Menu Fermer

La protection Web antivirus : bloquer les sites malveillants

Cette entrée fait partie d'une série de 3 sur 12 dans la série Les antivirus : le dossier complet

La protection WEB est un des modules de l’arsenal de protection d’un antivirus.
Comme son nom l’indique elle vise à protéger votre PC des sites web malveillants.

Ainsi elle analyse en permanence les connexions établies pour les filtrer et bloquer les connexions malveillantes.
Elle a donc pour but de bloquer les connexions vers les sites malveillants.
Ces derniers pouvant des aspects différents.

Cette page décrit le fonctionnement de la protection WEB des antivirus qui vise à bloquer les sites et URL malveillantes.

La protection Web antivirus : bloquer les sites malveillants

Fonctionnement de la protection WEB des antivirus

La protection WEB des antivirus est un module de protection à part entière qui vise à protéger les PC de sites WEB et connexions WEB malveillantes.

Celle-ci est une utile dans trois cas :

Cette protection ne s’applique qu’au connexion WEB, comprenez les connexions vers des sites WEB. Soit donc les URLs contactées et le contenu des pages WEB. Pour toutes les autres connexion (adresse IP, ports), c’est le rôle du pare-feu ou firewall

Ainsi dans le premier cas, lorsqu’un contenu malveillant est détecté, la menace est alors bloquée.
L’antivirus interrompt la connexion WEB.
Cette interruption est importante pour briser la chaîne d’infection soit et que l’installation du cheval de troie ne soit possible.
Par exemple dans le cas d’une attaque Drive By Download, l’antivirus peut détecter la redirection vers le Web Exploit Kit.
L’antivirus va alors couper la connexion vers ce dernier et émettre une alerte.

Mais la protection WEB ne s’arrête pas là.
En effet, elle vérifie les connexions WEB établies par les processus en cours de fonctionnement.
Ainsi, si un programme malveillant œuvre sur le PC, l’antivirus peut bloquer la connexion vers le serveur de contrôle.
Cela a vraiment beaucoup d’intérêt dans le cas d’un trojan.
En effet, cela peut :

  • Bloquer la réception des ordres envoyés par le pirate depuis le serveur de contrôle. Ainsi le trojan devient en partie inactif.
  • Bloquer l’envoie de données et donc le vol de données. Dans le cas d’un Trojan qui cherche à voler des informations, cela peut protéger le PC.
  • Enfin cela avertit l’utilisateur de la présence d’un programme malveillant sur son PC. Il peut alors tenter de l’éradiquer.

Enfin dans le dernier cas, la protection WEB de l’antivirus peut bloquer malveillante lié à des arnaques ou attaques phishing.
Par exemple, Browlock ou les Arnaque support téléphonique – PC Support.

Pour ce faire la protection WEB de l’antivirus fonctionne de différentes manières :

  • L’URL, adresse WEB ou adresse IP est présente dans la liste de noire de l’antivirus. On parle alors de Blacklist.
  • L’antivirus analyse le code de la page WEB. Si un code malveillant est présent, il bloque l’accès à celle-ci.
On peut donc voir la protection WEB de l’antivirus comme une protection en temps réel mais au niveau des connexions WEB.
Pour une description et fonctionnement plus générale des antivirus, rendez-vous sur la page : Les antivirus : utilisation et fonctionnement

Exemple avec de protection WEB avec Avast!

Chez Avast!, la détection et infection est : URL:MAL pour URL Malveillante.

Détection URL:Mal par l'agent WEB d'Avast!

La protection WEB analyse aussi le contenu des pages WEB.
Si un code malveillant est détecté, l’antivirus en bloque aussi l’accès. Souvent il s’agit de détection comportant le mot JS pour JavaScript ou HTML pour page HTML comme JS/Redir ou HTML:RedirMe-Inf.

