoutées en blacklist.
De même les antivirus effectuent du Web Reputation et classifie par thèmes les sites visités pour alimenter leurs contrôle parental.

L’article suivant aborde ces questions : Les données récupérées par les antivirus : télémétrie, documents, URLs visitées

Enfin pensez que les cloud antivirus sont inégaux d’un éditeur à l’autre.
En effet, monter une telle infrastructure demande des ressources importantes, or les budgets des différents éditeurs d’antivirus sont inégaux.

Machine learning

Le nombre de malware étant de plus en plus important, les antivirus ont dû trouver d’autres méthodes que l’analyse humaine.
Pour s’aider, ils utilisent le machine learning.
C’est à dire des mécanismes de reconnaissances et classements effectuées par des programmes ou intelligence artificielles (IA).

Il s’agit de faire tourner le malware dans un environnement virtualisé.
A partir de là on classe le fichier comme sain, malware, logiciel indésirables, etc.
Cela permet aussi de suivre des familles de malwares.

Ci-dessous le machine learning de Microsoft pour Windows Defender.

Machine learning de Windows Defender

Les protections des antivirus

Protection en temps réel

La protection en temps réel est un module important de l’antivirus qui va scanner les fichiers qui vont transiter sur l’ordinateur.

Lors de la copie ou ouverture d’un fichiers la protection en temps réel analyse ces derniers afin de détecter des virus.

Les antivirus : utilisation et fonctionnement

La détection FileRepMalware d’Avast!! correspond au Cloud Antivirus qui se nomme CyberCapture :

Les antivirus : utilisation et fonctionnement

La protection en temps réel va faire de même avec la protection WEB qui va bloquer toute adresse malveillante.
Si l’antivirus détecte une connexion vers adresse connue pour être malveillante alors il va émettre une alerte et bloquer celle-ci.
Deux cas de figure se présentent :

  • Vous surfez et le site sur lequel vous vous connectez contacte une adresse malicieuse
    • soit parce qu’il a été piraté ou une publicité malicieuse tente de rediriger vers un Web Exploit.
    • Une régie publicitaire est blacklistée par l’antivirus. Certaines régies publicitaires sur les sites de streaming illégaux, P2P etc peuvent l’être.

Notez que Google fait un peu la même chose à travers son Google SafeBrowsing.

En outre, le cloud antivirus permet aussi lors des recherches WEB de noter les sites et prévenir si ces derniers sont malicieux et bloquer l’accès des sites malveillants.

Ci-dessous des recherches Google avec les notes sur chaque résultat (coche verte ou étoile verte) :

Les antivirus : utilisation et fonctionnement
Les antivirus : utilisation et fonctionnement
Les antivirus : utilisation et fonctionnement

et une adresse WEB bloquée par Avast! avec la détection URL:MAL

Les antivirus : utilisation et fonctionnement

La protection WEB

Elle bloque l’accès aux sites ou pages malveillantes et fonctionne comme la protection en temps réel.
En effet celle-ci analyse les les sites visitées :

Plus d’informations sur la page : La protection WEB des antivirus

Enfin un exemple de protection WEB dans la vidéo suivante :

Protection Mail

Ce module de protection vise à détecter les emails dangereux, qui la plupart du temps embarquent des pièces jointes malveillantes.
Les virus par email restent toujours actifs et ont repris du poil de la bête depuis fin 2015 avec des campagnes de ransomwares.
Certaines protections mails peuvent aussi incorporer un antispam (souvent dans les suites de sécurité).

Les antivirus : utilisation et fonctionnement

Cela permet donc de protéger l’ordinateur en amont de la réception des mails puisque l’antivirus intercepte les mails malveillant.
Lorsque des emails passent, la protection en temps réel peut bloquer le virus durant la tentative d’ouverture de la pièce jointe vérolée.

Analyse et désinfection

L’analyse

L’analyse antivirus ou scan antivirus consiste à analyser l’ordinateur afin de déceler la présence d’un malware.
Dans le cas de détection positive et nettoyer ce dernier.
L’antivirus va :

  • Analyser les processus en cours d’exécution et leurs dépendances
  • Analyser les éléments qui se chargent au démarrage de Windows comme des Clef Run, Services Windows, etc
  • Les fichiers sur le disque, deux cas se présentent alors :
    • vous avez demandé une analyse complète : tous les fichiers du disque vont être analysés. C’est la plus longue des analyses puisque chaque fichier est passé en revue.
    • vous avez demandé une analyse « intelligente ». On analyse les fichiers des dossiers connue pour contenir des malwares. Par exemple le profil utilisateur, Program files et le dossier Windows.

Exemple des différents type d’analyse antivirus d’Avast! :

Les antivirus : utilisation et fonctionnement

Le scan antivirus s’avère utile à la suite d’une alerte de la protection en temps réel ou en cas de doute afin de contrôler ce dernier.
Pensez aussi qu’un malware peut s’introduire dans l’ordinateur, car pas détecté par l’antivirus au moment de l’attaque.
Nous conseillons d’effectuer une mise à jour de la définition virale avant d’effectuer une analyse complète de l’ordinateur.

