Antivirus

Les logiciels antivirus ou anti-virus (souvent abrégés AV), parfois appelés logiciels anti-programmes malveillants, sont des logiciels informatiques utilisés pour prévenir, détecter et supprimer les logiciels malveillants.

Antivirus logiciel a été développé à l’origine pour détecter et supprimer les virus informatiques, d’où le nom. Cependant, avec la prolifération d’autres types de logiciels malveillants, les logiciels antivirus ont commencé à fournir une protection contre d’autres menaces informatiques. En particulier, les logiciels antivirus modernes peuvent protéger des objets d’aide aux navigateurs malveillants (BHO), des pirates de navigateur, des logiciels de rançon, keyloggers, backdoors, rootkits, chevaux de Troie, vers, LSP malveillants, composeurs, outils frauduleux, adware et logiciels espions. Certains produits comprennent également la protection contre d’autres menaces informatiques, telles que les URL infectées et malveillantes, le spam, les attaques frauduleuses et de phishing, l’identité en ligne (vie privée), les attaques bancaires en ligne, les techniques d’ingénierie sociale, les menaces persistantes avancées (APT) et les attaques DDoS botnet.

Téléchargement gratuit des meilleurs programmes antivirus

Un programme de test pour Windows

Environnement de poche pour les systèmes d'exploitation Windows

Contrôlez tous les processus actifs sur votre ordinateur

Chasseur léger de faux antivirus, logiciels espions et chevaux de Troie

Protégez votre ordinateur dès le début

Appliquer des astuces d'expert

Un protecteur de sécurité pour protéger vos ports USB

Antivirus bootable à partir de Microsoft CD et USB

Un antivirus chinois efficace, léger et gratuit

Serveur e-mail, fax, web, proxy et pare-feu intégré

Méthodes d'identification

L'un des rares résultats théoriques solides dans l'étude des virus informatiques est la démonstration de Frederick B. Cohen en 1987 qu'il n'existe aucun algorithme capable de détecter parfaitement tous les virus possibles. Cependant, en utilisant différentes couches de défense, un bon taux de détection peut être atteint. Il existe plusieurs méthodes que le moteur antivirus peut utiliser pour identifier les logiciels malveillants:
  • Détection du bac à sable: est une technique de détection comportementale particulière qui, au lieu de détecter l'empreinte digitale comportementale au moment de l'exécution, exécute les programmes dans un environnement virtuel en enregistrant les actions exécutées par le programme. Selon les actions enregistrées, le moteur antivirus peut déterminer si le programme est malveillant ou non. Sinon, le programme est exécuté dans l'environnement réel. Bien que cette technique se soit avérée très efficace, en raison de sa lourdeur et de sa lenteur, elle est rarement utilisée dans les solutions antivirus destinées aux utilisateurs finaux.
  • Techniques d'exploration de données: sont une des dernières approches appliquées à la détection de malwares. Les algorithmes d'exploration de données et d'apprentissage machine sont utilisés pour essayer de classifier le comportement d'un fichier (malveillant ou bénin) en fonction d'une série de caractéristiques de fichier extraites du fichier lui-même.

Détection par signature

Les logiciels antivirus traditionnels s'appuient largement sur les signatures pour identifier les logiciels malveillants. Fondamentalement, lorsqu'un logiciel malveillant arrive entre les mains d'une entreprise antivirus, il est analysé par des chercheurs ou par des systèmes d'analyse dynamique. Ensuite, une fois qu'il a été déterminé qu'il s'agit d'un logiciel malveillant, une signature correcte du fichier est extraite et ajoutée à la base de signatures du logiciel antivirus. Bien que l'approche basée sur les signatures puisse effectivement contenir les éclosions de malwares, les auteurs de malwares ont essayé de garder une longueur d'avance sur ces logiciels en écrivant des virus "oligomorphes","polymorphes" et, plus récemment,"métamorphes", qui cryptent des parties d'eux-mêmes ou se modifient par ailleurs comme méthode de déguisement, de manière à ne pas correspondre aux signatures de virus dans le dictionnaire.

