Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  03.08.2022      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les antivirus sont des applications logicielles, gratuites ou commerciales, à installer localement ou à utliser en ligne, cherchant à identifier les codes informatiques malveillants, à en neutraliser les effets et à les éliminer.

Les « virus » purs, au sens étymologique du terme, n'existent plus et ne sont qu'une forme historique d'un terme qui, par facilité de langage, englobe désormais toutes les innombrables formes de malveillances.

Les antivirus peuvent protéger un appareil individuel, tout un réseau, les serveurs de messagerie, etc. Selon la technologie employée par l’antivirus, l’identification du code malveillant peut intervenir :

  • Avant que celui-ci ne pénètre l’appareil à protéger. L'antivirus intercepte chaque fichier entrant dans une zone totalement interdite et l'analyse avant de le laisser passer ou de l'effacer. L'antivirus a-t-il une connaissance préalable du code malveillant dans ses bases de signatures (par exemple connaissance de son hashcode), ou simulation de l’exécution du code inconnu dans une machine virtuelle (sandbox - bac à sable) - pour identifier ses comportements (analyse heuristique - détection prédictive).

  • Après sa pénétration et avant son activation, en analysant les fichiers nouvellement installés dans l’appareil (analyse « on demand »).

  • Avant son exécution lorsque celui-ci monte en mémoire (analyse « on access »). Toutefois, à ce niveau, il est encore possible à une malveillance de cacher son code réel et de passer au travers de ce type d'antivirus.

  • Au moment où il tente de s’exécuter (analyse « on execution » [« temps réel »]). Même une malveillance cachant son code va être obligée d'entièrement se révéler pour pouvoir s'exécuter et l'antivirus élèvera les murs d'une machine virtuelle pour voir ce qu'il tente réellement de faire (et bien d'autres analyses de son code et de son activité).

Les antivirus sont donc de différentes formes et, pour les plus évolués d’entre eux, offrent toutes les formes simultanées :

On distingue les scanners simples « gratuits en ligne » et les scanners simples « gratuits locaux ». De quoi s'agit-il ? L’un est l’autre sont les mêmes puisque :

  • Les antivirus dits « en ligne » à code installé localement. Il s'agit d'analyser rapidement tous les fichiers. Tout se passe dans l’appareil de l’utilisateur et rien ne sort, hormis du code identifié comme malveillant (ou suspecté de l’être) pour une analyse humaine approfondie par les ingénieurs du développeur et leurs moyens avancés.

  • Les antivirus dits « en ligne » à code restant dans le centre de calcul de l’éditeur. Cela permet d'utiliser le tout dernier code d'analyse, à la minute près, et les toutes dernières bases de données de signatures. Mais cela conduit à exporter tous les fichiers de l’utilisateur semblant contenir du code et dont le hashcode est inconnu, un par un, ce qui consommerait un temps fou, de la bande passante, et une perte de confidentialité insoutenable.

Ces antivirus « en ligne » peuvent être lancés à tout moment par les utilisateurs, même par ceux dotés d’un véritable antivirustemps réel, afin de se rassurer, se réconforter. Ils apportent :

  • Chez l’utilisateur, une aide à la détection, mais trop tard. Le mal est fait.

  • Chez les éditeurs, une aide pour enrichir leurs bases de connaissances et de signatures.

La propagation des malveillances se fait de diverses manières dont les plus importantes sont :



Pourquoi ajouter un anti-malwares alors que j'ai déjà un antivirus ?

  1. Parce que les virus classiques n'existent quasiment plus !

  2. Parce que, début 2012, les virus ne représentent plus que 0,5% des malveillances.

Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus.

Pourquoi ? Parce que les anti-spywares, anti-trojans, etc. fonctionnent sur exactement les mêmes principes et les mêmes technologies (bases de signatures, analyses heuristiques, sandboxing en machine virtuelle, etc.) que les antivirus qui, eux, savent le faire depuis bien plus longtemps qu'eux et ont une assise financière bien plus élevée.

Les antivirus avaient méprisé tout ce qui n'était pas « virus » (la « noblesse » des malveillances, à l’époque), mais la mutation des parasites était en route.

Nous annoncions également, depuis 2007, que les « virus » ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.

Le terme « Virus » : Les « Virus classiques » n'existent plus.

L'éditeur d'une solution antivirus et anti-malwares, la société Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques (malwares), écrivait, en 2012 :

« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. Emsisoft anti-malware inclut toutes sortes de menaces, telles que :

  1. Les virus (0,5 %)
  2. Les logiciels de sécurité falsifiés (rogues) (0,5 %)
  3. Les publiciels (adwares) (2,7 %)
  4. Les applications probablement indésirables (PUP) (4,1 %)
  5. Les vers (worms) (4,6 %)
  6. Les malveillances (malwares) (5,3 %) dont :
  7. Les enregistreurs de frappes au clavier (keyloggers) (6,9 %)
  8. Les portes dérobées (backdoors) (13,3 %)
  9. Les chevaux de Troie (trojans) (61,3 %). »



Les virus « classiques » n'existent plus.