Voici un exemple de détection à la suite d’une analyse par Malwarebytes Anti-Malware :

Les antivirus : utilisation et fonctionnement

Désinfection

Les antivirus dans leurs arsenal possèdent des fonctions pour supprimer les malwares.
Ainsi lorsqu’il détecte un malware, plusieurs actions s’offrent à vous :

  • Supprimer le fichier : Cette option est de moins en moins présente pour ne pas poser des problèmes en cas de faux positif.
  • Accès refusé : cette option n’est pas présente sur tous les antivirus, Antivir propose notamment celle-ci. Le fichier malicieux reste à son emplacement d’origine mais l’antivirus empêche son accès.
  • Mise en quarantaine : l’antivirus déplace le fichier dans une zone contrôle par l’antivirus. Ce dernier ne peut plus interagir avec le système et causer des dégâts. Le gros avantage de cette solution est qu’il permet de restaurer le fichier en cas faux positif.
  • Désinfection : Cela vise les « vrai » virus et l’antivirus tente de supprimer le code malveillant de l’exécutable. Si cela fonctionne l’exécutable devient à nouveau sûr. Parfois cela cause des dommages et une corruption de l’exécutable.

Enfin pensez que parfois il est trop tard.
Par exemple un trojan qui vole les mots de passe aura le temps de les transmettre.
Un ransomware qui chiffre les données aura le temps de faire des dégâts.

Certaines menaces sont parfois complexes et l’antivirus ne peut l’éradiquer de l’ordinateur.
Dans ces cas là, les éditeurs d’antivirus proposent des outils de désinfection spécifiques.
Vous pouvez les télécharger depuis les sites de l’éditeur.
Ensuite suivez les instructions afin d’éradiquer ce dernier de l’ordinateur.

Enfin certains éditeurs proposent aussi des outils de désinfection.
Le but est souvent de montrer qu’ils sont efficaces afin de faire acheter l’antivirus.
Par exemple Kaspersky propose l’outil Kaspersky Virus Removal Tool.
La page suivante en parle : Désinfecter Windows avec Kaspersky

Enfin sur le site existe des articles pour supprimer les virus :

La quarantaine

Tous les antivirus offrent un menu Quarantaine qui permet en autre de restaurer un fichier malicieux.
Parfois d’autres options existent comme la possibilité de soumettre le fichier à l’analyse du laboratoire de l’éditeur de l’antivirus.
Dans le cas d’un fichier positif alors vous pouvez placer ce dernier en quarantaine.
Ainsi si vous avez un doute sur la véracité de la menace, vous pouvez envoyer l’échantillon à l’éditeur de sécurité qui vous donnera le statut du fichier.
Si le fichier s’avère sain alors vous pourrez alors restaurer ce dernier.

Pour toutes les interrogations autour de la quarantaine antivirus, lire :

La zone de quarantaine de NOD32 :

Les antivirus : utilisation et fonctionnement

La zone de quarantaine de l’antivirus Avast!

Les antivirus : utilisation et fonctionnement

Les parades des malwares

L’arsenal des antivirus s’élargit mais les malwares ne sont pas en restent.
En effet ces derniers s’adaptent pour passer inaperçu et ainsi infecter les ordinateurs.
Quelques méthodes utilisées pour cela.

Par exemple, l’auteur de malware va gonfler la taille du fichier de manière artificielle.
Au lieu d’avoir un fichier de 4k, ce dernier peut faire 100 Mo.
Le but est simplement que le client antivirus ne remonte pas le fichier au Cloud.
Ainsi aucune analyse par le cloud pour ce dernier.

Les auteurs de malwares cherchent à utiliser des fichiers signés.
Ainsi ces derniers ont plus de chance de passer inaperçu.
En effet, les analyses visent en priorité les fichiers non signés.
Pour bien comprendre, se reporter à la page : Signature numérique des fichiers sur Windows et sécurité

Les pare-feu ou Firewall

Les pare-feu ou firewall anglais sont éléments réseaux qui permettent d’autoriser ou refuser les connexions à partir de règles pré-définies.
Les firewall sont en général présents dans les suite de sécurité antivirus.
Pour plus d’informations sur le fonctionnent et l’importance d’un pare-feu, lire notre dossier : Les pare-feu sur Windows

Choisir son antivirus

La question qui revient souvent lorsqu’il faut choisir quel antivirus acheter et installer : Comment choisir son antivirus et lequel est le meilleurs ?

Pour répondre à cette question, vous pouvez suivre notre article dédié.

Si vous vous posez des questions sur les antivirus gratuits.
Les antivirus gratuits sont-ils efficaces ?
Qu’est-ce que les antivirus gratuits valent ?
Vous pouvez lire notre article sur ces derniers : Les antivirus gratuits.

Liens connexes

Enfin les liens connexes aux antivirus et malwares sur le site.
Vous trouverez beaucoup d’articles avec des explications et conseils pour sécuriser votre PC.

Questions et fonctionnement sur les antivirus de manière plus large :

et le tutoriel pour sécuriser son ordinateur : Comment sécuriser Windows et et Virus : Surveiller Windows.

image_pdfimage_print
(Visité 8 573 fois, 6 visites ce jour)