Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Antivirus

Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

AntivirusAntivirus pursAntivirus

Les antivirus sont des logiciels informatiques dédiés, initialement, à la lutte contre les virus informatiques.

Depuis le début des années 2000, une concentration s'est opérée et les éditeurs d'antivirus ont absorbé les éditeurs d'antitrojans / antispywares. Les antivirus purs n'existent plus (ou n'ont aucune chance de survivre). Pourquoi ?

Pourquoi ajouter un anti-malwares alors que j'ai déjà un antivirus ?
Parce que les virus classiques ne représentent plus que 0,5% des malveillances

Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus. Pourquoi ? Parce que les anti-spywares et anti-trojans, etc. ... fonctionnent sur la base de signatures et que les antivirus savent le faire depuis bien plus longtemps qu'eux. Les antivirus avaient méprisé tout ce qui n'était pas des virus mais la mutation des parasites était en route.

Nous annoncions également, depuis 2007, que les virus ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.

Le terme " Virus " : Les virus " classiques " n'existent plus.

L'éditeur d'une solution antivirus et antimalwares Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques, écrivait, en 2012 :

"Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. .../... « Emsisoft anti-malware » inclut toutes sortes de menaces, telles que les virus (0,5 %), logiciels de sécurité falsifiés (rogue) (0,5 %), publiciels (adwares) (2,7 %), applications possiblement malicieuses (PUP) (4,1 %), vers (worms) (4,6 %), logiciels malveillants financiers et voleurs de mot de passe (password stealer, fiching, spywares...) (5,3 %), enregistreurs de frappe (keyloggers) (6,9 %), portes dérobées (backdoors) (13,3 %) et chevaux de Troie (trojans) (61,3 %)."


Historique des concentrations entre antivirus et anti-malwares (anti-spywares - anti-adwares - anti-trojans)

Dans les années 2003/2004, des mouvements de concentrations industrielles se sont dessinés et les riches sociétés d'antivirus ont commencé à racheter les relativement plus petites sociétés d'anti-malwares (anti-trojans / antispywares, etc. ...). Les sociétés d'antivirus sont les plus "grosses", en termes de surface financière, dans le trio de tête de la sécurité :

  1. Antivirus
  2. Pare-feu
  3. Anti-malwares

Dès ces années 2003/2004, quiconque veut survivre, dans cette industrie, se doit d'offrir un produit intégré (tout en un) et rachète (la croissance externe est privilégiée, car plus rapide et plus fiable que le développement interne à partir de zéro dans des domaines pas ou mal maîtrisés) un éditeur d'un Pare-feu, puis un éditeur d'un Anti-malwares et, accessoirement, d'autres produits comme un antispam, un contrôle parental...

Technologiquement, les deux classes de produits (Antivirus et Anti-malwares) fonctionnent strictement de la même manière, à base de signatures (hashcodes + recherche de motifs (pattern) et d'analyses heuristiques. Les Antivirus ne ciblaient que les virus et l'immense liste de tous leurs dérivés (worms (vers informatiques en français), etc.), les Anti-malwares ne ciblaient que les parasites non viraux (Spywares, Adwares, Keyloggers, chevaux de Troie, et l'immense liste des parasites non viraux).

Les opérations de fusion par croissance externe ont donc consisté, pour les sociétés d'Antivirus, à racheter des bases de signatures d'une classe d'outils en croissance rapide, les Anti-malwares et de les injecter dans les bases de signatures de leurs produits (ou, plus rarement, de conserver deux moteurs et deux bases de signatures côte à côte le temps de rendre les deux interopérables et de les fusionner).

Les cibles des Antivirus se sont donc étendues à toutes les formes de logiciels parasites.

Le fer de lance de la classe des Anti-malwares était PestPatrol. Computer Associates ouvre les hostilités le 17 août 2004 avec le rachat de PestPatrol Antispywares. Quatre mois plus tard, le 16 décembre 2004, Microsoft réplique et rachète GIANT Antispywares. Le 16 août 2005, Symantec, qui a développé son propre antivirus sous le nom de Norton Antivirus (rien à voir avec leur rachat de la société Norton le 15 mai 1990), rachète Sygate et ses pare-feux, etc. ...