Heuristique

Beaucoup de virus commencent par une seule infection et, par le biais de mutations ou de raffinements par d'autres agresseurs, peuvent se développer en douzaines de souches légèrement différentes, appelées variantes. La détection générique désigne la détection et la suppression de menaces multiples à l'aide d'une seule définition de virus. Par exemple, le cheval de Troie Vundo a plusieurs membres de la famille, selon la classification du fournisseur d'antivirus. Symantec classe les membres de la famille Vundo en deux catégories distinctes, Trojan. Vundo et Trojan. Vundo. B. Bien qu'il puisse être avantageux d'identifier un virus spécifique, il peut être plus rapide de détecter une famille de virus au moyen d'une signature générique ou d'une correspondance inexacte avec une signature existante. Les chercheurs en recherche de virus trouvent des zones communes que tous les virus d'une famille partagent de façon unique et peuvent ainsi créer une signature générique unique. Ces signatures contiennent souvent du code non contigu, en utilisant des caractères génériques là où il y a des différences. Ces caractères génériques permettent au scanner de détecter les virus même s'ils sont remplis de code supplémentaire sans signification. Une détection qui utilise cette méthode est dite "détection heuristique".

Détection de rootkit

Les logiciels antivirus peuvent tenter de détecter les rootkits. Un rootkit est un type de programme malveillant conçu pour obtenir un contrôle de niveau administratif sur un système informatique sans être détecté. Les rootkits peuvent modifier le fonctionnement du système d'exploitation et, dans certains cas, altérer le programme antivirus et le rendre inefficace. Les rootkits sont également difficiles à enlever, nécessitant dans certains cas une réinstallation complète du système d'exploitation.

Protection en temps réel

La protection en temps réel, l'analyse à l'accès, la protection d'arrière-plan, le bouclier résident, la protection automatique et d'autres synonymes font référence à la protection automatique fournie par la plupart des programmes antivirus, anti-logiciels espions et autres programmes anti logiciels malveillants. Il surveille les systèmes informatiques pour détecter des activités suspectes telles que les virus informatiques, les logiciels espions, les logiciels publicitaires et autres objets malveillants en "temps réel", c'est-à-dire lorsque les données sont chargées dans la mémoire active de l'ordinateur: lors de l'insertion d'un CD, de l'ouverture d'un courriel ou de la navigation sur le Web, ou lorsqu'un fichier déjà présent sur l'ordinateur est ouvert ou exécuté.

Questions préoccupantes

Coûts de renouvellement imprévus

Certains contrats de licence d'utilisateur final de logiciels antivirus commerciaux comportent une clause stipulant que l'abonnement sera automatiquement renouvelé et que la carte de crédit de l'acheteur sera automatiquement facturée au moment du renouvellement sans autorisation explicite. Par exemple, McAfee exige que les utilisateurs se désabonnent au moins 60 jours avant l'expiration du présent abonnement tandis que BitDefender envoie des notifications pour se désabonner 30 jours avant le renouvellement. Norton AntiVirus renouvelle également les abonnements automatiquement par défaut.

Applications de sécurité Rogue

Article principal: Logiciel de sécurité Rogue Certains programmes antivirus apparents sont en fait des logiciels malveillants se faisant passer pour des logiciels légitimes, tels que WinFixer, MS Antivirus et Mac Defender.

