Antivirus : logiciels gratuits ou commerciaux cherchant à identifier la malveillance de codes informatiques, à en neutraliser les effets et à les éliminer.

cr  03.08.2022      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les antivirus sont des applications logicielles, gratuites ou commerciales, à installer localement ou à utliser en ligne, cherchant à identifier les codes informatiques malveillants, à en neutraliser les effets et à les éliminer.

Les « virus » purs, au sens étymologique du terme, n'existent plus et ne sont qu'une forme historique d'un terme qui, par facilité de langage, englobe désormais toutes les innombrables formes de malveillances.

Les antivirus peuvent protéger un appareil individuel, tout un réseau, les serveurs de messagerie, etc. Selon la technologie employée par l’antivirus, l’identification du code malveillant peut intervenir :

• Avant que celui-ci ne pénètre l’appareil à protéger. L'antivirus intercepte chaque fichier entrant dans une zone totalement interdite et l'analyse avant de le laisser passer ou de l'effacer. L'antivirus a-t-il une connaissance préalable du code malveillant dans ses bases de signatures (par exemple connaissance de son hashcode), ou simulation de l’exécution du code inconnu dans une machine virtuelle (sandbox - bac à sable) - pour identifier ses comportements (analyse heuristique - détection prédictive).

• Après sa pénétration et avant son activation, en analysant les fichiers nouvellement installés dans l’appareil (analyse « on demand »).

• Avant son exécution lorsque celui-ci monte en mémoire (analyse « on access »). Toutefois, à ce niveau, il est encore possible à une malveillance de cacher son code réel et de passer au travers de ce type d'antivirus.

• Au moment où il tente de s’exécuter (analyse « on execution » [« temps réel »]). Même une malveillance cachant son code va être obligée d'entièrement se révéler pour pouvoir s'exécuter et l'antivirus élèvera les murs d'une machine virtuelle pour voir ce qu'il tente réellement de faire (et bien d'autres analyses de son code et de son activité).

Les antivirus sont donc de différentes formes et, pour les plus évolués d’entre eux, offrent toutes les formes simultanées :

On distingue les scanners simples « gratuits en ligne » et les scanners simples « gratuits locaux ». De quoi s'agit-il ? L’un est l’autre sont les mêmes puisque :

• Les antivirus dits « en ligne » à code installé localement. Il s'agit d'analyser rapidement tous les fichiers. Tout se passe dans l’appareil de l’utilisateur et rien ne sort, hormis du code identifié comme malveillant (ou suspecté de l’être) pour une analyse humaine approfondie par les ingénieurs du développeur et leurs moyens avancés.

• Les antivirus dits « en ligne » à code restant dans le centre de calcul de l’éditeur. Cela permet d'utiliser le tout dernier code d'analyse, à la minute près, et les toutes dernières bases de données de signatures. Mais cela conduit à exporter tous les fichiers de l’utilisateur semblant contenir du code et dont le hashcode est inconnu, un par un, ce qui consommerait un temps fou, de la bande passante, et une perte de confidentialité insoutenable.

Ces antivirus « en ligne » peuvent être lancés à tout moment par les utilisateurs, même par ceux dotés d’un véritable antivirustemps réel, afin de se rassurer, se réconforter. Ils apportent :

• Chez l’utilisateur, une aide à la détection, mais trop tard. Le mal est fait.

• Chez les éditeurs, une aide pour enrichir leurs bases de connaissances et de signatures.

La propagation des malveillances se fait de diverses manières dont les plus importantes sont :

• L'exploitation de failles de sécurité (Alertes et avis de failles de sécurité au jour le jour).

• Le téléchargement de crack de logiciels (scène Warez).

• Les pièces jointes à des messages.

• Les rootkit et séquences de boot (bootstrap - bootloader - bootable - le secteur de démarrage [MBR - Master Boot Record, Zone d'amorçage]).

Pourquoi ajouter un anti-malwares alors que j'ai déjà un antivirus ?

1. Parce que les virus classiques n'existent quasiment plus !

2. Parce que, début 2012, les virus ne représentent plus que 0,5% des malveillances.

Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus.

Pourquoi ? Parce que les anti-spywares, anti-trojans, etc. fonctionnent sur exactement les mêmes principes et les mêmes technologies (bases de signatures, analyses heuristiques, sandboxing en machine virtuelle, etc.) que les antivirus qui, eux, savent le faire depuis bien plus longtemps qu'eux et ont une assise financière bien plus élevée.

Les antivirus avaient méprisé tout ce qui n'était pas « virus » (la « noblesse » des malveillances, à l’époque), mais la mutation des parasites était en route.

Nous annoncions également, depuis 2007, que les « virus » ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.

Les virus « classiques » n'existent plus.

L'éditeur d'une solution antivirus et antimalwares Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques, écrivait, en 2012 :

Plus de 10 ans plus tard, les virus « classiques » n'existent plus.