Dès 2004, Assiste avait annoncé la concentration inéluctable entre ces classes de produits. Elle est aujourd'hui (2013) achevée. Tous les Antivirus sont devenus, également, des Anti-malwares, et tous les éditeurs proposent des suites complètes, incluant un pare-feu (et, accessoirement, un anti-spam, un contrôle parental, un filtrage du Web, un anti-publicité, un filtrage des cookies, etc. ...).

Lorsque certains Anti-malwares ont résisté à la vague d'absorption (ils ont grossi, atteind une taille critique, et ne sont plus absorbables), ils font la même opération de concentration industrielle en devenant, simultanément, un Antivirus, soit par absorption d'un éditeur d'Antivirus, soit par développement de leur propre base de connaissances.

Antivirus + anti-trojans + anti-spywares + anti....Antivirus + anti-trojans + anti-spywares + anti....Antivirus + anti-trojans + anti-spywares + anti....

Dans les années 2003/2004, des mouvements de concentrations industrielles se sont dessinés et les riches sociétés d'antivirus, existantes depuis 15 ou 20 ans, ont commencé à racheter les plus jeunes sociétés d'anti-trojans / anti-spywares, des classes de malveillances plus récentes mais tendant à être plus virulents que les virus.

Technologiquement, les deux classes de produits (antivirus et anti-trojans) fonctionnent strictement de la même manière. Les opérations de croissance externe ont donc consisté à racheter des bases de signatures d'anti-trojans et de les injecter dans les bases de signatures des antivirus.

Les cibles des antivirus se sont étendues à toutes les formes de parasites. Il s'est opéré une fusion, dans l'industrie informatique, entre ce qui n'était, jusque là, que des antivirus purs et une autre classe de produits logiciels, en croissance rapide, appelés anti-trojans ou anti-spyware.

Les anti-trojans fonctionnaient exactement de la même manière que les antivirus, à base de signatures et d'analyses heuristiques. Ils ne ciblaient que les parasites non viraux et le fer de lance de cette classe était PestPatrol. Cette fusion s'est passée sous forme d'achats d'anti-trojans par les sociétés d'antivirus, qui ont alors incorporé les bases de signatures des anti-trojans dans leurs bases de signatures virales.

Lorsque des anti-trojans - anti-spywares ont atteind la taille critique et ne sont plus absorbables par un antivirus, ils font la même opération de concentration industrielle en devenant, simultanément, un antivirus.

Ce fut le cas d'A2 qui caracole désormais dans le peloton de tête des antivirus sous le nouveau nom d'Emsisoft Anti-Malware (EAM).

Dans une interview accordée par la Team Spybot à Assiste.com le 03.01.2013, il appert que la version 2.1 de Spybot Search & Destroy, planifiée pour le début du second trimestre 2013, comportera un antivirus (et fonctionnera enfin en temps réel) etc. ... (ce qui est désormais le cas).

Anti-malwaresAnti-malwaresAnti-malwares

  • Les logiciels crapuleux (voir La Crapthèque), les PUP, les Scarewares, les Rogues, etc. ... relèvent de l'escroquerie et non des formes virales.
  • Les logiciels publicitaires (adwares), qui s'incrustent dans les ordinateurs, ne sont pas viraux.
  • Les barres d'outils, qui s'injectent dans les navigateurs, pratiquent le Tracking, qui n'est ni une crapulerie ni un virus, même pas une attaque mais une atteinte à la vie privée (de nombreuses barres d'outils interviennent également sur les résultats des moteurs de recherche et modifient ces résultats à la volée - les résultats deviennent « menteurs »).
  • Etc. ...

