Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Bases de signatures

Les « bases de signatures » des antivirus sont des bases de données, mises à jour en continu, des éléments remarquables des malveillances : leurs « signatures » (codes particuliers, méthode ou habitude d'un cybercriminel, ensemble de comportements, etc.).

01.01.2012 - Révision 21.08.2020 - Révision mineure 04.06.2021. Auteur : Pierre Pinard.

Les bases de signatures ne sont pas l'appanage des antivirus, mais c'est de cet usage dont nous allons parler ci-après.

L'une des méthodes pour identifier et classifier un code informatique, au sens de son inocuité ou de sa nocivité, est l'usage de « bases de signatures ».

Les « bases de signatures » sont des fichiers (des bases de données), mis à jour en continue par les éditeurs de solutions de sécurité, contenant des éléments remarquables des malveillances, permettant de reconnaître la « signature » d'une malveillance (un ou des bouts de codes particuliers, une méthode ou habitude de programmation d'un cybercriminel, un ensemble de comportements, etc.).

Ces « signatures » sont identifiées, essentiellement, par un travail humain d'analyse des codes. Selon la nature de l'analyseur de l'antivirus, une signature peut être :

  • Le hashcode (le condensat) d'un extrait significatif (une bribe, un segment).

  • Le hashcode (le condensat) du fichier entier.

  • Des motifs (patterns, modèles) significatifs, qui sont observés de manière univoque (auxquels il faut adjoindre des exclusions [listes blanches] pour éviter les faux positifs).

  • L'identification d'un ensemble de comportements (dans une analyse comportementale du code, à l'intérieur d'une sandbox ou d'une machine virtuelle). Si le code a, par exemple, les comportements X, Y et Z simultanément, c'est probablement une malveillance (une suspicion à signaler à l'utilisateur car il n'y a pas de certitude à ce stade). L'inventaire des combinaisons anormales de comportements simultanés constitue une « bases de signatures » comportementales.

Les « signatures » permettent de détecter des virus ou malveillances inconnus basés sur le code (ou variante) d'une malveillance antérieurement identifiée. Ceci est parfois appelé :

Dès qu'une nouvelle signature est identifiée, elle est injectée dans la base de signatures qui est mise à disposition des utilisateurs. Les solutions de sécurité proposent trois méthodes de mise à jour de ces bases de signatures :

  • La requête par la solution de sécurité se trouvant dans la machine de l'utilisateur (téléchargement des « bases de signatures » depuis les serveurs de l'éditeur). Généralement, la fréquence des requêtes est paramétrable (une fois par jour, une fois par semaine, etc.) Par exemple, Malwarebytes permet des fréquences aussi rapprochées que « toutes les quinze minutes ». Des fréquences plus rapprochées, lorsque l'éditeur a des centaines de milliers d'utilisateurs, aboutiraient à un véritable déni de service (DDoS - Distributed Denial of Service) écroulant la capacité de réponse et de service des serveurs de l'éditeur.

  • Le « push ». Dès qu'une base de signatures est modifiée, elle est poussée par les serveurs de l'éditeur dans tous les ordinateurs de ses utilisateurs. La fréquence est à la discrétion de l'éditeur et tiend compte de l'urgence.

  • Le « cloud ». Dans cette approche, les bases de signatures sont centralisées sur les serveurs des éditeurs et il n'y a rien, ou juste l'essentiel stable, dans les machines des utilisateurs. Le problème des « cloud » et du « cloud computing » est que la solution de sécurité devient un « client » dans une relation « client Bases de signatures serveur » et que :
    Chaque entête de chaque requête HTTP est LE cheval de Troie de la violation de nos vies privées.

Pour constituer une base de signatures compacte, il est donc essentiel de trouver, dans les malveillances, des extraits significatifs et, surtout, ne pouvant pas être retrouvés dans des codes sains et légitimes (risques de faux positifs) et obligation de maintenir une liste blanche d'applications saines à exclure des signalements et destructions, même si elles contiennent un bout de code identique à une signature.

Bases de signatures - Progression et inflation de la taille des bases de signature

Les méthodes d'analyses heuristiques permettent de résoudre le problème, sinon insoluble, de l'explosion du nombre de signatures, rendant toute tentative de créer une base de données exhaustive des signatures impossible car sa taille serait gigantesque et totalement inexploitable.

Avec les générateurs de variantes virales (le même virus est modifié à chaque implantation pour ne jamais avoir deux fois la même signature), ce sont plusieurs centaines de milliers de nouveaux virus qui sont détectés chaque jour, dont il est impossible de mettre toutes les signatures en base de données locales. Lire :

Les consultations en ligne d'une base de données illimitée, sur les serveurs de l'éditeur, peuvent apporter une réponse à ce problème de volume mais les utilisateurs sont frileux, voire totalement hostiles, à tout ce qui touche aux « clouds » et au « cloud computing » devant les opérations de surveillance que permettent ces solutions parfois appelées d'un terme pompeux et à la mode : « cloud » (un « cloud » est une nébuleuse d'ordinateurs appartenant à on ne sait qui, se trouvant dans un pays inconnu [donc relevant d'une législation inconnue, voir hostile, ou pas de législation du tout] et que l'on ne maîtrise pas).