Dans les années 2003/2004, des mouvements de concentrations industrielles se sont dessinés et les riches sociétés d'antivirus ont commencé à racheter les relativement plus petites sociétés d'anti-malwares (anti-trojans / antispywares, etc.). Les sociétés d'antivirus sont les plus « grosses », en matière de surface financière, dans le trio de tête de la sécurité :

1. Antivirus.

2. Pare-feu.

3. Anti-malware.

Dès ces années 2003/2004, quiconque veut survivre, dans cette industrie, se doit d'offrir un produit intégré (tout-en-un) et rachète (la croissance externe est privilégiée, car plus rapide et plus fiable que le développement interne à partir de zéro dans des domaines pas ou mal maîtrisés) un éditeur d'un pare-feu, puis un éditeur d'un anti-malwares et, accessoirement, d'autres produits comme un antispam, un contrôle parental...

Technologiquement, les deux classes de produits (antivirus et anti-malwares) fonctionnent strictement de la même manière, à base de signatures (hashcodes + recherche de motifs [pattern] et d'analyses heuristiques). Les antivirus ne ciblaient que les virus et l'immense liste de tous leurs dérivés (worms [vers], etc.), les anti-malwares ne ciblaient que les parasites non viraux (spywares, adwares, keyloggers, chevaux de Troie, et l'immense liste des parasites non viraux).

Les opérations de fusion par croissance externe ont donc consisté, pour les sociétés d'antivirus, à racheter des bases de signatures d'une classe d'outils en croissance rapide, les anti-malwares et de les injecter dans les bases de signatures de leurs produits (ou, plus rarement, de conserver deux moteurs et deux bases de signatures côte à côte le temps de rendre les deux interopérables et de les fusionner).

Les cibles des antivirus se sont donc étendues à toutes les formes de logiciels parasites.

Le fer de lance de la classe des anti-malwares était PestPatrol.

1. Computer Associates ouvre les hostilités le 17 août 2004 avec le rachat de PestPatrol Antispywares.

2. Quatre mois plus tard, le 16 décembre 2004, Microsoft réplique et rachète GIANT Antispywares.

3. Le 16 août 2005, Symantec, qui a développé son propre antivirus sous le nom de Norton Antivirus (rien à voir avec leur rachat de la société Norton le 15 mai 1990), rachète Sygate et ses pare-feux.

4. Etc.

Dès 2004, Assiste avait annoncé la concentration inéluctable entre ces classes de produits. Elle est aujourd'hui (2013) achevée. Tous les antivirus sont devenus, également, des anti-malwares, et tous les éditeurs proposent des suites complètes, incluant un pare-feu (et, accessoirement, un anti-spam, un contrôle parental, un filtrage du Web, un anti-publicité, un filtrage des cookies, un vérificateur des exécutions des correctifs aux failles de sécurité, etc.).

Lorsque certains anti-malwares ont résisté à la vague d'absorption (ils ont grossi, atteint une taille critique, et ne sont plus absorbables), ils font la même opération de concentration industrielle en devenant, simultanément, un antivirus, soit par absorption d'un éditeur d'antivirus, soit par développement de leur propre base de connaissances.

• Ce fut le cas de l'excellent anti-malwares nommé A2 qui, désormais, sous le nom d'Emsisoft Anti-Malware, caracole dans le peloton de tête des deux meilleurs antivirus (avec Kaspersky) en embarquant l'antivirus BitDefender.

• Ce fut le cas de Spybot Search & Destroy. Dans une interview accordée par la Team Spybot à Assiste.com le 03.01.2013, il appert que la version 2.1 de Spybot Search & Destroy, planifiée pour le début du second trimestre 2013, comportera un antivirus (et fonctionnera enfin en temps réel), etc. ce qui est désormais le cas (Spybot Search & Destroy utilise l'antivirus BitDefender, comme de nombreux autres [Ils utilisent BitDefender]).

• Il y a même le cas d'Ad-Aware (formellement, désormais, Adaware), racheté par un groupe plus ou moins maffieux, éditeurs de crapwares, qui s'est mis à l'antivirus (après plusieurs tentatives d'utilisations de divers moteurs tiers, ils sont passés, avec la version 10 d'Ad-Aware, au moteur BitDefender. Le simple fait qu'Ad-Aware soit dans le giron de Lulu Software permet d'interdire l'usage de ce produit (ainsi que le fait qu'ils utilisent, comme plateforme de paiement, un autre de leurs services, à la réputation sulfureuse et la crapulerie dénoncée dans de multiples plaintes en justice : Upclick complaints).

1 Tests et comparatifs des antivirus Windows

Certains antivirus (pas tous) sont testés régulièrement par des organismes crédibles de tests et comparatifs antivirus, dont c'est le métier, les autres étant des comparatifs critiquables, voire imbéciles.