Toutes ces autres formes de nuisances non virales, sont innombrables et sont ciblées par une classe de logiciels appelés, génériquement, anti-malwares, dont le fer de lance est Malwarebytes Anti-Malware (MBAM).

Mais au même titre que les antivirus purs et les anti-trojans purs ne peuvent survivre et sont amenés à fusionner ou à disparaître, il en va de même avec les anti-malwares.

En 2013 apparaîtrons les premiers anti-malwares incluant des bases de signatures virales, initiant probablement de nouvelles grandes manoeuvres dans l'industrie.

Cas particulier : les manoeuvres autour d'Ad-Aware, depuis le 18 janvier 2011, sont suspectes. Ce produits entre dans la mouvance d'un groupe opérant de nombreux logiciels trompeurs (rogues et Scarewares).

Les Antivirus agissent de deux manièresLes Antivirus agissent de deux manièresLes Antivirus agissent de deux manières

  • Antivirus en temps différé (On-Demand).

    L'utilisateur lance, à la demande (On-Demand - En temps différé), l'exécution de l'analyse de tout ou partie de ses fichiers. Ce mode de fonctionnement est simpliste et les infections sont détectées trop tard, après l'infection qui a déjà fait son oeuvre (espionnage et vols de données etc. ...). Aucun logiciel antivirus n'a d'avenir commercial, ni ne trouvera grâce aux yeux des observateurs, s'il ne fonctionne qu'en mode On-Demand. Le projet libre, gratuit et Open Source ClamAV (connu sous divers noms selon les systèmes sur lesquels il s'installe : ClamWin, Immunet, ClamTk, KlamAV, ClamXav) est de cette nature et est également utilisé dans certains pare-feu pour analyser les flux.
  • Antivirus en temps réel (On-Access).

    L'antivirus s'incruste profondément dans le système d'exploitation et détecte n'importe quelle demande d'accès à une ressource (On-Access - En temps réel), quel qu'elle soit, dont les programmes exécutables. L'antivirus prend le contrôle de cette demande, vérifie la ressource souhaitée, et n'autorise son ouverture que si elle est saine. La ressource infectée est détruite ou bloquée ou mise en quarantaine, ou soumise à la décision de l'utilisateur, selon les caractéristiques de l'antivirus et les réglages faits.

Les Antivirus fonctionnent de plusieurs manièresLes Antivirus fonctionnent de plusieurs manièresLes Antivirus fonctionnent de plusieurs manières

  • Antivirus à analyse statique, par signatures (empreintes - fingerprints).

    Un parasites étant un code exécutable, il fini toujours par être, à un moment donné, même avec toutes ses astuces de camouflages, une suite d'instructions et la représentation binaire de cette suite d'instructions. Les laboratoires de recherches des éditeurs d'antivirus isolent une séquence d'instructions (sa représentation binaire) typique d'un parasite et, autant que faire ce peut, unique à ce parasite de manière à l'identifier par une relation univoque (il faut pouvoir dire : "C'est, avec certitude, ce virus et pas un autre"). Le scanner antivirus va donc, que son fonctionnement soit On-Demand (En temps différé) ou On-Access (En temps réel), rechercher, dans une ressource analysée, la présence d'une ou plusieurs empreintes.
  • Antivirus à analyse heuristique (ou dynamique)

    L'analyse heuristique consiste à charger l'objet à analyser (programme exécutable, script, document pdf, etc. ...), dans un environnement virtuel, une Sandbox.

    Sandbox

    « Sandbox » (« Environnement virtuel » - « Machine virtuelle » - « Ordinateur fictif complet » à l'intérieur d'un ordinateur hôte - assimilable au « bac à sable » des artificiers, permettant de faire exploser une charge en absorbant ses effets - un programme peut y être exécuté sans avoir aucune influence sur la machine hôte et sans laisser aucune trace dans l'hôte de la « Machine virtuelle »).

