La protection WEB est un des modules de l’arsenal de protection d’un antivirus.
Comme son nom l’indique elle vise à protéger votre PC des sites web malveillants.
Ainsi elle analyse en permanence les connexions établies pour les filtrer et bloquer les connexions malveillantes.
Elle a donc pour but de bloquer les connexions vers les sites malveillants.
Ces derniers pouvant des aspects différents.
Cette page décrit le fonctionnement de la protection WEB des antivirus qui vise à bloquer les sites et URL malveillantes.
Table des matières
Fonctionnement de la protection WEB des antivirus
La protection WEB des antivirus est un module de protection à part entière qui vise à protéger les PC de sites WEB et connexions WEB malveillantes.
Celle-ci est une utile dans trois cas :
- Bloquer les sites WEB malveillants ou une attaque WEB. Ainsi il s’agit de briser une tentative d’infection du PC : Drive By Download, CryptoJacking, Shopping Skimmer ou encore Clickjacking
- Bloquer la connexion vers un site malveillant. Par exemple, une attaque de phishing ou encore vers un site d’arnaque.
- Empêcher un malware actif d’interagir avec le serveur de contrôle.
Ainsi dans le premier cas, lorsqu’un contenu malveillant est détecté, la menace est alors bloquée.
L’antivirus interrompt la connexion WEB.
Cette interruption est importante pour briser la chaîne d’infection soit et que l’installation du cheval de troie ne soit possible.
Par exemple dans le cas d’une attaque Drive By Download, l’antivirus peut détecter la redirection vers le Web Exploit Kit.
L’antivirus va alors couper la connexion vers ce dernier et émettre une alerte.
Mais la protection WEB ne s’arrête pas là.
En effet, elle vérifie les connexions WEB établies par les processus en cours de fonctionnement.
Ainsi, si un programme malveillant œuvre sur le PC, l’antivirus peut bloquer la connexion vers le serveur de contrôle.
Cela a vraiment beaucoup d’intérêt dans le cas d’un trojan.
En effet, cela peut :
- Bloquer la réception des ordres envoyés par le pirate depuis le serveur de contrôle. Ainsi le trojan devient en partie inactif.
- Bloquer l’envoie de données et donc le vol de données. Dans le cas d’un Trojan qui cherche à voler des informations, cela peut protéger le PC.
- Enfin cela avertit l’utilisateur de la présence d’un programme malveillant sur son PC. Il peut alors tenter de l’éradiquer.
Enfin dans le dernier cas, la protection WEB de l’antivirus peut bloquer malveillante lié à des arnaques ou attaques phishing.
Par exemple, Browlock ou les Arnaque support téléphonique – PC Support.
Pour ce faire la protection WEB de l’antivirus fonctionne de différentes manières :
- L’URL, adresse WEB ou adresse IP est présente dans la liste de noire de l’antivirus. On parle alors de Blacklist.
- L’antivirus analyse le code de la page WEB. Si un code malveillant est présent, il bloque l’accès à celle-ci.
Pour une description et fonctionnement plus générale des antivirus, rendez-vous sur la page : Les antivirus : utilisation et fonctionnement
Exemple avec de protection WEB avec Avast!
Chez Avast!, la détection et infection est : URL:MAL pour URL Malveillante.
La protection WEB analyse aussi le contenu des pages WEB.
Si un code malveillant est détecté, l’antivirus en bloque aussi l’accès. Souvent il s’agit de détection comportant le mot JS pour JavaScript ou HTML pour page HTML comme JS/Redir ou HTML:RedirMe-Inf.
La plupart du temps, il s’agit de script malicieux (Javascript) qui vise à rediriger lors du chargement d’une page, vers du contenu malicieux, essentiellement des attaques Drive By Download et Web Exploit.
Ainsi, si une alerte est émise par l’antivirus, à la visite d’un site WEB, la connexion vers ce dernier est coupée.
Firefox affiche le message “la connexion a été réinitialisée“, Google Chrome lui affiche le message “Ce site est inaccessible“.