Statistiques : nouveaux virus ajoutés mensuellement (Avast)
Statistiques : nouveaux virus ajoutés mensuellement (Avast)
Si chaque signature pèse 128 octets, une base de données exhaustive augmenterait, chaque mois, sur la seule référence de décembre 2014 selon Avast, de 314 129 * 128 / 1 000 000 000 = 40 mégaoctets soit, sur 1 an, près de 500 mégaoctets.

  • Ces chiffres sont en augmentation constante et rapide

  • D'autres éditeurs annoncent des chiffres encore plus élevés.

  • Une base de données comporte les signatures de plusieurs années de malveillances et, si elle se veut exhaustive, pèse plusieurs gigaoctets.

Sans les méthodes heuristiques, ces bases de données seraient totalement impossibles à utiliser : elles ne monteraient même pas en mémoire !

Dans l'explosion du nombre de virus, il y a trois cas de figure qui relèvent du même but : empêcher l'exhaustivité des bases de signatures par saturation du nombre de signatures et être le plus furtif possible par crétinisation des calculs de condensats :

  • Un virus, ou une malveillance quelconque informatique, une fois mis au point, est passé à un générateur de variantes qui va produire des millions ou des milliards de copies, toutes légèrement modifiées afin de ne jamais avoir de condensats identiques ni de signatures identiques. Le générateur crée des clones comportant des singularités (raison pour laquelle on les appelle des clones singuliers).

  • Le virus informatique est doté de capacités polymorphiques : il mute en se propageant. C'est une forme brillante d'écriture informatique, mais la propagation virale de la malveillance (la méthode classique et ancienne de propagation, qui fait qu'une malveillance est un virus) est en voie de disparition par rapport aux drive-by download, mécanismes publicitaires, utilisation d'un cheval de Troie, sponsoring, repacking, spam, ingénierie sociale, etc.

  • Un virus, ou une malveillance quelconque informatique, une fois mis au point par un attaquant, est amélioré par un autre attaquant. Le nouveau virus est de la même famille mais n'a pas le même code, donc ne contient pas les mêmes segments de code servant de signatures pour identifier le virus originel.

Il reste malgré tout, dans les variantes par clonage ou par polymorphisme, ou dans la réécriture améliorée, des traces plus ou moins révélatrices. Les méthodes heuristiques sont donc des chemins plus courts, plus rapides que les méthodes humaines pour arriver à trouver, dans un objet inconnu, des traces partielles de signatures déjà identifiées, de manières certaines, dans une malveillance servant de matrice initiale et dont toutes les autres variantes sont de la même famille.

Bases de signatures - Progression et inflation de la taille des bases de signature

Dossier (collection) : Virus / Antivirus

Dossier : Virus
Dossier : Antivirus
Dossier : Anti-Spywares
Dossier : Filtres anti-phishing
Dossier : Contrôleurs d'intégrité
Dossier : Web Réputation
Soumission d'un échantillon aux éditeurs d'antivirus (faux positifs...)

Encyclopédie

Virus
Virus Histoire et historique des virus
Virus Charge utile
Virus de boot
Virus à propagation Web : Ver - (Worm)
Virus Macrovirus
Virus Polymorphes (Polymorphisme)
Virus Clones singuliers
Virus Compte-gouttes
Virus dropper
Virus in the Wild
Virus Mac (Apple)
Virus Mesure du risque
Virus Convention de nommage
Virus PebCak
Rogues antivirus (faux antivirus et escroqueries financières)
Que rapporte un rogue (combien d'argent) - ErrorSafe

Cyberarmes - cyberguerres

Virus StuxNet - Attaque d'un site isolé d'Internet
Virus Regin - 10 ans d'activité avant d'être découvert

Comparatifs antivirus

Comparatif antivirus Windows
Comparatif antivirus Android
Organismes crédibles de tests et comparatifs
Crédibilité des tests comparatifs antivirus
Comparatif antivirus avec/sans Windows Update
Comparatif anti-phishing / malwares navigateurs

Archives : Comparatifs AV Windows 2013 09
Archives : Comparatifs AV Windows 2013 10
Archives : Comparatifs AV Windows 2013 11
Archives : Comparatifs AV Windows 2013 12
Archives : Comparatifs AV Windows 2014 07
Archives : Comparatifs AV Windows 2014 12
Archives : Comparatifs AV Windows 2015 01
Archives : Comparatifs AV Windows 2015 05
Archives : Comparatifs AV Windows 2015 09
Archives - Comparatifs AV Windows 2016 01
Archives - Comparatifs AV Windows 2016 08

Archives : Rosenthal's Antivirus Test (ou la stupidité portée aux nues)

