Flux RSS
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

On-access

Dernière mise à jour : 2017-07-27T14:58 - 27.07.2017
18.06.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

L'expression "On-access" est utilisée pour désigner le comportement d'un logiciel informatique, généralement de sécurité, tels les antivirus, qui va crocheter une demande d'accès à un fichier, en temps réel, pour l'analyser avant d'en autoriser ou d'en interdire l'ouverture.

On-accessOn-accessOn-access

L'expression " On-access" est utilisée pour désigner l'un des comportements des outils de sécurité, des antivirus, des anti-spywares, des pare-feu, des proxy filtrant, des contrôleurs d'intégrité et autres anti-malwares. Il s'agit de la capacité qu'a l'outil de sécurité informatique d'analyser un objet "à la volée" ("en temps réel", "in real time", "on the fly") au moment même où la manipulation de cet objet est demandée et juste avant que celui-ci ne soit ouvert.

  • Pour les antivirus et antimalwares, il s'agit d'analyser l'objet avec des technologies Réactive (à base de signatures) et/ou Proactive (à base d'analyses comportementales, dites heuristiques, dans une machine virtuelle).
  • Pour les pare-feu ou les proxy il s'agit d'analyser un flux en temps réel.
  • Pour les contrôleurs d'intégrité il s'agit de re-calculer la signature (MD5, SHA-1, SHA-256...) de l'objet et de la comparer à celle de référence.

Ce comportement est le plus important des outils de sécurité. Il s'interpose automatiquement entre une demande d'accès à une ressource, quelque soit le demandeur (système d'exploitation, navigateur Internet, courrielleur, un autre programme, le matériel détectant l'insertion d'un volume externe comme un CD ou une clé USB, l'utilisateur...) et l'ouverture proprement dite de cette ressource (l'ouverture d'un fichier de quelque type qu'il soit, l'ouverture d'une ressource sur le Web, l'ouverture d'un e-mail etc. ...).

L'objet peut donc se camoufler sous toutes les formes qu'il veut dans un ordinateur, il sera bien obligé de se dévoiler en tant qu'objet activé à un moment donné et c'est là que les comportements " On-access " interviennent. " On-access " est donc le contraire de l'autre comportement des logiciels de sécurité, dit " On-demand " (" à la demande ") qui désigne l'analyse faite à la demande, en temps différé, des objets.

  • Les analyses " On-access " peuvent utiliser les trois technologies : Réactive, Proactive, Contrôle d'intégrité, mais c'est généralement l'Analyse Proactive qui est utilisée.
  • Les analyses " On-demand " peuvent utiliser les trois technologies : Réactive, Proactive, Contrôle d'intégrité, mais c'est généralement l'Analyse Réactive qui est utilisée.
  • Les analyses " On-demand " seules ne permettent pas de détecter les nouvelles menaces (leurs signatures ne sont pas encore connues). Ce type d'analyse fait un état des lieux et signale la présence de menaces anciennes, qui ont probablement déjà été ouvertes (exécutées...) et ont, sans doute, déjà accompli leur oeuvre obscure. Un véritable antivirus, au comportement " On-access ", aurait probablement empêché la pénétration de cette menace ou, si elle avait réussi à pénétrer, aurait empêché son ouverture.

Le comportement "On-access" est un comportement en haute priorité et la tâche qui l'assure ne "tourne" pas du tout "en permanence et en arrière plan", ni même au premier plan, mais est inactive (dans un état d'attente) et est sollicitée en temps réel "sur interruption" : les couches (les APIs) de Windows d'appels aux objets (fichiers...) sont crochetées (modifiées par implantation d'un "hook") lors de l'installation d'un antivirus etc. ... et les demandes d'accès, par appel aux APIs, sont détournées - les objets de ces appels sont soumis aux analyses instantanées et les réponses sont passées aux APIs, avec autorisation ou refus d'obtempérer, et le module "On-access" (temps réel) retourne dans son état d'attente. L'utilisateur est alerté, généralement par une fenêtre de type "pop-up" lui donnant plus ou moins d'informations sur la raison du rejet - il peut être demandé à l'utilisateur quelle décision prendre (ouvrir tout de même, mettre en zone de quarantaine pour analyse approfondie ultérieure, détruire l'objet s'il s'agit d'un fichier local etc. ...).