La plupart du temps, il s’agit de script malicieux (Javascript) qui vise à rediriger lors du chargement d’une page, vers du contenu malicieux, essentiellement des attaques Drive By Download et Web Exploit.

La protection WEB d'Avast! bloque un contenu malveillant

Ainsi, si une alerte est émise par l’antivirus, à la visite d’un site WEB, la connexion vers ce dernier est coupée.
Firefox affiche le message “la connexion a été réinitialisée“, Google Chrome lui affiche le message “Ce site est inaccessible“.

La protection WEB de l'antivirus bloque l'accès à un site malveillant
La protection WEB de l'antivirus bloque l'accès à un site malveillant

Les menaces bloquées par la protection WEB et les notifications :

La protection WEB de l'antivirus bloque l'accès à un site malveillant

La protection WEB ne se contente pas de vérifier les connexions des navigateurs WEB mais, bien tous les processus susceptibles de se connecter à un site WEB.
Ainsi, si un Trojan est installé sur l’ordinateur et que l’adresse du serveur de contrôle (voir Comment fonctionnent les trojans), ou un fichier malveillant tente d’être téléchargé, l’antivirus peut bloquer la connexion et émettre une alerte.

Voici par exemple l’antivirus Avast! avec les agents de protection et agents WEB.

La protection WEB de l'antivirus bloque l'accès à un site malveillant

De manière générale, pour le filtrage WEB et la protection WEB, vous pouvez aussi lire cette page qui présente quelques outils : Filtrage et protection WEB

Liste noire (Blacklist) VS analyse de contenu de pages WEB

La liste noire (Blacklist) est une base d’adresses malveillantes maintenue par l’éditeur d’antivirus.
Les adresses répertoriées sont connues pour héberger ou distribuées des logiciels malveillants (virus, trojans etc).
La connexion au site sera alors instantanément bloquée.

La protection WEB des antivirus analysent aussi le contenu des pages WEB (le code source), si un script malveillant est détecté, l’antivirus émet une alerte et bloque la connexion.
Cette analyse fonctionnement exactement comme l’analyse de fichiers mais au niveau des pages WEB.
Les détections concernant ces menaces portent en général la mention HTML ou JS – ex : Trojan.Script.Heuristic-JS
Ci-dessous une détection d’un script malicieux HTML:Script-Inf par Avast!

Menace bloquée par la protection WEB d'Avast! dans Firefox

Par exemple, Microsoft peut détecter JS/TechBrolo sur des pages d’arnaques téléphoniques Arnaque support téléphonique – PC Support.

Toutefois, les listes noires ont des limites et les pirates les contournent assez facilement. On en parle dans cet article : La limite des listes noires dans la protection contre les virus

La protection WEB de l’antivirus en vidéo

Exemple de détection antivirus de la protection WEB et explications sur les détections de la protection WEB en vidéo :

Que faire si votre antivirus bloque une page internet ?

Si une page internet a été bloquée, votre ordinateur n’est normalement pas infecté, puisque le contenu malveillant a été bloqué en amont.
Vous pouvez vérifier en effectuant une analyse de l’ordinateur.
Vous pouvez aussi effectuer un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite.

Si une page WEB malveillant est bloquée régulièrement, même le navigateur WEB fermé, il est alors possible qu’un adware ou trojan soit actif sur l’ordinateur.
L’antivirus bloquant les connexions de ce dernier.

Une désinfection de son PC et de Windows est alors à envisager.

Pour obtenir de l’aide personnalisée, vous pouvez aussi créer un sujet sur le forum : VIRUS : Supprimer/Désinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares)

Les protections WEB des navigateurs internet

Je rappelle que les navigateurs internet embarquent aussi des modules pour bloquer les pages malveillants.
Ainsi :

Les protections WEB des navigateurs internet pour bloquer les sites malveillants

Comment protéger son PC des virus et des pirates ?

Enfin pour protéger son PC des virus, vous pouvez suivre les recommandations de notre guide complet.