Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Reactive (Antivirus Reactive Technology ou Reactive Detection) est le comportement des antivirus lorsqu'ils utilisent leurs « bases de signatures » pour la détection des menaces. C'est le comportement plutôt utilisé dans le mode de fonctionnement à la demande, lorsqu'on fait une demande d'analyse des fichiers (« On Demand »).

La technologie traditionnelle, réactive, reposant sur les « bases de signatures », permet d'identifier, de manière unique, un exemplaire (une version) spécifique d'une menace (virus, malveillance, etc.) et, partant, ne peut fournir une protection que contre une quantité très limitée de contenus malveillants préalablement identifiés. Cette technologie réactive, par nature, nécessite la connaissance préalable d'une version exacte de la malveillance pour qu'un moteur antivirus puisse la détecter.

Malheureusement, pour luter contre les antivirus à base de signatures, les cybercriminels utilisent deux outils :

  1. Générateurs de variantes virales - Polymorphisme
  2. Générateurs de variantes virales - Clones singuliers

Un même virus ou un même malware est généré à des millions d'exemplaires tous différents, introduisant des millions de variantes, qui rendent impossible la constitution d'une « bases de signatures » exhaustive contre chaque menace. C'est aussi la raison pour laquelle les antivirus sont obligés de mettre à jour leurs bases de signatures perpétuellement, à la minute près.

Il existe une technologie complémentaire, appelée ProactiveAntivirus Proactive Technologie » ou « Proactive Detection »). Il s'agit de détections des menaces par des méthodes heuristiques, mises en oeuvre par l'ouverture (l'exécution) du fichier dans une machine virtuelle (sandbox), afin de regarder ce que le fichier tente réellement de faire, dans l'ignorance totale de ses signatures. C'est ce qui est typiquement fait lors des analyses dites « On access »). Des études anciennes ont démontré qu'un antivirus auquel on retire sa base de signatures continue à arrêter 80% des virus grâce à ses technologies Proactive.

Un bon antivirus doit être bon dans la durée

Le comportement proactif (la qualité des analyses heuristiques [produisant pas ou très peu de faux positifs], et de la machine virtuelle, donc, la capacité à détecter des menaces inconnues), le plus souvent utilisé lors des analyses « on-access » ou « on-execution », ainsi que le comportement face à la Wild List, sont les deux comportements sur lesquels on portera toute notre attention lors du choix d'un antivirus :

  • Avoir un très bon comportement
  • Avoir ce très bon comportement s'inscrivant dans la permanence, dans la durée (durant plusieurs années consécutives).

Le comportement réactif (qualité / quantité de la base de signatures) est quasiment sans intérêt.

L'utilisateur ne doit pas être versatile et son choix ne se fera pas sur le tout dernier test comparatif des antivirus. Le tout dernier test seul, qu'il soit à 100% de détection, ou un peu moins, n'est pas significatif : un antivirus est acheté pour des années (au moins 12 mois) et il faut s'attacher à la capacité d'un éditeur à être, d'une manière constante, d'une année à l'autre durant de nombreuses années consécutives, au sommet de son art.