    On regarde ce que tente de faire l'objet analysé, en fonction de sa nature (tentative d'exploitation d'une faille de sécurité, révélation d'un code viral camouflé lors d'une analyse statique...). Une analyse par signature est exécutée sur le code monté dans la mémoire de l'environnement virtuel. Toutes les actions qui se traduiraient, dans un environnement réel, par des atteintes à l'intégrité de l'ordinateur (protection par un « Packer » rendant une retro-ingénierie impossible, destruction de fichiers qui ne sont pas des fichiers temporaires, modification de fichiers, lancement de processus, désactivation et arrêt de processus (on regarde le nom des processus tués : pare-feu, antivirus et autres logiciels de sécurité...), inscription parmi les processus qui se lancent automatiquement au démarrage de Windows, créations ou modifications dans la base de registre, modification des réglages des navigateurs, etc. ...). Pour avoir une idée des traces de l'activité d'un processus, on peut utiliser la Sandbox gratuite en ligne Anubis, et regarder tout ce qu'a tenté de faire l'application, dans un journal ordonné et annoté automatiquement.

  • Antivirus sans base de signatures

    Certains logiciels, classés dans les antivirus, n'utilisent pas de base de signatures virales mais, plutôt, font une photo d'un système réputé sain au moment de leur installation (système venant d'être installé et jamais connecté à quoi que ce soit et analysé par des antivirus classiques) et signalent tout changement intervenu.
  • Détection ou réparation ?

    Un virus peut être un objet autonome, auquel cas, lorsqu'il est détécté, il suffit de le supprimer. Mais un virus peut être une ou plusieurs séquences d'instructions injectées dans un programme légitime. Dans ce cas, l'antivirus tente, lorsque cela est possible, de désinfecter l'objet, de retirer l'injection, et de le rendre à nouveau sain et utilisable. La réparation n'est pas toujours possible.

Les Antivirus et les faux-positifsLes Antivirus et les faux-positifsLes Antivirus et les faux-positifs

Une séquence de caractères, légitime, dans un nouveau programme légitime, peut s'avérer déjà exister dans un précédant virus, et avoir été utilisée comme empreinte, dans les bases de signatures de certains antivirus. Le nouveau programme va ainsi être classé en virus alors que ce n'est pas le cas. Ceci est appelé un "Faux Positif".

Un comportement habituellement utilisé par les virus peut être utilisé, de manière légitime par d'autres applications. Il en est ainsi de certains utilitaires de sécurité informatique, détruisant certains fichiers et effaçant ou modifiant certaines clés du registre Windows. Dans une analyse de comportement (analyse heuristique, sandboxing, etc. ...), certains ce ces logiciels, sils ne sont pas insérés dans une liste blanche, vont être classés en virus.

Certains antivirus " primaires " ont décidés que l'utilisation du compresseur / décompresseur de code UPX était l'appannage des éditeurs de virus et classent en virus tout ce qui utilise ce compresseur / décompresseur ultra rapide.

Le particulier ne peut pas déterminer, par lui-même, s'il s'agit d'un faux positif. Une analyse instantanée (quelques secondes) par un large pannel d'antivirus, comme VirusTotal, permet de mieux se faire une idée sur un fichier.

Derrière le rideauDerrière le rideauDerrière le rideau


RéférencesRéférences" Références "

Tests et comparatifs des antivirus Windows (Mise à jour août 2016)Tests et comparatifs des antivirus Windows (Juillet 2018)Tests et comparatifs des antivirus Windows (Mise à jour août 2016)

Certains antivirus (pas tous) sont testés régulièrement par des organismes professionnels spécialisés, dont c'est le métier. Ces tests sont les seuls crédibles. (Liste de tests comparatifs criticables).

Qu'en est-il des virus inconnus (nouveaux ou pas) lors des comparatifs d'antivirus ?

Il est impossible de soumettre un virus inconnu à un panel d'antivirus, lors d'un test comparatif, pour la bonne raison que, par essence, le virus ou la menace (malware, exploit, etc.) inconnu est... inconnu ! Le testeur n'en a pas plus connaissance que les produits testés ! Seuls les virus et menaces (malwares, exploits, etc. ...) connus peuvent être soumis.

