Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

En psychologie, un comportement « proactif » se dit d'un comportement qui a un effet sur une chose à venir.

Un comportement « proactif » est orienté vers le futur et agit en prévoyant les éventuels problèmes et leur solution.

Un comportement « proactif » se distingue totalement des comportements se contentant de réagir (reactif - reactive) aux situations qui se présentent.

ProactiveAntivirus Proactive Technologie » ou « Proactive Detection ») est le comportement des antivirus lorsqu'ils utilisent leurs « analyses heuristique » ou leur « machine virtuelle » (sandbox - bac à sable) pour la détection prédictive de menaces qui ne figurent pas dans les « bases de signatures ». C'est le comportement utilisé dans le mode de fonctionnement en temps réel (on-access ou on-execution), lors de l'accès à un fichier. Le fichier sollicité inconnu est intercepté (on parle de « crochetage » ou « hook ») et l'antivirus cherche des similitudes d'écriture ou de comportement (analyse heuristique) et l'ouvre dans une « machine virtuelle » (lance son exécution virtuelle s'il s'agit d'un processus exécutable : Liste des types de fichiers à risque) afin de regarder ce qu'il tente de faire. Si son comportement n'est pas suspect, son ouverture par le système d'exploitation, dans la machine réelle de l'utilisateur, est autorisé. Ce type d'analyse permet de détecter les comportements suspects quand bien même le fichier qui contient la menace n'est pas connu et les signatures de la menace ne sont pas encore identifiées. Ce type d'analyses est essentiellement utilisé dans les analyses en temps réel, appelées « on-access » ou « on-execution ».

L'inverse (le complément) est le comportement RéactifAntivirus Reactive Technologie » ou « Reactive Detection »), cherchant les menaces par leurs signatures connues. Il est principalement utilisé dans les analyses à la demande « On-Demand »). Une analyse « On-Demand » de la totalité des fichiers d'un ordinateur, et exploitant la technologie Proactive, est intellectuellement parfaitement envisageable, en plus de l'analyse Réactive, mais risque de prendre plusieurs jours !

Certains antivirus reposent uniquement sur l'analyse proactive (antivirus sans « bases de signatures »).

Un bon antivirus doit être bon dans la durée

Le comportement proactif (la qualité des analyses heuristiques [produisant pas ou très peu de faux positifs], et de la machine virtuelle, donc, la capacité à détecter des menaces inconnues), le plus souvent utilisé lors des analyses « on-access » ou « on-execution », ainsi que le comportement face à la Wild List, sont les deux comportements sur lesquels on portera toute notre attention lors du choix d'un antivirus :

  • Avoir un très bon comportement
  • Avoir ce très bon comportement s'inscrivant dans la permanence, dans la durée (durant plusieurs années consécutives).

Le comportement réactif (qualité / quantité de la base de signatures) est quasiment sans intérêt.

L'utilisateur ne doit pas être versatile et son choix ne se fera pas sur le tout dernier test comparatif des antivirus. Le tout dernier test seul, qu'il soit à 100% de détection, ou un peu moins, n'est pas significatif : un antivirus est acheté pour des années (au moins 12 mois) et il faut s'attacher à la capacité d'un éditeur à être, d'une manière constante, d'une année à l'autre durant de nombreuses années consécutives, au sommet de son art.