Problèmes causés par de faux positifs

Un " faux positif " ou une " fausse alarme " est un logiciel antivirus qui identifie un fichier non malveillant comme un programme malveillant. Lorsque cela se produit, cela peut causer de graves problèmes. Par exemple, si un programme antivirus est configuré pour supprimer ou mettre immédiatement en quarantaine des fichiers infectés, comme c'est commun sur les applications antivirus Microsoft Windows, un faux positif dans un fichier essentiel peut rendre le système d'exploitation Windows ou certaines applications inutilisables. La réparation de tels dommages à l'infrastructure logicielle critique entraîne des coûts de soutien technique et les entreprises peuvent être forcées de fermer leurs portes pendant que des mesures correctives sont prises. Par exemple, en mai 2007, une signature de virus erronée émise par Symantec a supprimé par erreur des fichiers essentiels du système d'exploitation, ce qui a empêché des milliers d'ordinateurs de démarrer. Toujours en mai 2007, le fichier exécutable requis par Pegasus Mail sur Windows a été faussement détecté par Norton AntiVirus comme étant un cheval de Troie et il a été automatiquement supprimé, empêchant Pegasus Mail de fonctionner. Norton AntiVirus avait faussement identifié trois versions de Pegasus Mail comme malware, et supprimerait le fichier d'installation de Pegasus Mail lorsque cela se produisait. En réponse à cela, Pegasus Mail a déclaré:
Sur la base du fait que Norton/Symantec l' a fait pour chacune des trois dernières versions de Pegasus Mail, nous ne pouvons que condamner ce produit comme trop imparfait pour être utilisé, et recommander dans les termes les plus forts que nos utilisateurs cessent de l'utiliser en faveur de paquets anti-virus alternatifs, moins bogués.
En avril 2010, McAfee VirusScan a détecté svchost. exe, un binaire Windows normal, comme un virus sur les machines fonctionnant sous Windows XP avec Service Pack 3, provoquant une boucle de redémarrage et la perte de tout accès réseau. En décembre 2010, une mise à jour erronée de la suite antivirus AVG a endommagé les versions 64 bits de Windows 7, ce qui l' a rendu impossible à démarrer, en raison d'une boucle de démarrage sans fin créée. En octobre 2011, Microsoft Security Essentials (MSE) a supprimé le navigateur Web Google Chrome, concurrent d'Internet Explorer de Microsoft. MSE a signalé Chrome comme un cheval de Troie bancaire Zbot. En septembre 2012, la suite anti-virus de Sophos a identifié divers mécanismes de mise à jour, dont le sien, comme des logiciels malveillants. S'il était configuré pour supprimer automatiquement les fichiers détectés, Sophos Antivirus pouvait se rendre incapable de mettre à jour, nécessitant une intervention manuelle pour résoudre le problème. En septembre 2017, l'anti-virus Google Play Protect a commencé à identifier l'application Bluetooth G4 de Motorola comme un malware, ce qui a désactivé la fonctionnalité Bluetooth.

Questions liées au système et à l'interopérabilité

L'exécution simultanée de plusieurs programmes antivirus (protection en temps réel) peut dégrader les performances et créer des conflits. Cependant, à l'aide d'un concept appelé multiscanning, plusieurs sociétés (dont G Data Software et Microsoft) ont créé des applications capables d'exécuter plusieurs moteurs simultanément. Il est parfois nécessaire de désactiver temporairement la protection antivirus lors de l'installation de mises à jour majeures telles que les Service Packs Windows ou la mise à jour des pilotes de cartes graphiques. Une protection antivirus active peut empêcher partiellement ou complètement l'installation d'une mise à jour majeure. Un logiciel antivirus peut causer des problèmes lors de l'installation d'une mise à niveau du système d'exploitation, par exemple lors de la mise à niveau vers une version plus récente de Windows "en place" - sans effacer la version précédente de Windows. Microsoft recommande de désactiver les logiciels antivirus pour éviter les conflits avec le processus d'installation de la mise à niveau. La fonctionnalité de quelques programmes informatiques peut être entravée par un logiciel antivirus actif. Par exemple, TrueCrypt, un programme de chiffrement de disque, indique sur sa page de dépannage que les programmes anti-virus peuvent entrer en conflit avec TrueCrypt et provoquer un dysfonctionnement ou un fonctionnement très lent. Les logiciels antivirus peuvent nuire aux performances et à la stabilité des jeux fonctionnant sur la plate-forme Steam. L'interopérabilité des applications antivirus avec des solutions courantes comme les solutions d'accès à distance SSL VPN et les produits de contrôle d'accès au réseau pose également des problèmes de prise en charge. Ces solutions technologiques ont souvent des applications d'évaluation de politiques qui nécessitent l'installation et l'exécution d'un antivirus à jour. Si l'application antivirus n'est pas reconnue par l'évaluation des stratégies, que ce soit parce que l'application antivirus a été mise à jour ou parce qu'elle ne fait pas partie de la bibliothèque d'évaluation des stratégies, l'utilisateur ne pourra pas se connecter.

