Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


On-access

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
18.06.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

L'expression "On-access" est utilisée pour désigner le comportement d'un logiciel informatique, généralement de sécurité, tels les antivirus, qui va crocheter une demande d'accès à un fichier, en temps réel, pour l'analyser avant d'en autoriser ou d'en interdire l'ouverture.

Assiste.com : On-access

Dossier : Virus / Antivirus

Dossier : Virus
Dossier : Antivirus
Dossier : Anti-Spywares
Dossier : Filtres anti-phishing
Dossier : Contrôleurs d'intégrité
Dossier : Web Réputation
Soumission aux antivirus (faux positifs...)

Virus
Virus Histoire et historique des virus
Virus Charge utile
Virus de boot
Virus à propagation Web : Ver (Worm)
Virus Macrovirus
Virus Polymorphes (Polymorphisme)
Virus Clones singuliers
Virus Compte-gouttes
Virus dropper
Virus in the Wild
Virus Mac (Apple)
Virus Mesure du risque
Virus Convention de nommage
Virus PebCak

Virus StuxNet - Attaque d'un site isolé d'Internet
Virus Regin - 10 ans d'activité avant d'être découvert

Comparatifs antivirus
Comparatif antivirus Windows
Comparatif antivirus Android
Organismes crédibles de tests et comparatifs
Crédibilité des tests comparatifs antivirus
Comparatif antivirus avec/sans Windows Update
Comparatif anti-phishing / malwares navigateurs

Archives : Comparatifs AV Windows 2013 09
Archives : Comparatifs AV Windows 2013 10
Archives : Comparatifs AV Windows 2013 11
Archives : Comparatifs AV Windows 2013 12
Archives : Comparatifs AV Windows 2014 07
Archives : Comparatifs AV Windows 2014 12
Archives : Comparatifs AV Windows 2015 01
Archives : Comparatifs AV Windows 2015 05
Archives : Comparatifs AV Windows 2015 09
Archives : Rosenthal's Antivirus Test

Les technologies et méthodes des antivirus
Fonctionnement On-demand
Fonctionnement On-access
Fonctionnement On-execution
Technologie Réactive ("Base de signatures")
Technologie Proactive ("Heuristique - Sandbox")
Méthodes d'analyses : Heuristiques
Méthodes d'analyses : Sandboxing

Antivirus génériques
Ad-Aware - (Graves polémiques Ad-Aware)
AdwCleaner
AhnLab
AntiVir (Avira)
   Antiy-AVL
A-Squared (A²)
   Avast!
Avira antivirus Pro
Avira EU Cleaner
Avira Free Antivirus
Avira Internet Security Suite
Avira Removal Tool
   AVG
   Bitdefender Antivirus Plus
   Bitdefender Family Pack
   Bitdefender Antivirus for MAC
   Bitdefender Antivirus for MAC & PC
   Bitdefender Mobile Security
   BitDefender Internet Security
   BitDefender Total Security
BitDefender Quickscan
   Bullguard
ByteHero System Defense Software
   CAT-QuickHeal
   ClamAV
   ClamWin (Open Source, On-demand
   Commtouch
   Comodo antivirus
CounterSpy Anti-spyware
   DAVFI
   DrWeb
   Emsisoft Anti-Malware (EAM)
   eSafe
   eScan
   Eset
   eTrust-Vet
   Fortinet FortiClient
   F-Prot Antivirus
   F-Secure Anti-Virus
   Forticlient (gratuit)
   G Data AntiVirus
   Gyrus cinerea - gratuit et mises à jour gratuite
   Hitman Pro
   Home Network Security Services
   Ikarus
   Immunet (pour Windows, base ClamAV)
   Intego VirusBarrier (pour MAC)
   IOBit Malware Fighter
   Jiangmin
   K7AntiVirus
   Kaspersky Anti-Virus
   Kaspersky Internet Security - KIS
Kaspersky Pure
Malwarebytes Anti-Malware
   McAfee AOL Gratuit
   McAfee LinuxShield
   McAfee Stinger
   McAfee VirusScan
   Metascan Client (OPSWAT)
   Microsoft Removal Tools (MRT)
   Microsoft Security Essentials gratuit
Microsoft Windows Defender gratuit
   NOD32
Norman Virus Control (périmé - N'existe plus)
   Norman Security Suite Pro
   Norton AntiVirus
   nProtect
   Outil de suppression de logs malveillants Microsoft
   Panda Antivirus
   PC Tools une version est gratuite
   PC-cillin Internet Security
   PCSafer internet security version gratuite
   Prevx
   Quick Heal (voir CAT-QuickHeal)
   Rising Antivirus
   Sophos Anti-Virus
Spybot 1.n - Search & Destroy (Spybot S&D)
Spybot 2.n - Search & Destroy (Spybot S&D)
   SUPERAntiSpyware
   Symantec AntiVirus Corporate Edition
   Symantec Client Security SCS
   SpywareBlaster
   TheHacker
TiraniumData Security
   TrendMicro
   TrendMicro-HouseCall
   TrustPort
   VBA32 (VirusBlockAda)
   Viguard
   Vipre
   ViRobot
   VirusBarrier
   VirusBuster
   VirusKeeper
   ZoneAlarm Free Antivirus + Firewall
   ZoneAlarm Internet Security Suite
   ZoneAlarm Extreme Security

