Logiciel antivirus

Antivirus : logiciels gratuits ou commerciaux cherchant à identifier la malveillance de codes informatiques, à en neutraliser les effets et à les éliminer.

cr  03.08.2022      r+  03.08.2022      r-  20.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les antivirus sont des applications logicielles, gratuites ou commerciales, à installer localement ou à utliser en ligne, cherchant à identifier les codes informatiques malveillants, à en neutraliser les effets et à les éliminer.

Les « virus » purs, au sens étymologique du terme, n'existent plus et ne sont qu'une forme historique d'un terme qui, par facilité de langage, englobe désormais toutes les innombrables formes de malveillances.

Les antivirus peuvent protéger un appareil individuel, tout un réseau, les serveurs de messagerie, etc. Selon la technologie employée par l’antivirus, l’identification du code malveillant peut intervenir :

• Avant que celui-ci ne pénètre l’appareil à protéger. L'antivirus intercepte chaque fichier entrant dans une zone totalement interdite et l'analyse avant de le laisser passer ou de l'effacer. L'antivirus a-t-il une connaissance préalable du code malveillant dans ses bases de signatures (par exemple connaissance de son hashcode), ou simulation de l’exécution du code inconnu dans une machine virtuelle (sandbox - bac à sable) - pour identifier ses comportements (analyse heuristique - détection prédictive).

• Après sa pénétration et avant son activation, en analysant les fichiers nouvellement installés dans l’appareil (analyse « on demand »).

• Avant son exécution lorsque celui-ci monte en mémoire (analyse « on access »). Toutefois, à ce niveau, il est encore possible à une malveillance de cacher son code réel et de passer au travers de ce type d'antivirus.

• Au moment où il tente de s’exécuter (analyse « on execution » [« temps réel »]). Même une malveillance cachant son code va être obligée d'entièrement se révéler pour pouvoir s'exécuter et l'antivirus élèvera les murs d'une machine virtuelle pour voir ce qu'il tente réellement de faire (et bien d'autres analyses de son code et de son activité).

Les antivirus sont donc de différentes formes et, pour les plus évolués d’entre eux, offrent toutes les formes simultanées :

On distingue les scanners simples « gratuits en ligne » et les scanners simples « gratuits locaux ». De quoi s'agit-il ? L’un est l’autre sont les mêmes puisque :

• Les antivirus dits « en ligne » à code installé localement. Il s'agit d'analyser rapidement tous les fichiers. Tout se passe dans l’appareil de l’utilisateur et rien ne sort, hormis du code identifié comme malveillant (ou suspecté de l’être) pour une analyse humaine approfondie par les ingénieurs du développeur et leurs moyens avancés.

• Les antivirus dits « en ligne » à code restant dans le centre de calcul de l’éditeur. Cela permet d'utiliser le tout dernier code d'analyse, à la minute près, et les toutes dernières bases de données de signatures. Mais cela conduit à exporter tous les fichiers de l’utilisateur semblant contenir du code et dont le hashcode est inconnu, un par un, ce qui consommerait un temps fou, de la bande passante, et une perte de confidentialité insoutenable.

Ces antivirus « en ligne » peuvent être lancés à tout moment par les utilisateurs, même par ceux dotés d’un véritable antivirustemps réel, afin de se rassurer, se réconforter. Ils apportent :

• Chez l’utilisateur, une aide à la détection, mais trop tard. Le mal est fait.

• Chez les éditeurs, une aide pour enrichir leurs bases de connaissances et de signatures.

La propagation des malveillances se fait de diverses manières dont les plus importantes sont :

• L'exploitation de failles de sécurité (Alertes et avis de failles de sécurité au jour le jour).

• Le téléchargement de crack de logiciels (scène Warez).

• Les pièces jointes à des messages.

• Les rootkit et séquences de boot (bootstrap - bootloader - bootable - le secteur de démarrage [MBR - Master Boot Record, Zone d'amorçage]).

Pourquoi ajouter un anti-malwares alors que j'ai déjà un antivirus ?

1. Parce que les virus classiques n'existent quasiment plus !

2. Parce que, début 2012, les virus ne représentent plus que 0,5% des malveillances.

Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus.

Pourquoi ? Parce que les anti-spywares, anti-trojans, etc. fonctionnent sur exactement les mêmes principes et les mêmes technologies (bases de signatures, analyses heuristiques, sandboxing en machine virtuelle, etc.) que les antivirus qui, eux, savent le faire depuis bien plus longtemps qu'eux et ont une assise financière bien plus élevée.

Les antivirus avaient méprisé tout ce qui n'était pas « virus » (la « noblesse » des malveillances, à l’époque), mais la mutation des parasites était en route.

Nous annoncions également, depuis 2007, que les « virus » ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.

Les virus « classiques » n'existent plus.

L'éditeur d'une solution antivirus et antimalwares Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques, écrivait, en 2012 :

Plus de 10 ans plus tard, les virus « classiques » n'existent plus.

