Assiste.com
cr 03.08.2022 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Les antivirus sont des applications logicielles, gratuites ou commerciales, à installer localement ou à utliser en ligne, cherchant à identifier les codes informatiques malveillants, à en neutraliser les effets et à les éliminer.
Les « virus » purs, au sens étymologique du terme, n'existent plus et ne sont qu'une forme historique d'un terme qui, par facilité de langage, englobe désormais toutes les innombrables formes de malveillances.
Les antivirus peuvent protéger un appareil individuel, tout un réseau, les serveurs de messagerie, etc. Selon la technologie employée par l’antivirus, l’identification du code malveillant peut intervenir :
Avant que celui-ci ne pénètre l’appareil à protéger. L'antivirus intercepte chaque fichier entrant dans une zone totalement interdite et l'analyse avant de le laisser passer ou de l'effacer. L'antivirus a-t-il une connaissance préalable du code malveillant dans ses bases de signatures (par exemple connaissance de son hashcode), ou simulation de l’exécution du code inconnu dans une machine virtuelle (sandbox - bac à sable) - pour identifier ses comportements (analyse heuristique - détection prédictive).
Après sa pénétration et avant son activation, en analysant les fichiers nouvellement installés dans l’appareil (analyse « on demand »).
Avant son exécution lorsque celui-ci monte en mémoire (analyse « on access »). Toutefois, à ce niveau, il est encore possible à une malveillance de cacher son code réel et de passer au travers de ce type d'antivirus.
Au moment où il tente de s’exécuter (analyse « on execution » [« temps réel »]). Même une malveillance cachant son code va être obligée d'entièrement se révéler pour pouvoir s'exécuter et l'antivirus élèvera les murs d'une machine virtuelle pour voir ce qu'il tente réellement de faire (et bien d'autres analyses de son code et de son activité).
Les antivirus sont donc de différentes formes et, pour les plus évolués d’entre eux, offrent toutes les formes simultanées :
On distingue les scanners simples « gratuits en ligne » et les scanners simples « gratuits locaux ». De quoi s'agit-il ? L’un est l’autre sont les mêmes puisque :
Les antivirus dits « en ligne » à code installé localement. Il s'agit d'analyser rapidement tous les fichiers. Tout se passe dans l’appareil de l’utilisateur et rien ne sort, hormis du code identifié comme malveillant (ou suspecté de l’être) pour une analyse humaine approfondie par les ingénieurs du développeur et leurs moyens avancés.
Les antivirus dits « en ligne » à code restant dans le centre de calcul de l’éditeur. Cela permet d'utiliser le tout dernier code d'analyse, à la minute près, et les toutes dernières bases de données de signatures. Mais cela conduit à exporter tous les fichiers de l’utilisateur semblant contenir du code et dont le hashcode est inconnu, un par un, ce qui consommerait un temps fou, de la bande passante, et une perte de confidentialité insoutenable.
Ces antivirus « en ligne » peuvent être lancés à tout moment par les utilisateurs, même par ceux dotés d’un véritable antivirustemps réel, afin de se rassurer, se réconforter. Ils apportent :
Chez l’utilisateur, une aide à la détection, mais trop tard. Le mal est fait.
Chez les éditeurs, une aide pour enrichir leurs bases de connaissances et de signatures.
La propagation des malveillances se fait de diverses manières dont les plus importantes sont :
L'exploitation de failles de sécurité (Alertes et avis de failles de sécurité au jour le jour).
Le téléchargement de crack de logiciels (scène Warez).
Les pièces jointes à des messages.
Les rootkit et séquences de boot (bootstrap - bootloader - bootable - le secteur de démarrage [MBR - Master Boot Record, Zone d'amorçage]).
|
Pourquoi ajouter un anti-malwares alors que j'ai déjà un antivirus ?
Parce que les virus classiques n'existent quasiment plus !
Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus.
Pourquoi ? Parce que les anti-spywares, anti-trojans, etc. fonctionnent sur exactement les mêmes principes et les mêmes technologies (bases de signatures, analyses heuristiques, sandboxing en machine virtuelle, etc.) que les antivirus qui, eux, savent le faire depuis bien plus longtemps qu'eux et ont une assise financière bien plus élevée.
Les antivirus avaient méprisé tout ce qui n'était pas « virus » (la « noblesse » des malveillances, à l’époque), mais la mutation des parasites était en route.
Nous annoncions également, depuis 2007, que les « virus » ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.
L'éditeur d'une solution antivirus et anti-malwares, la société Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques (malwares), écrivait, en 2012 :
« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. Emsisoft anti-malware inclut toutes sortes de menaces, telles que :
|
Les virus « classiques » n'existent plus.