Micro-Antivirus gratuits - spécifiques

Dossier : Micro-Antivirus gratuits

Tableau de synthèse
Microsoft - MSRT
McAfee - Stinger
Avira - Removal Tool
Avira - EU-Cleaner
Symantec - Virus Removal Tool
F-Secure - Removal tool
Kaspersky - Removal tool
Kaspersky - TDSSKiller
Kaspersky - Rakhni Decryptor
Kaspersky - Rannoh Decryptor
Kaspersky - Scatter Decryptor
Kaspersky - Xorist Decryptor
Kaspersky - Capper Killer
Kaspersky - Kido Killer
Kaspersky - Fipp Killer
Norton - Power Eraser
AhnLab - Tous les micro-antivirus
Sophos - Virus Removal Tool
GData - Anti-FakeAV
ESET - Stand-alone malware removal tools
ESET - Rogue Application Remover (ERAR) 32
ESET - Rogue Application Remover (ERAR) 64
Etc. ...

Les antivirus gratuits en ligne
Antivirus et multiantivirus - Analyse fichier
Antivirus et multiantivirus - Analyse ordinateur

Ils utilisent un ou des moteurs tiers
Ils utilisent Bitdefender
Ils utilisent un ou des moteurs tiers

Procédures de décontamination
Procédure 1 - Décontamination antivirus
Procédure 2 - Décontamination anti-malwares
Forums d'entraide et de décontamination

Organismes fédérateurs et centralisateurs
WildList
EICAR antivirus test

Supprimer complètement toutes traces d'un antivirus
Comment désinstaller complètement un antivirus

Prévenir plutôt que guérir
Mises à jour périodiques d'un PC sous Windows
Nettoyage périodique d'un PC sous Windows
Protéger navigateur, navigation et vie privée
Bloquer totalement mécanismes publicitaires

On-accessOn-accessOn-access

L'expression " On-access" est utilisée pour désigner l'un des comportements des outils de sécurité, des antivirus, des anti-spywares, des pare-feu, des proxy filtrant, des contrôleurs d'intégrité et autres anti-malwares. Il s'agit de la capacité qu'a l'outil de sécurité informatique d'analyser un objet "à la volée" ("en temps réel", "in real time", "on the fly") au moment même où la manipulation de cet objet est demandée et juste avant que celui-ci ne soit ouvert.

  • Pour les antivirus et antimalwares, il s'agit d'analyser l'objet avec des technologies Réactive (à base de signatures) et/ou Proactive (à base d'analyses comportementales, dites heuristiques, dans une machine virtuelle).
  • Pour les pare-feu ou les proxy il s'agit d'analyser un flux en temps réel.
  • Pour les contrôleurs d'intégrité il s'agit de re-calculer la signature (MD5, SHA-1, SHA-256...) de l'objet et de la comparer à celle de référence.

Ce comportement est le plus important des outils de sécurité. Il s'interpose automatiquement entre une demande d'accès à une ressource, quelque soit le demandeur (système d'exploitation, navigateur Internet, courrielleur, un autre programme, le matériel détectant l'insertion d'un volume externe comme un CD ou une clé USB, l'utilisateur...) et l'ouverture proprement dite de cette ressource (l'ouverture d'un fichier de quelque type qu'il soit, l'ouverture d'une ressource sur le Web, l'ouverture d'un e-mail etc. ...).

L'objet peut donc se camoufler sous toutes les formes qu'il veut dans un ordinateur, il sera bien obligé de se dévoiler en tant qu'objet activé à un moment donné et c'est là que les comportements " On-access " interviennent. " On-access " est donc le contraire de l'autre comportement des logiciels de sécurité, dit " On-demand " (" à la demande ") qui désigne l'analyse faite à la demande, en temps différé, des objets.

  • Les analyses " On-access " peuvent utiliser les trois technologies : Réactive, Proactive, Contrôle d'intégrité, mais c'est généralement l'Analyse Proactive qui est utilisée.
  • Les analyses " On-demand " peuvent utiliser les trois technologies : Réactive, Proactive, Contrôle d'intégrité, mais c'est généralement l'Analyse Réactive qui est utilisée.
  • Les analyses " On-demand " seules ne permettent pas de détecter les nouvelles menaces (leurs signatures ne sont pas encore connues). Ce type d'analyse fait un état des lieux et signale la présence de menaces anciennes, qui ont probablement déjà été ouvertes (exécutées...) et ont, sans doute, déjà accompli leur oeuvre obscure. Un véritable antivirus, au comportement " On-access ", aurait probablement empêché la pénétration de cette menace ou, si elle avait réussi à pénétrer, aurait empêché son ouverture.