L'éditeur d'une solution antivirus et antimalwares Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques, écrivait, en 2012 :



« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. .../... « Emsisoft anti-malware » inclut toutes sortes de menaces, telles que les virus (0,5 %), logiciels de sécurité falsifiés (rogue) (0,5 %), publiciels (adwares) (2,7 %), applications possiblement malicieuses (PUP) (4,1 %), vers (worms) (4,6 %), logiciels malveillants financiers et voleurs de mot de passe (password stealers, fiching, spyware...) (5,3 %), enregistreurs de frappe (keyloggers) (6,9 %), portes dérobées (backdoors) (13,3 %) et chevaux de Troie (trojans) (61,3 %). »

Plus de 10 ans plus tard, les virus « classiques » n'existent plus.



Dans les années 2003/2004, des mouvements de concentrations industrielles se sont dessinés et les riches sociétés d'antivirus ont commencé à racheter les relativement plus petites sociétés d'anti-malwares (anti-trojans / antispywares, etc.). Les sociétés d'antivirus sont les plus « grosses », en matière de surface financière, dans le trio de tête de la sécurité :

  1. Antivirus.

  2. Pare-feu.

  3. Anti-malware.

Dès ces années 2003/2004, quiconque veut survivre, dans cette industrie, se doit d'offrir un produit intégré (tout-en-un) et rachète (la croissance externe est privilégiée, car plus rapide et plus fiable que le développement interne à partir de zéro dans des domaines pas ou mal maîtrisés) un éditeur d'un pare-feu, puis un éditeur d'un anti-malwares et, accessoirement, d'autres produits comme un antispam, un contrôle parental...

Technologiquement, les deux classes de produits (antivirus et anti-malwares) fonctionnent strictement de la même manière, à base de signatures (hashcodes + recherche de motifs [pattern] et d'analyses heuristiques). Les antivirus ne ciblaient que les virus et l'immense liste de tous leurs dérivés (worms [vers], etc.), les anti-malwares ne ciblaient que les parasites non viraux (spywares, adwares, keyloggers, chevaux de Troie, et l'immense liste des parasites non viraux).

Les opérations de fusion par croissance externe ont donc consisté, pour les sociétés d'antivirus, à racheter des bases de signatures d'une classe d'outils en croissance rapide, les anti-malwares et de les injecter dans les bases de signatures de leurs produits (ou, plus rarement, de conserver deux moteurs et deux bases de signatures côte à côte le temps de rendre les deux interopérables et de les fusionner).

Les cibles des antivirus se sont donc étendues à toutes les formes de logiciels parasites.

Le fer de lance de la classe des anti-malwares était PestPatrol.

  1. Computer Associates ouvre les hostilités le 17 août 2004 avec le rachat de PestPatrol Antispywares.

  2. Quatre mois plus tard, le 16 décembre 2004, Microsoft réplique et rachète GIANT Antispywares.

  3. Le 16 août 2005, Symantec, qui a développé son propre antivirus sous le nom de Norton Antivirus (rien à voir avec leur rachat de la société Norton le 15 mai 1990), rachète Sygate et ses pare-feux.

  4. Etc.

Dès 2004, Assiste avait annoncé la concentration inéluctable entre ces classes de produits. Elle est aujourd'hui (2013) achevée. Tous les antivirus sont devenus, également, des anti-malwares, et tous les éditeurs proposent des suites complètes, incluant un pare-feu (et, accessoirement, un anti-spam, un contrôle parental, un filtrage du Web, un anti-publicité, un filtrage des cookies, un vérificateur des exécutions des correctifs aux failles de sécurité, etc.).

Lorsque certains anti-malwares ont résisté à la vague d'absorption (ils ont grossi, atteint une taille critique, et ne sont plus absorbables), ils font la même opération de concentration industrielle en devenant, simultanément, un antivirus, soit par absorption d'un éditeur d'antivirus, soit par développement de leur propre base de connaissances.



1 Tests et comparatifs des antivirus Windows

Certains antivirus (pas tous) sont testés régulièrement par des organismes crédibles de tests et comparatifs antivirus, dont c'est le métier, les autres étant des comparatifs critiquables, voire imbéciles.

2 Comparatif antivirus - Tests avec des virus inconnus

Il est impossible de soumettre un virus inconnu à un panel d'antivirus, lors d'un test comparatif, pour la bonne raison que, par essence, le virus inconnu (ou la menace inconnue [malware, exploit, etc.]) est... inconnu ! Le testeur n'en a pas plus connaissance que les produits testés ! Seul le développeur du virus sait quels systèmes d'exploitation, environnements et applications sont visés. Le code inconnu doit donc être testé dans un environnement inconnu, donc dans tous les environnements possibles. Ceci nécessite des plateformes (matériels, systèmes d'exploitation, versions des applications...) ciblées. Ceci n'est à la portée que de laboratoires professionnels.