L'éditeur d'une solution antivirus et antimalwares Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques, écrivait, en 2012 :
« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. .../... « Emsisoft anti-malware » inclut toutes sortes de menaces, telles que les virus (0,5 %), logiciels de sécurité falsifiés (rogue) (0,5 %), publiciels (adwares) (2,7 %), applications possiblement malicieuses (PUP) (4,1 %), vers (worms) (4,6 %), logiciels malveillants financiers et voleurs de mot de passe (password stealers, fiching, spyware...) (5,3 %), enregistreurs de frappe (keyloggers) (6,9 %), portes dérobées (backdoors) (13,3 %) et chevaux de Troie (trojans) (61,3 %). »
Plus de 10 ans plus tard, les virus « classiques » n'existent plus.
|
Dans les années 2003/2004, des mouvements de concentrations industrielles se sont dessinés et les riches sociétés d'antivirus ont commencé à racheter les relativement plus petites sociétés d'anti-malwares (anti-trojans / antispywares, etc.). Les sociétés d'antivirus sont les plus « grosses », en matière de surface financière, dans le trio de tête de la sécurité :
Dès ces années 2003/2004, quiconque veut survivre, dans cette industrie, se doit d'offrir un produit intégré (tout-en-un) et rachète (la croissance externe est privilégiée, car plus rapide et plus fiable que le développement interne à partir de zéro dans des domaines pas ou mal maîtrisés) un éditeur d'un pare-feu, puis un éditeur d'un anti-malwares et, accessoirement, d'autres produits comme un antispam, un contrôle parental...
Technologiquement, les deux classes de produits (antivirus et anti-malwares) fonctionnent strictement de la même manière, à base de signatures (hashcodes + recherche de motifs [pattern] et d'analyses heuristiques). Les antivirus ne ciblaient que les virus et l'immense liste de tous leurs dérivés (worms [vers], etc.), les anti-malwares ne ciblaient que les parasites non viraux (spywares, adwares, keyloggers, chevaux de Troie, et l'immense liste des parasites non viraux).
Les opérations de fusion par croissance externe ont donc consisté, pour les sociétés d'antivirus, à racheter des bases de signatures d'une classe d'outils en croissance rapide, les anti-malwares et de les injecter dans les bases de signatures de leurs produits (ou, plus rarement, de conserver deux moteurs et deux bases de signatures côte à côte le temps de rendre les deux interopérables et de les fusionner).
Les cibles des antivirus se sont donc étendues à toutes les formes de logiciels parasites.
Le fer de lance de la classe des anti-malwares était PestPatrol.
Computer Associates ouvre les hostilités le 17 août 2004 avec le rachat de PestPatrol Antispywares.
Quatre mois plus tard, le 16 décembre 2004, Microsoft réplique et rachète GIANT Antispywares.
Le 16 août 2005, Symantec, qui a développé son propre antivirus sous le nom de Norton Antivirus (rien à voir avec leur rachat de la société Norton le 15 mai 1990), rachète Sygate et ses pare-feux.
Etc.
Dès 2004, Assiste avait annoncé la concentration inéluctable entre ces classes de produits. Elle est aujourd'hui (2013) achevée. Tous les antivirus sont devenus, également, des anti-malwares, et tous les éditeurs proposent des suites complètes, incluant un pare-feu (et, accessoirement, un anti-spam, un contrôle parental, un filtrage du Web, un anti-publicité, un filtrage des cookies, un vérificateur des exécutions des correctifs aux failles de sécurité, etc.).
Lorsque certains anti-malwares ont résisté à la vague d'absorption (ils ont grossi, atteint une taille critique, et ne sont plus absorbables), ils font la même opération de concentration industrielle en devenant, simultanément, un antivirus, soit par absorption d'un éditeur d'antivirus, soit par développement de leur propre base de connaissances.
Ce fut le cas de l'excellent anti-malwares nommé A2 qui, désormais, sous le nom d'Emsisoft Anti-Malware, caracole dans le peloton de tête des deux meilleurs antivirus (avec Kaspersky) en embarquant l'antivirus BitDefender.
Ce fut le cas de Spybot Search & Destroy. Dans une interview accordée par la Team Spybot à Assiste.com le 03.01.2013, il appert que la version 2.1 de Spybot Search & Destroy, planifiée pour le début du second trimestre 2013, comportera un antivirus (et fonctionnera enfin en temps réel), etc. ce qui est désormais le cas (Spybot Search & Destroy utilise l'antivirus BitDefender, comme de nombreux autres [Ils utilisent BitDefender]).