Le comportement "On-access" est un comportement en haute priorité et la tâche qui l'assure ne "tourne" pas du tout "en permanence et en arrière plan", ni même au premier plan, mais est inactive (dans un état d'attente) et est sollicitée en temps réel "sur interruption" : les couches (les APIs) de Windows d'appels aux objets (fichiers...) sont crochetées (modifiées par implantation d'un "hook") lors de l'installation d'un antivirus etc. ... et les demandes d'accès, par appel aux APIs, sont détournées - les objets de ces appels sont soumis aux analyses instantanées et les réponses sont passées aux APIs, avec autorisation ou refus d'obtempérer, et le module "On-access" (temps réel) retourne dans son état d'attente. L'utilisateur est alerté, généralement par une fenêtre de type "pop-up" lui donnant plus ou moins d'informations sur la raison du rejet - il peut être demandé à l'utilisateur quelle décision prendre (ouvrir tout de même, mettre en zone de quarantaine pour analyse approfondie ultérieure, détruire l'objet s'il s'agit d'un fichier local etc. ...).

Le comportement "On-access" est l'inverse du comportement "On-demand" dans lequel l'analyse d'un objet (ou d'un ensemble d'objets - un répertoire - ou d'un ordinateur entier) est faite à la demande de l'utilisateur, à un moment quelconque mais pas au moment ou le système d'exploitation va accéder à l'objet pour l'ouvrir. Le comportement "On-demand" est de peu d'intérêt (par exemple : nous disposons d'une collection de milliers de parasites divers sur nos disques actuellement branchés, sans que cela ne gène en quoi que ce soit le fonctionnement de nos machines : une analyse "On-access" serait provoquée si nous demandions l'ouverture de l'un de ces fichiers sinon ils peuvent rester là sans aucune incidence. Seule une analyse "On-demand", balayant la totalité de nos partitions, les découvrirait. Tant qu'ils ne sont pas "ouvert" (installés - activés) ils sont totalement inoffensifs, raison pour laquelle les tests comparatifs "On-demand" n'ont aucune utilité - Voir notre article " Tests et comparatifs antivirus ".

Divers noms ou expressions sont synonymes de "On-access" :

  • On-access
  • A la volée
  • En temps réel
  • Sur accès
  • Bouclier résident
  • On the fly
  • In real time,
  • Real time scanning
  • On-access scanning
  • Resident shield
  • Etc. ...

D'autres noms ou expressions sont parfois utilisés mais avec beaucoup moins de bonheur :
  • BackGround Guard
    Cette expression désigne normalement un fonctionnement "en arrière plan" d'un processus qui "tourne" sans arrêt, c'est-à-dire le fonctionnement en permanence et en basse priorité d'une tâche non "critique" et sans urgence, ce qui est exactement l'inverse du comportement "On-access". Ce comportement peut être rapproché des faux comportement en temps réel de certains outils, comme Spybot Search & Destroy (ancienne version) dont le fameux module présenté comme " temps réel ", appelé "Tea-Timer", est une " tâche de fond " qui tourne sans arrêt, consomme des ressources et détecte à posteriori des modifications, qu'elle signale alors, en demandant s'il faut restaurer la version initiale - la modification ayant bien eu lieu et n'ayant pas été empêchée (il s'agit, en réalité, d'un comportement " On-demand " pré-programmé qui s'exécute automatiquement toutes les 30 secondes ou 2 minutes etc. ... Cela n'a rien à voir avec le réel comportement " On-access ").

    Le module "Tea-Timer" de Spybot Search and Destroy - Un pseudo temps réel qui ne travaille pas du tout "On-access".
    Le fameux module "Tea-Timer" de Spybot Search and Destroy - Un pseudo temps réel qui ne travaille pas du tout "On-access".

  • Auto-protect, autoprotect, auto-protection
    Ces expressions ne doivent désigner que la capacité qu'à un outil d'interdire qu'on le modifie. Cela n'a rien à voir avec la capacité d'analyser un objet tiers. Par exemple, la capture d'écran suivante est celle d'un comportement de type "Auto-protection" :

    On-access - Manifestation d'un dispositif d'auto-protection
    Manifestation d'un dispositif d'auto-protection

    Kaspersky Pure - Paramètres d'auto-protection de cette suite de sécurité
    Kaspersky Pure - Paramètres d'auto-protection de cette suite de sécurité
Voir l'article " On-demand ".

Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?

Beaucoup de comparatifs antivirus sont conduits régulièrement par d'importants sites ou d'importantes revues. Ces tests font immédiatement couler beaucoup d'encre et drainent énormément de visiteurs sur ces sites ou d'acheteurs de ces revues. Mais, mis à part ces capacités à faire parler d'eux, ces test, conduits avec des procédures " On-demand ", ont-ils le moindre intérêt ? Peut-on leur accorder la moindre crédibilité ?
Tests et comparatifs des antivirus

RéférencesRéférences" Références "


RessourcesRessources" Ressources "

Les tests comparatifs "On-demand" sont-ils significatifs ?
On-access
On-demand
Proactive Technology (Détection proactive)
Reactive Technology (Détection réactive)
Crédibilité des tests comparatifs des antivirus
Avfs: An On-Access Anti-Virus File System - (CS Department, Stony Brook University - Août 2004)
Archives Assiste.com : le « Rosenthal's Antivirus Test »

 Requêtes similairesRequêtes similaires" Requêtes similaires "