Un test comparatif qui prétendrait le faire est un test mensonger qui doit immédiatement rejoindre l'interminable liste des tests comparatifs d'antivirus sans aucune crédibilité (liste des comparatifs imbéciles d'antivirus).

Se souvenir à jamais du Rosenthal antivirus test.

Les faiseurs de virus sont nombreux et actifs. Voir, dans la Liste des Outils Gratuits en Ligne (OGL) :

Les graphiques suivants sont extraits de notre document :

  1. Comparatifs antivirus (dernière version, la plus à jour)
  2. Crédibilité des tests comparatifs d'antivirus trouvés dans la presse et les sites Internet (sévères critiques)

Comparatif antivirus janvier 2018Comparatif antivirus juillet 2018 - Confrontation à la Wild List

  1. La Wild List est la liste des virus réellement dans la nature au moment du test. Cette liste est maintenue et partagée par l'ensemble des grands acteurs cooptés du monde des antivirus. Les margoulins, vendeurs de rogues et fakes, ne sont pas admis dans ce cercle de vrais professionnels.
  2. Ces tests sont effectués tous les mois sauf janvier et juillet où les moyennes des 5 mois précédents sont calculées.

Comparatif antivirus - « Virus in the Wild » - Moyenne 2e semestre 2017
Comparatif antivirus - « Virus in the Wild »
Moyenne 2e semestre 2017
Comparatif antivirus - « Virus in the Wild » - février 2018
Comparatif antivirus - « Virus in the Wild » - février 2018
Comparatif antivirus - « Virus in the Wild » - mars 2018
Comparatif antivirus - « Virus in the Wild » - mars 2018
Comparatif antivirus - « Virus in the Wild » - avril 2018
Comparatif antivirus - « Virus in the Wild » - avril 2018
Comparatif antivirus - « Virus in the Wild » - mai 2018
Comparatif antivirus - « Virus in the Wild » - mai 2018

Comparatif antivirus janvier 2018Comparatif antivirus juillet 2018 - Confrontation à des malwares

  1. Malwares est un mot générique pour nommer l'ensemble de toutes les classes de parasites et malveillances (on énumère des centaines de classes de malwares).
  2. Ces tests sont effectués tous les 6 mois, en mars et septembre.

Comparatif antivirus - Test de détection de  « malwares » - Mars 2017
Comparatif antivirus - « malwares »
Mars 2017
Comparatif antivirus - Test de détection de  « malwares » - Septembre 2017
Comparatif antivirus - « malwares »
Septembre 2017
Comparatif antivirus - Test de détection de  « malwares » - Mars 2018
Comparatif antivirus - « malwares »
Mars 2018

Comparatif antivirus janvier 2018Comparatif antivirus juillet 2018 - Impact sur le système (ralentissement)

  1. Impact (ralentissement) sur le système. Dans ces histogrammes, plus la barre est haute, plus l'impact (le ralentissement) est important.
  2. Ces mesures sont effectuées tous les 6 mois, en avril et octobre.

Comparatif antivirus - Impact sur le système - Avril 2016
Comparatif antivirus - Impact sur le système - Avril 2016
Comparatif antivirus - Impact sur le système - Octobre 2016
Comparatif antivirus - Impact sur le système - Octobre 2016
Comparatif antivirus - Impact sur le système - Juin 2016
Comparatif antivirus - Impact sur le système - Juin 2017
Comparatif antivirus - Impact sur le système - Octobre 2017
Comparatif antivirus - Impact sur le système - Octobre 2017
Comparatif antivirus - Impact sur le système - Avril 2018
Comparatif antivirus - Impact sur le système - Avril 2018

RessourcesRessources" Ressources "

http://www.microsoft.com/windows/antivirus-partners/windows-7.aspx

 Requêtes similairesRequêtes similaires" Requêtes similaires "