Efficacité

Des études menées en décembre 2007 ont montré que l'efficacité des logiciels antivirus avait diminué au cours de l'année précédente, en particulier contre les attaques inconnues ou de jour zéro. Le magazine informatique n' a pas constaté que le taux de détection de ces menaces est passé de 40 à 50 % en 2006 à 20 à 30 % en 2007. A cette époque, la seule exception était l'antivirus NOD32, qui gérait un taux de détection de 68%. Selon le site Web du tracker ZeuS, le taux de détection moyen pour toutes les variantes du célèbre cheval de Troie ZeuS est aussi bas que 40%. Le problème est amplifié par l'intention changeante des auteurs de virus. Il y a quelques années, il était évident qu'il y avait une infection virale. Les virus du jour, écrits par des amateurs, affichaient un comportement destructeur ou des pop-ups. Les virus modernes sont souvent écrits par des professionnels, financés par des organisations criminelles. En 2008, Eva Chen, PDG de Trend Micro, a déclaré que l'industrie de l'anti-virus a surestimé l'efficacité de ses produits - et donc induit en erreur les clients - depuis des années. Des tests indépendants effectués sur tous les principaux analyseurs de virus montrent systématiquement qu'aucun ne permet une détection à 100 % des virus. Les meilleurs ont fourni jusqu' à 99,9 % de détection dans des situations simulées en situation réelle, tandis que les plus faibles ont fourni 91,1 % dans des essais réalisés en août 2013. De nombreux analyseurs de virus produisent également des résultats faussement positifs, identifiant les fichiers bénins comme des logiciels malveillants. Bien que les méthodologies puissent différer, certaines agences de contrôle de la qualité indépendantes comprennent AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST et d'autres membres de l'Anti-Malware Testing Standards Organization.

Nouveaux virus

Les programmes antivirus ne sont pas toujours efficaces contre les nouveaux virus, même ceux qui utilisent des méthodes non basées sur les signatures et qui devraient détecter de nouveaux virus. La raison en est que les concepteurs de virus testent leurs nouveaux virus sur les principales applications antivirus pour s'assurer qu'ils ne sont pas détectés avant de les relâcher dans la nature. Certains nouveaux virus, en particulier les logiciels de rançon, utilisent du code polymorphe pour éviter la détection par les scanners de virus. Jérôme Segura, analyste de sécurité chez ParetoLogic, a expliqué:
C'est quelque chose qu'ils manquent beaucoup de temps parce que ce type de [virusransomware] vient de sites qui utilisent un polymorphisme, ce qui signifie qu'ils randomisent le fichier qu'ils vous envoient et il obtient par des produits antivirus bien connus très facilement. J'ai vu des gens de première main être infectés, avoir toutes les fenêtres pop-up et pourtant, ils ont un logiciel antivirus en cours d'exécution et il ne détecte rien. En fait, il peut être assez difficile de s'en débarrasser, et on n'est jamais vraiment sûr qu'il soit vraiment parti. Lorsque nous voyons quelque chose comme cela, nous conseillons généralement de réinstaller le système d'exploitation ou de réinstaller des sauvegardes.
Un virus de validation de principe a utilisé l'unité de traitement graphique (GPU) pour éviter la détection des logiciels antivirus. Le succès potentiel de ce processus passe par le contournement du CPU, ce qui rend beaucoup plus difficile pour les chercheurs en sécurité d'analyser le fonctionnement interne de ces logiciels malveillants.