Il y a une interminable liste de comparatifs d'antivirus sans aucune crédibilité (liste des comparatifs imbéciles d'antivirus).

Se souvenir, à tout jamais, du « Rosenthal antivirus test ».

3 Comparatif antivirus - Confrontation à la Wild List

  1. La Wild List est la liste des virus réellement dans la nature au moment du test. Cette liste est maintenue et partagée par l'ensemble des grands acteurs cooptés du monde des antivirus. Les margoulins, vendeurs de rogues et fakes, ne peuvent approcher ce cercle très fermé de vrais professionnels. Par contre, certains développeurs de virus ou malveillances sont extrêmement brillants et peuvent tenir en échec des antivirus durant des années (voir, par exemple, Equation Group et Shadow Brokers).

  2. Ces tests comparatifs sont effectués tous les mois sauf janvier et juillet où les moyennes des 5 mois précédents sont calculées.

Les graphiques suivants sont extraits de nos comparatifs antivirus. Il est important de lire nos sévères critiques de comparatifs antivirus imbéciles trouvés dans la presse et sur certains sites Web.

Comparatif antivirus - « Virus in the Wild » - Moyenne 2e semestre 2017
Comparatif antivirus
« Virus in the Wild »
Moyenne
2e semestre 2017
Comparatif antivirus - « Virus in the Wild » - février 2018
Comparatif antivirus
« Virus in the Wild »
février 2018
Comparatif antivirus - « Virus in the Wild » - mars 2018
Comparatif antivirus
« Virus in the Wild »
mars 2018
Comparatif antivirus - « Virus in the Wild » - avril 2018
Comparatif antivirus
« Virus in the Wild »
avril 2018
Comparatif antivirus - « Virus in the Wild » - mai 2018
Comparatif antivirus
« Virus in the Wild »
mai 2018

4 Comparatif antivirus - Confrontation à des malwares

  1. Malwares est un mot générique pour nommer l'ensemble de toutes les classes de parasites et malveillances (on énumère des centaines de classes de malwares).

  2. Ces tests sont effectués tous les 6 mois, en mars et septembre.

Comparatif antivirus - Test de détection de « malwares » - Mars 2017
Comparatif antivirus
« malwares »
Mars 2017
Comparatif antivirus - Test de détection de « malwares » - Septembre 2017
Comparatif antivirus
« malwares »
Septembre 2017
Comparatif antivirus - Test de détection de « malwares » - Mars 2018
Comparatif antivirus
« malwares »
Mars 2018

5 Comparatif antivirus - Impact sur le système (ralentissement)

  1. Impact (ralentissement) sur le système. Dans ces histogrammes, plus la barre est haute, plus l'impact (le ralentissement) est important.

  2. Ces mesures sont effectuées tous les 6 mois, en avril et octobre.

Comparatif antivirus - Impact sur le système - Avril 2016
Comparatif antivirus
Impact sur le système
Avril 2016
Comparatif antivirus - Impact sur le système - Octobre 2016
Comparatif antivirus
Impact sur le système
Octobre 2016
Comparatif antivirus - Impact sur le système - Juin 2016
Comparatif antivirus
Impact sur le système
Juin 2017
Comparatif antivirus - Impact sur le système - Octobre 2017
Comparatif antivirus
Impact sur le système
Octobre 2017
Comparatif antivirus - Impact sur le système - Avril 2018
Comparatif antivirus
Impact sur le système
Avril 2018

6 Services d'antivirus pour cybercriminels

Il existe une foule de services multiantivirus gratuits en ligne, agissants dans le darkweb, reprenant l'esprit de VirusTotal et autres services multiantivirus gratuits en ligne, dédiés à la cybercriminalité. Ces services naissent et meurent à toute vitesse, et renaissent aussi vite sous un autre nom. Le but est, pour les cybercriminels, de mettre au point un virus qui ne sera détecté par aucun antivirus et, si le virus en cours de mise au point est détecté (par un ou plusieurs antivirus), le corriger, alors que les antivirus et services multiantivirus pour cybercriminels ne communiquent pas sur les échantillons détectés, contrairement aux VirusTotal (plus de 70 antivirus en 2024) et autres services publics. Ces services multiantivirus en ligne pour cybercriminels sont payants (entre cybercriminels, on n'est pas là pour s'entraider, mais pour se faire du fric), permettent aux cybercriminels de vérifier que les virus ou les malveillances qu'ils sont entrain de développer et s'apprêtent à lancer dans la nature, NE SONT PAS DÉTECTÉS, y compris par les analyses heuristiques et dans les sandbox (ou la virtualisation) des antivirus / antimalwares.

Les faiseurs de virus sont nombreux et actifs :

7 Typologies



  • Logiciel antivirus