Dans les années 2003/2004, des mouvements de concentrations industrielles se sont dessinés et les riches sociétés d'antivirus ont commencé à racheter les relativement plus petites sociétés d'anti-malwares (anti-trojans / antispywares, etc.). Les sociétés d'antivirus sont les plus « grosses », en matière de surface financière, dans le trio de tête de la sécurité :

1. Antivirus.

2. Pare-feu.

3. Anti-malware.

Dès ces années 2003/2004, quiconque veut survivre, dans cette industrie, se doit d'offrir un produit intégré (tout-en-un) et rachète (la croissance externe est privilégiée, car plus rapide et plus fiable que le développement interne à partir de zéro dans des domaines pas ou mal maîtrisés) un éditeur d'un pare-feu, puis un éditeur d'un anti-malwares et, accessoirement, d'autres produits comme un antispam, un contrôle parental...

Technologiquement, les deux classes de produits (antivirus et anti-malwares) fonctionnent strictement de la même manière, à base de signatures (hashcodes + recherche de motifs [pattern] et d'analyses heuristiques). Les antivirus ne ciblaient que les virus et l'immense liste de tous leurs dérivés (worms [vers], etc.), les anti-malwares ne ciblaient que les parasites non viraux (spywares, adwares, keyloggers, chevaux de Troie, et l'immense liste des parasites non viraux).

Les opérations de fusion par croissance externe ont donc consisté, pour les sociétés d'antivirus, à racheter des bases de signatures d'une classe d'outils en croissance rapide, les anti-malwares et de les injecter dans les bases de signatures de leurs produits (ou, plus rarement, de conserver deux moteurs et deux bases de signatures côte à côte le temps de rendre les deux interopérables et de les fusionner).

Les cibles des antivirus se sont donc étendues à toutes les formes de logiciels parasites.

Le fer de lance de la classe des anti-malwares était PestPatrol.

1. Computer Associates ouvre les hostilités le 17 août 2004 avec le rachat de PestPatrol Antispywares.

2. Quatre mois plus tard, le 16 décembre 2004, Microsoft réplique et rachète GIANT Antispywares.

3. Le 16 août 2005, Symantec, qui a développé son propre antivirus sous le nom de Norton Antivirus (rien à voir avec leur rachat de la société Norton le 15 mai 1990), rachète Sygate et ses pare-feux.

4. Etc.

Dès 2004, Assiste avait annoncé la concentration inéluctable entre ces classes de produits. Elle est aujourd'hui (2013) achevée. Tous les antivirus sont devenus, également, des anti-malwares, et tous les éditeurs proposent des suites complètes, incluant un pare-feu (et, accessoirement, un anti-spam, un contrôle parental, un filtrage du Web, un anti-publicité, un filtrage des cookies, un vérificateur des exécutions des correctifs aux failles de sécurité, etc.).

Lorsque certains anti-malwares ont résisté à la vague d'absorption (ils ont grossi, atteint une taille critique, et ne sont plus absorbables), ils font la même opération de concentration industrielle en devenant, simultanément, un antivirus, soit par absorption d'un éditeur d'antivirus, soit par développement de leur propre base de connaissances.

• Ce fut le cas de l'excellent anti-malwares nommé A2 qui, désormais, sous le nom d'Emsisoft Anti-Malware, caracole dans le peloton de tête des deux meilleurs antivirus (avec Kaspersky) en embarquant l'antivirus BitDefender.

• Ce fut le cas de Spybot Search & Destroy. Dans une interview accordée par la Team Spybot à Assiste.com le 03.01.2013, il appert que la version 2.1 de Spybot Search & Destroy, planifiée pour le début du second trimestre 2013, comportera un antivirus (et fonctionnera enfin en temps réel), etc. ce qui est désormais le cas (Spybot Search & Destroy utilise l'antivirus BitDefender, comme de nombreux autres [Ils utilisent BitDefender]).

• Il y a même le cas d'Ad-Aware (formellement, désormais, Adaware), racheté par un groupe plus ou moins maffieux, éditeurs de crapwares, qui s'est mis à l'antivirus (après plusieurs tentatives d'utilisations de divers moteurs tiers, ils sont passés, avec la version 10 d'Ad-Aware, au moteur BitDefender. Le simple fait qu'Ad-Aware soit dans le giron de Lulu Software permet d'interdire l'usage de ce produit (ainsi que le fait qu'ils utilisent, comme plateforme de paiement, un autre de leurs services, à la réputation sulfureuse et la crapulerie dénoncée dans de multiples plaintes en justice : Upclick complaints).

1. Antivirus

Recherches dans Assiste.com		Recherches sur le Web
Antivirus avec Qwant Antivirus avec DuckDuckGo Antivirus avec StartPage Antivirus avec Google Antivirus avec Bing Antivirus avec Yandex Antivirus avec Yahoo! Antivirus avec Baidu		Antivirus avec Qwant Antivirus avec DuckDuckGo Antivirus avec StartPage Antivirus avec Google Antivirus avec Bing Antivirus avec Yandex Antivirus avec Yahoo! Antivirus avec Baidu