Antivirus et antimalwares fonctionnant « On-demand »

L'expression « On-demand » (à la demande) est utilisée pour désigner l'un des comportements des outils de sécurité ( antivirus, antimalwares, etc.) qui fonctionnent en temps différé.

cr  01.04.2012      r+  21.08.2020      r-  20.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

L'expression « On-demand » est utilisée pour désigner le fonctionnement (le comportement) en temps différé des outils de sécurité qui analysent des objets désignés « à la demande de l'utilisateur ».

L'exécution d'un antivirus en ligne est, typiquement, une analyse « On-demand ».

La demande périodique (une fois par semaine ou une fois par mois) d'analyse de tous les fichiers d'un ordinateur est, typiquement, une analyse « On-demand ».

La demande d'analyse d'un fichier par un service multi-antivirus en ligne est, typiquement, une analyse « On-demand ».

En cas d'infection, ce comportement fait un état des lieux constatant que des parasites se sont installés. Si l'objet détecté a déjà été ouvert, l'analyse « On-demand » arrive trop tard :

• Il fallait l'empêcher de pénétrer
• S'il arrivait à pénétrer, il fallait l'empêcher de s'ouvrir (s'exécuter)

Le comportement « On-demand » est l'inverse des comportements « On-access » et « On-execution » qui sont capables d'analyser en temps réel un objet, par exemple au moment de son téléchargement (« On-access ») ou au moment de la tentative d'accéder au fichier pour l'ouvrir (« On-access ») ou au moment où celui-ci monte en mémoire pour tenter de s'exécuter « On-execution », afin d'autoriser ou d'alerter à propos de cet objet.

• Les analyses « On-demand » peuvent utiliser les trois technologies : Réactive, Proactive, Contrôle d'intégrité, mais c'est généralement l'analyse réactive qui est utilisée. Si le code est obfusqué (brouillé ou chiffé), une analyse de ce type ne verra rien. D'autre part, les analyses « On-demand » seules ne permettent pas de détecter les nouvelles menaces (leurs signatures ne sont pas encore connues).
• Les analyses « On-access » peuvent utiliser les trois technologies : Réactive, Proactive, Contrôle d'intégrité, mais c'est généralement l'analyse proactive qui est utilisée. Si le code est obfusqué (brouillé ou chiffé), une analyse de ce type ne verra rien.
• Les analyses « On-execution » utilisent la technologie Proactive de manière plus subtile. C'est du « On-access » intelligent. Au moment ou un objet tente de monter en mémoire pour s'exécuter, il est obligé de se dévoiler, même s'il était obfusqué (brouillé ou chiffé) avant, car, dans une sandbox (machine virtuelle), on verra ce qu'il fait ou tente de faire. En plus, avec l'ordonnanceur des processus (round-robin), il n'existe plus de risque de collision entre plusieurs antivirus simultanés.

Les analyses « On-demand » seules ne permettent pas de détecter si un code (un programme ou un script, etc.) a déjà été exécuté auparavant. Ce type d'analyse fait un état des lieux et signale la présence de menaces anciennes, qui ont probablement déjà été ouvertes (exécutées...) et ont, sans doute, déjà accompli leur oeuvre obscure. Typiquement, l'antivirus « On-demand » gratuit et open-source du monde Linux, porté sous Windows, ClamAV, et un truc gentillet mais n'offrant aucune protection active. Un véritable antivirus, au comportement « On-access », aurait probablement empêché la pénétration de cette menace ou, si elle avait réussi à pénétrer, en aurait empêché son ouverture/exécution.

Le comportement « On-demand » est de peu d'intérêt (par exemple : nous disposons d'une collection de milliers de parasites divers sur nos disques actuellement branchés, sans que cela ne gène en quoi que ce soit le fonctionnement de nos machines : une analyse "On-access" serait provoquée si nous demandions l'ouverture de l'un de ces fichiers sinon ils peuvent rester là sans aucune incidence. Seule une analyse "On-demand", balayant la totalité de nos partitions, les découvrirait. Tant qu'ils ne sont pas "ouverts" (installés - activés) ils sont totalement inoffensifs, raison pour laquelle les tests comparatifs "On-demand" n'ont aucune utilité - Voir notre article " Tests et comparatifs antivirus ".

Attention ! Tests comparatifs bidons d'antivirus !

Les tests comparatifs « On-demand » des antivirus, dans la presse et sur les sites Web, n'ont aucune signification !

Beaucoup de comparatifs antivirus sont conduits régulièrement par d'importants sites ou d'importantes revues. Ces tests font immédiatement couler beaucoup d'encre et drainent énormément de :

• visiteurs sur ces sites
• acheteurs de ces revues.

Mis à part ces capacités à faire parler d'eux, ces tests, conduits avec des procédures « On-demand », ont-ils le moindre intérêt, la moindre crédibilité ?
Crédibilité des tests et comparatifs des antivirus

1. On-demand

Recherches dans Assiste.com		Recherches sur le Web
On-demand avec Qwant On-demand avec DuckDuckGo On-demand avec StartPage On-demand avec Google On-demand avec Bing On-demand avec Yandex On-demand avec Yahoo! On-demand avec Baidu		On-demand avec Qwant On-demand avec DuckDuckGo On-demand avec StartPage On-demand avec Google On-demand avec Bing On-demand avec Yandex On-demand avec Yahoo! On-demand avec Baidu