Le comportement "On-access" est l'inverse du comportement "On-demand" dans lequel l'analyse d'un objet (ou d'un ensemble d'objets - un répertoire - ou d'un ordinateur entier) est faite à la demande de l'utilisateur, à un moment quelconque mais pas au moment ou le système d'exploitation va accéder à l'objet pour l'ouvrir. Le comportement "On-demand" est de peu d'intérêt (par exemple : nous disposons d'une collection de milliers de parasites divers sur nos disques actuellement branchés, sans que cela ne gène en quoi que ce soit le fonctionnement de nos machines : une analyse "On-access" serait provoquée si nous demandions l'ouverture de l'un de ces fichiers sinon ils peuvent rester là sans aucune incidence. Seule une analyse "On-demand", balayant la totalité de nos partitions, les découvrirait. Tant qu'ils ne sont pas "ouvert" (installés - activés) ils sont totalement inoffensifs, raison pour laquelle les tests comparatifs "On-demand" n'ont aucune utilité - Voir notre article " Tests et comparatifs antivirus ".

Divers noms ou expressions sont synonymes de "On-access" :

  • On-access
  • A la volée
  • En temps réel
  • Sur accès
  • Bouclier résident
  • On the fly
  • In real time,
  • Real time scanning
  • On-access scanning
  • Resident shield
  • Etc. ...

D'autres noms ou expressions sont parfois utilisés mais avec beaucoup moins de bonheur :
  • BackGround Guard
    Cette expression désigne normalement un fonctionnement "en arrière plan" d'un processus qui "tourne" sans arrêt, c'est-à-dire le fonctionnement en permanence et en basse priorité d'une tâche non "critique" et sans urgence, ce qui est exactement l'inverse du comportement "On-access". Ce comportement peut être rapproché des faux comportement en temps réel de certains outils, comme Spybot Search & Destroy (ancienne version) dont le fameux module présenté comme " temps réel ", appelé "Tea-Timer", est une " tâche de fond " qui tourne sans arrêt, consomme des ressources et détecte à posteriori des modifications, qu'elle signale alors, en demandant s'il faut restaurer la version initiale - la modification ayant bien eu lieu et n'ayant pas été empêchée (il s'agit, en réalité, d'un comportement " On-demand " pré-programmé qui s'exécute automatiquement toutes les 30 secondes ou 2 minutes etc. ... Cela n'a rien à voir avec le réel comportement " On-access ").

    Le module "Tea-Timer" de Spybot Search and Destroy - Un pseudo temps réel qui ne travaille pas du tout "On-access".
    Le fameux module "Tea-Timer" de Spybot Search and Destroy - Un pseudo temps réel qui ne travaille pas du tout "On-access".

  • Auto-protect, autoprotect, auto-protection
    Ces expressions ne doivent désigner que la capacité qu'à un outil d'interdire qu'on le modifie. Cela n'a rien à voir avec la capacité d'analyser un objet tiers. Par exemple, la capture d'écran suivante est celle d'un comportement de type "Auto-protection" :

    On-access - Manifestation d'un dispositif d'auto-protection
    Manifestation d'un dispositif d'auto-protection

    Kaspersky Pure - Paramètres d'auto-protection de cette suite de sécurité
    Kaspersky Pure - Paramètres d'auto-protection de cette suite de sécurité
Voir l'article " On-demand ".

Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?

Beaucoup de comparatifs antivirus sont conduits régulièrement par d'importants sites ou d'importantes revues. Ces tests font immédiatement couler beaucoup d'encre et drainent énormément de visiteurs sur ces sites ou d'acheteurs de ces revues. Mais, mis à part ces capacités à faire parler d'eux, ces test, conduits avec des procédures " On-demand ", ont-ils le moindre intérêt ? Peut-on leur accorder la moindre crédibilité ?
Tests et comparatifs des antivirus

RéférencesRéférences" Références "


RessourcesRessources" Ressources "

Les tests comparatifs "On-demand" sont-ils significatifs ?
On-access
On-demand
Proactive Technology (Détection proactive)
Reactive Technology (Détection réactive)
Crédibilité des tests comparatifs des antivirus
Avfs: An On-Access Anti-Virus File System - (CS Department, Stony Brook University - Août 2004)
Archives Assiste.com : le « Rosenthal's Antivirus Test »

 Requêtes similairesRequêtes similaires" Requêtes similaires "