Les technologies et méthodes des antivirus

Fonctionnement On-demand
Fonctionnement On-access
Fonctionnement On-execution
Technologie Réactive (« Base de signatures »)
Technologie Proactive (« Heuristique » - « Sandbox »)
Méthodes d'analyses : Heuristiques
Méthodes d'analyses : Sandboxing

Antivirus génériques

* Ad-Aware - (Graves polémiques Ad-Aware)
* AdwCleaner
* AhnLab
* AntiVir (Avira)
Antiy-AVL
* A-Squared (A²)
Avast!
* Avira antivirus Pro
* Avira EU Cleaner
* Avira Free Antivirus
* Avira Internet Security Suite
* Avira Removal Tool
AVG
Bitdefender Antivirus Plus
Bitdefender Family Pack
Bitdefender Antivirus for MAC
Bitdefender Antivirus for MAC et PC
Bitdefender Mobile Security
BitDefender Internet Security
BitDefender Total Security
* BitDefender Quickscan
Bullguard
* ByteHero System Defense Software
CAT-QuickHeal
ClamAV
ClamWin (Open Source, On-demand)
Commtouch
Comodo antivirus
* CounterSpy Anti-spyware
DAVFI
DrWeb
Emsisoft Anti-Malware (EAM)
eSafe
eScan
Eset
eTrust-Vet
Fortinet FortiClient
F-Prot Antivirus
F-Secure Anti-Virus
Forticlient (gratuit)
G Data AntiVirus
Gyrus cinerea - gratuit et mises à jour gratuite
Hitman Pro
Home Network Security Services
Ikarus
Immunet (pour Windows, basé sur ClamAV)
Intego VirusBarrier (pour MAC)
IOBit Malware Fighter
Jiangmin
K7AntiVirus
Kaspersky Anti-Virus
Kaspersky Internet Security - KIS
* Kaspersky Pure
* Malwarebytes Anti-Malware
McAfee AOL Gratuit
McAfee LinuxShield
McAfee Stinger
McAfee VirusScan
Metascan Client (OPSWAT)
Microsoft Removal Tools (MRT)
Microsoft Security Essentials gratuit
* Microsoft Windows Defender gratuit
NOD32
* Norman Virus Control (périmé - N'existe plus)
Norman Security Suite Pro
Norton AntiVirus
nProtect
Outil de suppression de logs malveillants Microsoft
Panda Antivirus
PC Tools une version est gratuite
PC-cillin Internet Security
PCSafer internet security version gratuite
Prevx
Quick Heal (voir CAT-QuickHeal)
Rising Antivirus
Sophos Anti-Virus
* Spybot 1.n - Search and Destroy (Spybot S&D)
* Spybot 2.n - Search and Destroy (Spybot S&D)
SUPERAntiSpyware
Symantec AntiVirus Corporate Edition
Symantec Client Security SCS
SpywareBlaster
TheHacker
* TiraniumData Security
TrendMicro
TrendMicro-HouseCall
TrustPort
VBA32 (VirusBlockAda)
Viguard
Vipre
ViRobot
VirusBarrier
VirusBuster
VirusKeeper
ZoneAlarm Free Antivirus + Firewall
ZoneAlarm Internet Security Suite
ZoneAlarm Extreme Security

Micro-Antivirus gratuits - spécifiques

Dossier : Micro-Antivirus gratuits

Tableau de synthèse
Microsoft - MSRT
McAfee - Stinger
Avira - Removal Tool
Avira - EU-Cleaner
Symantec (Norton) - Virus Removal Tool
F-Secure - Removal tool
Kaspersky - Removal tool
Kaspersky - TDSSKiller
Kaspersky - Rakhni Decryptor
Kaspersky - Rannoh Decryptor
Kaspersky - Scatter Decryptor
Kaspersky - Xorist Decryptor
Kaspersky - Capper Killer
Kaspersky - Kido Killer
Kaspersky - Fipp Killer
Norton - Power Eraser
AhnLab - Tous les micro-antivirus
Sophos - Virus Removal Tool
GData - Anti-FakeAV
ESET - Stand-alone malware removal tools
ESET - Rogue Application Remover (ERAR) 32
ESET - Rogue Application Remover (ERAR) 64
Etc.

Ils utilisent un ou des moteurs tiers

Ils utilisent le moteur Bitdefender
Ils utilisent le moteur Kaspersky
Ils utilisent un ou des moteurs tiers

Procédures de décontamination

Procédure 1 - Décontamination antivirus
Procédure 2 - Décontamination anti-malwares
Forums d'entraide et de décontamination

Organismes fédérateurs et centralisateurs

WildList
The WildList Organization International
Histoire des virus informatique In the Wild
EICAR antivirus test

Supprimer complètement toutes traces d'un antivirus

Comment désinstaller complètement un antivirus

Prévenir plutôt que guérir

Mises à jour périodiques d'un PC sous Windows
Nettoyage périodique d'un PC sous Windows
Protéger navigateur, navigation et vie privée
Bloquer totalement les mécanismes publicitaires




Bases de signatures - Ressources


Outils d'investigations


# Ailleurs sur le Web #

  1. #Bases de signatures#