Rootkits

La détection des rootkits est un défi majeur pour les programmes antivirus. Les rootkits ont un accès administratif complet à l'ordinateur et sont invisibles pour les utilisateurs et cachés de la liste des processus en cours dans le gestionnaire de tâches. Les rootkits peuvent modifier le fonctionnement interne du système d'exploitation et altérer les programmes antivirus.

Fichiers endommagés

Si un fichier a été infecté par un virus informatique, un logiciel antivirus tentera de supprimer le code du fichier pendant la désinfection, mais il n'est pas toujours en mesure de restaurer le fichier à son état intact. Dans de telles circonstances, les fichiers endommagés ne peuvent être restaurés qu' à partir de sauvegardes existantes ou de copies fantômes (c'est également le cas pour les programmes de rançon); les logiciels installés qui sont endommagés doivent être réinstallés (voir System File Checker).

Problèmes de firmware

Un logiciel antivirus actif peut interférer avec le processus de mise à jour d'un firmware. Tout microprogramme inscriptible dans l'ordinateur peut être infecté par du code malveillant. C'est une préoccupation majeure, car un BIOS infecté pourrait nécessiter le remplacement de la puce du BIOS pour s'assurer que le code malveillant est complètement supprimé. Le logiciel antivirus n'est pas efficace pour protéger le micrologiciel et le BIOS de la carte mère contre les infections. En 2014, des chercheurs en matière de sécurité ont découvert que les périphériques USB contiennent des microprogrammes inscriptibles qui peuvent être modifiés à l'aide de codes malveillants (appelés "BadUSB"), que les logiciels antivirus ne peuvent pas détecter ou prévenir. Le code malveillant peut s'exécuter sans être détecté sur l'ordinateur et peut même infecter le système d'exploitation avant qu'il ne démarre.

Performances et autres inconvénients

Le logiciel antivirus a quelques inconvénients, dont le premier est qu'il peut affecter les performances d'un ordinateur. De plus, les utilisateurs inexpérimentés peuvent se laisser bercer par un faux sentiment de sécurité lorsqu'ils utilisent l'ordinateur, se considérant comme invulnérables, et peuvent avoir de la difficulté à comprendre les messages et les décisions que les logiciels antivirus leur présentent. Une décision incorrecte peut entraîner une atteinte à la sécurité. Si le logiciel antivirus utilise la détection heuristique, il doit être affiné pour minimiser les erreurs d'identification des logiciels inoffensifs comme malveillants (faux positifs). Le logiciel antivirus lui-même fonctionne généralement au niveau du noyau hautement fiable du système d'exploitation pour lui permettre d'accéder à tous les processus et fichiers potentiellement malveillants, créant ainsi une possibilité d'attaque. Les agences de renseignements britanniques et américaines, le GCHQ et la National Security Agency (NSA), respectivement, exploitent des logiciels antivirus pour espionner les utilisateurs. Les logiciels antivirus ont un accès hautement privilégié et fiable au système d'exploitation sous-jacent, ce qui en fait une cible beaucoup plus attrayante pour les attaques à distance. De plus, les logiciels antivirus sont " des années derrière des applications clientes soucieuses de sécurité comme les navigateurs ou les lecteurs de documents ", selon Joxean Koret, chercheur chez Coseinc, une société de conseil en sécurité de l'information basée à Singapour.

Solutions alternatives

Les solutions antivirus installées, fonctionnant sur des ordinateurs individuels, bien que les plus utilisées, ne constituent qu'une seule méthode de protection contre les logiciels malveillants. D'autres solutions alternatives sont également utilisées, notamment: Unified Threat Management (UTM), pare-feu matériel et réseau, antivirus basé sur le Cloud et analyseurs en ligne.

Matériel et pare-feu réseau

Les pare-feu réseau empêchent les programmes et processus inconnus d'accéder au système. Cependant, ils ne sont pas des systèmes antivirus et ne font aucune tentative pour identifier ou supprimer quoi que ce soit. Ils peuvent protéger contre les infections provenant de l'extérieur de l'ordinateur ou du réseau protégé et limiter l'activité de tout logiciel malveillant présent en bloquant les requêtes entrantes ou sortantes sur certains ports TCP/IP. Un pare-feu est conçu pour faire face aux menaces systémiques plus larges qui proviennent des connexions réseau dans le système et n'est pas une alternative à un système de protection antivirus.