2 Prétention de tests et comparatifs d'antivirus avec des virus inconnus

Il est impossible de soumettre un virus inconnu à un panel d'antivirus, lors d'un test comparatif, pour la bonne raison que, par essence, le virus ou la menace (malware, exploit, etc.) inconnu est... inconnu ! Le testeur n'en a pas plus connaissance que les produits testés ! Seuls les virus et menaces (malwares, exploits, etc. ...) connus peuvent être soumis.

Un test comparatif qui prétendrait le faire est un test purement mensonger qui doit immédiatement rejoindre l'interminable liste des comparatifs d'antivirus sans aucune crédibilité (liste des comparatifs imbéciles d'antivirus).

Se souvenir à jamais du Rosenthal antivirus test.

3 Comparatif antivirus - Confrontation à la Wild List

1. La Wild List est la liste des virus réellement dans la nature au moment du test. Cette liste est maintenue et partagée par l'ensemble des grands acteurs cooptés du monde des antivirus. Les margoulins, vendeurs de rogues et fakes, ne peuvent approcher ce cercle très fermé de vrais professionnels. Par contre, certains développeurs de virus ou malveillances sont extrêmement brillants et peuvent tenir en échec des antivirus durant des années (voir, par exemple, Equation Group et Shadow Brokers).

2. Ces tests comparatifs sont effectués tous les mois sauf janvier et juillet où les moyennes des 5 mois précédents sont calculées.

Les graphiques suivants sont extraits de nos comparatifs antivirus. Il est important de lire nos sévères critiques de comparatifs antivirus imbéciles trouvés dans la presse et sur certains sites Web.

Comparatif antivirus - « Virus in the Wild » Moyenne 2e semestre 2017

Comparatif antivirus - « Virus in the Wild » - février 2018

Comparatif antivirus - « Virus in the Wild » - mars 2018

Comparatif antivirus - « Virus in the Wild » - avril 2018

Comparatif antivirus - « Virus in the Wild » - mai 2018

4 Comparatif antivirus - Confrontation à des malwares

1. Malwares est un mot générique pour nommer l'ensemble de toutes les classes de parasites et malveillances (on énumère des centaines de classes de malwares).

2. Ces tests sont effectués tous les 6 mois, en mars et septembre.

Comparatif antivirus - « malwares » Mars 2017

Comparatif antivirus - « malwares » Septembre 2017

Comparatif antivirus - « malwares » Mars 2018

5 Comparatif antivirus juillet 2018 - Impact sur le système (ralentissement)

1. Impact (ralentissement) sur le système. Dans ces histogrammes, plus la barre est haute, plus l'impact (le ralentissement) est important.

2. Ces mesures sont effectuées tous les 6 mois, en avril et octobre.

Comparatif antivirus - Impact sur le système - Avril 2016

Comparatif antivirus - Impact sur le système - Octobre 2016

Comparatif antivirus - Impact sur le système - Juin 2017

Comparatif antivirus - Impact sur le système - Octobre 2017

Comparatif antivirus - Impact sur le système - Avril 2018

6 Services d'antivirus pour cybercriminels

Il existe une foule de services multiantivirus gratuits en ligne, agissants dans le darkweb, reprenant l'esprit de VirusTotal et autres services multiantivirus gratuits en ligne, dédiés à la cybercriminalité. Ces services naissent et meurent à toute vitesse, et renaissent aussi vite sous un autre nom. Le but est, pour les cybercriminels, de mettre au point un virus qui ne sera pas détecté par aucun antivirus et, si le virus en cours de mise au point est détecté par un ou plusieurs antivirus, le cybercriminel corrige son code tandis que les antivirus de ces services multiantivirus pour cybercriminels ne communiquent pas les échantillons détectés aux autres antivirus utilisés, contrairement aux VirusTotal (plus de 70 antivirus en 2020 et autres services publics). Ces services multiantivirus en ligne pour cybercriminels sont payants (entre cybercriminels on n'est pas là pour s'entraider, mais pour se faire du fric), permettent aux cybercriminels de vérifier que les virus ou les malveillances qu'ils sont entrain de développer et s'apprêtent à lancer dans la nature, NE SONT PAS DÉTECTÉS, y compris par les analyses heuristiques et dans les sandbox (ou la virtualisation) des antivirus / antimalwares.

Les faiseurs de virus sont nombreux et actifs :

• Ils testent leurs fabrications de virus en les soumettant à des antivirus multimoteurs gratuits en ligne :
  Page des services antivirus multimoteurs gratuits en ligne, chapitre 7 (FAQ des scanners multiantivirus en ligne), paragraphe 2 (Je n'arrive pas à accéder au service multiantivirus), il est développé le fait que de nombreux développeurs de virus et autres malveillances utilisent des versions silencieuses de services antivirus multimoteurs (payants et ne faisant jamais remonter les résultats de leurs analyses auprès des éditeurs des antivirus utilisés).

• Introduction aux sandboxes gratuites en ligne et leur liste.

Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.