 |
Assiste.com
| |
Logiciel antivirus
Antivirus : logiciels gratuits ou commerciaux cherchant à identifier la malveillance de codes informatiques, à en neutraliser les effets et à les éliminer.
01.04.2023 : Pierre Pinard.
 |
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Les antivirus sont des applications logicielles, gratuites ou commerciales, à installer localement ou à utliser en ligne, cherchant à identifier les codes informatiques malveillants, à en neutraliser les effets et à les éliminer.
Les « virus » purs, au sens étymologique du terme, n'existent plus et ne sont qu'une forme historique d'un terme qui, par facilité de langage, englobe désormais toutes les innombrables formes de malveillances.
Les antivirus peuvent protéger un appareil individuel, tout un réseau, les serveurs de messagerie, etc. Selon la technologie employée par l’antivirus, l’identification du code malveillant peut intervenir :
Avant que celui-ci ne pénètre l’appareil à protéger. L'antivirus intercepte chaque fichier entrant dans une zone totalement interdite et l'analyse avant de le laisser passer ou de l'effacer. L'antivirus a-t-il une connaissance préalable du code malveillant dans ses bases de signatures (par exemple connaissance de son hashcode), ou simulation de l’exécution du code inconnu dans une machine virtuelle (sandbox - bac à sable) - pour identifier ses comportements (analyse heuristique - détection prédictive).
Après sa pénétration et avant son activation, en analysant les fichiers nouvellement installés dans l’appareil (analyse « on demand »).
Avant son exécution lorsque celui-ci monte en mémoire (analyse « on access »). Toutefois, à ce niveau, il est encore possible à une malveillance de cacher son code réel et de passer au travers de ce type d'antivirus.
Au moment où il tente de s’exécuter (analyse « on execution » [« temps réel »]). Même une malveillance cachant son code va être obligée d'entièrement se révéler pour pouvoir s'exécuter et l'antivirus élèvera les murs d'une machine virtuelle pour voir ce qu'il tente réellement de faire (et bien d'autres analyses de son code et de son activité).
Les antivirus sont donc de différentes formes et, pour les plus évolués d’entre eux, offrent toutes les formes simultanées :
On distingue les scanners simples « gratuits en ligne » et les scanners simples « gratuits locaux ». De quoi s'agit-il ? L’un est l’autre sont les mêmes puisque :
Les antivirus dits « en ligne » à code installé localement. Il s'agit d'analyser rapidement tous les fichiers. Tout se passe dans l’appareil de l’utilisateur et rien ne sort, hormis du code identifié comme malveillant (ou suspecté de l’être) pour une analyse humaine approfondie par les ingénieurs du développeur et leurs moyens avancés.
Les antivirus dits « en ligne » à code restant dans le centre de calcul de l’éditeur. Cela permet d'utiliser le tout dernier code d'analyse, à la minute près, et les toutes dernières bases de données de signatures. Mais cela conduit à exporter tous les fichiers de l’utilisateur semblant contenir du code et dont le hashcode est inconnu, un par un, ce qui consommerait un temps fou, de la bande passante, et une perte de confidentialité insoutenable.
Ces antivirus « en ligne » peuvent être lancés à tout moment par les utilisateurs, même par ceux dotés d’un véritable antivirustemps réel, afin de se rassurer, se réconforter. Ils apportent :
Chez l’utilisateur, une aide à la détection, mais trop tard. Le mal est fait.
Chez les éditeurs, une aide pour enrichir leurs bases de connaissances et de signatures.
La propagation des malveillances se fait de diverses manières dont les plus importantes sont :
L'exploitation de failles de sécurité (Alertes et avis de failles de sécurité au jour le jour).
Le téléchargement de crack de logiciels (scène Warez).
Les pièces jointes à des messages.
Les rootkit et séquences de boot (bootstrap - bootloader - bootable - le secteur de démarrage [MBR - Master Boot Record, Zone d'amorçage]).
| Annonce |
Pourquoi ajouter un anti-malware alors que j'ai déjà un antivirus ? Parce que les virus classiques n'existent plus.
Déjà, tout au début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus. Pourquoi ? Parce que les anti-spywares, anti-trojans, anti-trucs, anti-bidules, etc. fonctionnent sur les mêmes bases et technologies que les antivirus, or les antivirus savent le faire depuis bien plus longtemps qu'eux. Les antivirus avaient méprisé tout ce qui n'était pas des virus, mais la mutation des parasites était en route.
Nous annoncions également, depuis 2007, que les virus ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.
| Annonce |
Les virus « classiques » n'existent plus.