Antivirus cloud

Cloud antivirus est une technologie qui utilise un logiciel agent léger sur l'ordinateur protégé, tout en déchargeant la majeure partie de l'analyse des données sur l'infrastructure du fournisseur. L'une des approches de la mise en œuvre de l'antivirus cloud consiste à analyser les fichiers suspects à l'aide de plusieurs moteurs antivirus. Cette approche a été proposée par une implémentation précoce du concept d'antivirus cloud appelé CloudAV. CloudAV a été conçu pour envoyer des programmes ou des documents à un nuage réseau où plusieurs programmes antivirus et de détection comportementale sont utilisés simultanément afin d'améliorer les taux de détection. L'analyse parallèle des fichiers à l'aide d'analyseurs antivirus potentiellement incompatibles est réalisée en générant une machine virtuelle par moteur de détection et éliminant ainsi tout problème éventuel. CloudAV peut également effectuer une " détection rétrospective ", ce qui permet au moteur de détection des nuages de numériser tous les fichiers de son historique d'accès aux fichiers lorsqu'une nouvelle menace est identifiée. Enfin, le CloudAV est une solution pour l'analyse antivirus efficace sur les appareils qui n'ont pas la puissance de calcul nécessaire pour effectuer les analyses eux-mêmes. Quelques exemples de produits d'anti-virus cloud sont Panda Cloud Antivirus, Crowdstrike, Cb Defense et Immunet. Comodo group a également produit un anti-virus basé sur le cloud.

Balayage en ligne

Certains vendeurs d'antivirus maintiennent des sites Web avec la capacité d'analyse en ligne gratuite de l'ordinateur tout entier, des zones critiques seulement, des disques locaux, des dossiers ou des fichiers. L'analyse périodique en ligne est une bonne idée pour ceux qui exécutent des applications antivirus sur leurs ordinateurs parce que ces applications sont souvent lentes à détecter les menaces. L'une des premières choses que les logiciels malveillants font lors d'une attaque est de désactiver tout logiciel antivirus existant et parfois la seule façon de savoir si une attaque a été commise est de se tourner vers une ressource en ligne qui n'est pas installée sur l'ordinateur infecté.

Outils spécialisés

Des outils d'élimination des virus sont disponibles pour aider à éliminer les infections tenaces ou certains types d'infections. Exemples: Rootkit Buster de Trend Micro et rkhunter pour la détection des rootkits, AntiVir Removal Tool d'Avira, PCTools Threat Removal Tool et Anti-Virus Free 2011 d'AVG. Un disque de secours amorçable, tel qu'un CD ou un périphérique de stockage USB, peut être utilisé pour exécuter un logiciel antivirus en dehors du système d'exploitation installé, afin de supprimer les infections pendant qu'elles sont inactives. Un disque antivirus amorçable peut être utile lorsque, par exemple, le système d'exploitation installé n'est plus amorçable ou a des logiciels malveillants qui résistent à toutes les tentatives d'être supprimés par le logiciel antivirus installé. Parmi les exemples de ces disques amorçables, citons le système de secours Avira AntiVir, le scanner PCTools Alternate Operating System Scanner et le CD AVG Rescue. Le logiciel AVG Rescue CD peut également être installé sur un périphérique de stockage USB, qui peut être démarré sur les ordinateurs récents.

Utilisation et risques

Selon une enquête du FBI, les grandes entreprises perdent 12 millions de dollars par année en cas d'incident viral. Une enquête menée par Symantec en 2009 a révélé qu'un tiers des petites et moyennes entreprises n'utilisaient pas de protection antivirus à ce moment-là, alors que plus de 80 % des utilisateurs à domicile avaient installé une sorte d'antivirus. Selon une enquête sociologique menée par G Data Software en 2010,49% des femmes n'utilisaient aucun programme antivirus.
Nettoyage PC