Les menaces bloquées par la protection WEB et les notifications :
La protection WEB ne se contente pas de vérifier les connexions des navigateurs WEB mais, bien tous les processus susceptibles de se connecter à un site WEB.
Ainsi, si un Trojan est installé sur l’ordinateur et que l’adresse du serveur de contrôle (voir Comment fonctionnent les trojans), ou un fichier malveillant tente d’être téléchargé, l’antivirus peut bloquer la connexion et émettre une alerte.
Voici par exemple l’antivirus Avast! avec les agents de protection et agents WEB.
De manière générale, pour le filtrage WEB et la protection WEB, vous pouvez aussi lire cette page qui présente quelques outils : Filtrage et protection WEB
Liste noire (Blacklist) VS analyse de contenu de pages WEB
La liste noire (Blacklist) est une base d’adresses malveillantes maintenue par l’éditeur d’antivirus.
Les adresses répertoriées sont connues pour héberger ou distribuées des logiciels malveillants (virus, trojans etc).
La connexion au site sera alors instantanément bloquée.
La protection WEB des antivirus analysent aussi le contenu des pages WEB (le code source), si un script malveillant est détecté, l’antivirus émet une alerte et bloque la connexion.
Cette analyse fonctionnement exactement comme l’analyse de fichiers mais au niveau des pages WEB.
Les détections concernant ces menaces portent en général la mention HTML ou JS – ex : Trojan.Script.Heuristic-JS
Ci-dessous une détection d’un script malicieux HTML:Script-Inf par Avast!
Par exemple, Microsoft peut détecter JS/TechBrolo sur des pages d’arnaques téléphoniques Arnaque support téléphonique – PC Support.
La protection WEB de l’antivirus en vidéo
Exemple de détection antivirus de la protection WEB et explications sur les détections de la protection WEB en vidéo :
Que faire si votre antivirus bloque une page internet ?
Si une page internet a été bloquée, votre ordinateur n’est normalement pas infecté, puisque le contenu malveillant a été bloqué en amont.
Vous pouvez vérifier en effectuant une analyse de l’ordinateur.
Vous pouvez aussi effectuer un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite.
Si une page WEB malveillant est bloquée régulièrement, même le navigateur WEB fermé, il est alors possible qu’un adware ou trojan soit actif sur l’ordinateur.
L’antivirus bloquant les connexions de ce dernier.
Une désinfection de son PC et de Windows est alors à envisager.
Pour obtenir de l’aide personnalisée, vous pouvez aussi créer un sujet sur le forum : VIRUS : Supprimer/Désinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares)
Je rappelle que les navigateurs internet embarquent aussi des modules pour bloquer les pages malveillants.
Ainsi :
- Google Chrome et Mozilla Firefox utilise Google SafeBrowsing
- SmartScreen pour les navigateurs internet Microsoft : Internet Explorer et Microsoft Edge.
Comment protéger son PC des virus et des pirates ?
Enfin pour protéger son PC des virus, vous pouvez suivre les recommandations de notre guide complet.
Liens
- Supprimer les virus et désinfecter son PC
- Quelles protections pour Windows 10 contre les virus ?
- Protéger son PC contre les sites web malveillants
- Windows 10 et la protection contre les virus et attaques informatiques
- Comment vérifier si ordinateur a été hacké ou piraté ?
- Comment protéger et sécuriser ses comptes internet
- Les virus informatiques
- Les tutoriels antivirus
- Quel est le meilleur antivirus pour Windows 10/11 ?
- Les antivirus gratuits : quel est le meilleur ?
- Les antivirus : utilisation et fonctionnement
- Quelles sont les protections des antivirus
- Qu’est-ce que la protection en temps réel des antivirus
- La protection Web antivirus : bloquer les sites malveillants
- Savoir quel antivirus est installé sur mon ordinateur
- Comment supprimer l’antivirus de son PC
- Comment désactiver son antivirus
- Comment bloquer des sites WEB sur Windows
- Windows Defender : le dossier COMPLET