L'éditeur d'une solution antivirus et antimalwares Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques, écrivait, en 2012 :
« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. .../... « Emsisoft anti-malware » inclut toutes sortes de menaces, telles que les virus (0,5 %), logiciels de sécurité falsifiés (rogue) (0,5 %), publiciels (adwares) (2,7 %), applications possiblement malicieuses (PUP) (4,1 %), vers (worms) (4,6 %), logiciels malveillants financiers et voleurs de mot de passe (password stealers, fiching, spyware...) (5,3 %), enregistreurs de frappe (keyloggers) (6,9 %), portes dérobées (backdoors) (13,3 %) et chevaux de Troie (trojans) (61,3 %). »
Plus de 10 ans plus tard, les virus « classiques » n'existent plus.
| Annonce |
Dans les années 2003/2004, des mouvements de concentrations industrielles se sont dessinés et les riches sociétés d'antivirus ont commencé à racheter les relativement plus petites sociétés d'anti-malwares (anti-trojans / antispywares, etc.). Les sociétés d'antivirus sont les plus « grosses », en matière de surface financière, dans le trio de tête de la sécurité :
Dès ces années 2003/2004, quiconque veut survivre, dans cette industrie, se doit d'offrir un produit intégré (tout-en-un) et rachète (la croissance externe est privilégiée, car plus rapide et plus fiable que le développement interne à partir de zéro dans des domaines pas ou mal maîtrisés) un éditeur d'un pare-feu, puis un éditeur d'un anti-malwares et, accessoirement, d'autres produits comme un antispam, un contrôle parental...
Technologiquement, les deux classes de produits (antivirus et anti-malwares) fonctionnent strictement de la même manière, à base de signatures (hashcodes + recherche de motifs [pattern] et d'analyses heuristiques). Les antivirus ne ciblaient que les virus et l'immense liste de tous leurs dérivés (worms [vers], etc.), les anti-malwares ne ciblaient que les parasites non viraux (spywares, adwares, keyloggers, chevaux de Troie, et l'immense liste des parasites non viraux).
Les opérations de fusion par croissance externe ont donc consisté, pour les sociétés d'antivirus, à racheter des bases de signatures d'une classe d'outils en croissance rapide, les anti-malwares et de les injecter dans les bases de signatures de leurs produits (ou, plus rarement, de conserver deux moteurs et deux bases de signatures côte à côte le temps de rendre les deux interopérables et de les fusionner).
Les cibles des antivirus se sont donc étendues à toutes les formes de logiciels parasites.
Le fer de lance de la classe des anti-malwares était PestPatrol.
Computer Associates ouvre les hostilités le 17 août 2004 avec le rachat de PestPatrol Antispywares.
Quatre mois plus tard, le 16 décembre 2004, Microsoft réplique et rachète GIANT Antispywares.
Le 16 août 2005, Symantec, qui a développé son propre antivirus sous le nom de Norton Antivirus (rien à voir avec leur rachat de la société Norton le 15 mai 1990), rachète Sygate et ses pare-feux.
Etc.
Dès 2004, Assiste avait annoncé la concentration inéluctable entre ces classes de produits. Elle est aujourd'hui (2013) achevée. Tous les antivirus sont devenus, également, des anti-malwares, et tous les éditeurs proposent des suites complètes, incluant un pare-feu (et, accessoirement, un anti-spam, un contrôle parental, un filtrage du Web, un anti-publicité, un filtrage des cookies, un vérificateur des exécutions des correctifs aux failles de sécurité, etc.).
Lorsque certains anti-malwares ont résisté à la vague d'absorption (ils ont grossi, atteint une taille critique, et ne sont plus absorbables), ils font la même opération de concentration industrielle en devenant, simultanément, un antivirus, soit par absorption d'un éditeur d'antivirus, soit par développement de leur propre base de connaissances.
Ce fut le cas de l'excellent anti-malwares nommé A2 qui, désormais, sous le nom d'Emsisoft Anti-Malware, caracole dans le peloton de tête des deux meilleurs antivirus (avec Kaspersky) en embarquant l'antivirus BitDefender.
Ce fut le cas de Spybot Search & Destroy. Dans une interview accordée par la Team Spybot à Assiste.com le 03.01.2013, il appert que la version 2.1 de Spybot Search & Destroy, planifiée pour le début du second trimestre 2013, comportera un antivirus (et fonctionnera enfin en temps réel), etc. ce qui est désormais le cas (Spybot Search & Destroy utilise l'antivirus BitDefender, comme de nombreux autres [Ils utilisent BitDefender]).
Il y a même le cas d'Ad-Aware (formellement, désormais, Adaware), racheté par un groupe plus ou moins maffieux, éditeurs de crapwares, qui s'est mis à l'antivirus (après plusieurs tentatives d'utilisations de divers moteurs tiers, ils sont passés, avec la version 10 d'Ad-Aware, au moteur BitDefender. Le simple fait qu'Ad-Aware soit dans le giron de Lulu Software permet d'interdire l'usage de ce produit (ainsi que le fait qu'ils utilisent, comme plateforme de paiement, un autre de leurs services, à la réputation sulfureuse et la crapulerie dénoncée dans de multiples plaintes en justice : Upclick complaints).
| Annonce |