Il y a même le cas d'Ad-Aware (formellement, désormais, Adaware), racheté par un groupe plus ou moins maffieux, éditeurs de crapwares, qui s'est mis à l'antivirus (après plusieurs tentatives d'utilisations de divers moteurs tiers, ils sont passés, avec la version 10 d'Ad-Aware, au moteur BitDefender. Le simple fait qu'Ad-Aware soit dans le giron de Lulu Software permet d'interdire l'usage de ce produit (ainsi que le fait qu'ils utilisent, comme plateforme de paiement, un autre de leurs services, à la réputation sulfureuse et la crapulerie dénoncée dans de multiples plaintes en justice : Upclick complaints).
|
Certains antivirus (pas tous) sont testés régulièrement par des organismes crédibles de tests et comparatifs antivirus, dont c'est le métier, les autres étant des comparatifs critiquables, voire imbéciles.
Il est impossible de soumettre un virus inconnu à un panel d'antivirus, lors d'un test comparatif, pour la bonne raison que, par essence, le virus inconnu (ou la menace inconnue [malware, exploit, etc.]) est... inconnu ! Le testeur n'en a pas plus connaissance que les produits testés ! Seul le développeur du virus sait quels systèmes d'exploitation, environnements et applications sont visés. Le code inconnu doit donc être testé dans un environnement inconnu, donc dans tous les environnements possibles. Ceci nécessite des plateformes (matériels, systèmes d'exploitation, versions des applications...) ciblées. Ceci n'est à la portée que de laboratoires professionnels.
Il y a une interminable liste de comparatifs d'antivirus sans aucune crédibilité (liste des comparatifs imbéciles d'antivirus).
Se souvenir, à tout jamais, du « Rosenthal antivirus test ».
La Wild List est la liste des virus réellement dans la nature au moment du test. Cette liste est maintenue et partagée par l'ensemble des grands acteurs cooptés du monde des antivirus. Les margoulins, vendeurs de rogues et fakes, ne peuvent approcher ce cercle très fermé de vrais professionnels. Par contre, certains développeurs de virus ou malveillances sont extrêmement brillants et peuvent tenir en échec des antivirus durant des années (voir, par exemple, Equation Group et Shadow Brokers).
Ces tests comparatifs sont effectués tous les mois sauf janvier et juillet où les moyennes des 5 mois précédents sont calculées.
Les graphiques suivants sont extraits de nos comparatifs antivirus. Il est important de lire nos sévères critiques de comparatifs antivirus imbéciles trouvés dans la presse et sur certains sites Web.
Malwares est un mot générique pour nommer l'ensemble de toutes les classes de parasites et malveillances (on énumère des centaines de classes de malwares).
Ces tests sont effectués tous les 6 mois, en mars et septembre.
Impact (ralentissement) sur le système. Dans ces histogrammes, plus la barre est haute, plus l'impact (le ralentissement) est important.
Ces mesures sont effectuées tous les 6 mois, en avril et octobre.
Il existe une foule de services multiantivirus gratuits en ligne, agissants dans le darkweb, reprenant l'esprit de VirusTotal et autres services multiantivirus gratuits en ligne, dédiés à la cybercriminalité. Ces services naissent et meurent à toute vitesse, et renaissent aussi vite sous un autre nom. Le but est, pour les cybercriminels, de mettre au point un virus qui ne sera détecté par aucun antivirus et, si le virus en cours de mise au point est détecté (par un ou plusieurs antivirus), le corriger, alors que les antivirus et services multiantivirus pour cybercriminels ne communiquent pas sur les échantillons détectés, contrairement aux VirusTotal (plus de 70 antivirus en 2024) et autres services publics. Ces services multiantivirus en ligne pour cybercriminels sont payants (entre cybercriminels, on n'est pas là pour s'entraider, mais pour se faire du fric), permettent aux cybercriminels de vérifier que les virus ou les malveillances qu'ils sont entrain de développer et s'apprêtent à lancer dans la nature, NE SONT PAS DÉTECTÉS, y compris par les analyses heuristiques et dans les sandbox (ou la virtualisation) des antivirus / antimalwares.
Les faiseurs de virus sont nombreux et actifs :
Ils testent leurs fabrications de virus en les soumettant à tous les antivirus en s'adressant à des services du genre de VirusTotal mais qui ne communiquent pas leurs résultats d'analyses aux éditeurs d'antivirus.
De nombreux développeurs de virus et autres malveillances utilisent des versions silencieuses de services antivirus multimoteurs, mis à jour automatiquement toutes les 1/2 heures, voire plus fréquemment encore, bricolées par eux-mêmes ou dans des « services underground » payants, genre :
Sandboxes gratuites en ligne et leur liste.
|
Les encyclopédies |
---|