Fonctionnement d’un antivirus : détection, intervention et limites

Un antivirus est un logiciel de détection et de protection qui analyse les fichiers, les scripts, les processus, la mémoire et, selon les composants actifs, certains comportements associés à des logiciels malveillants. Il peut bloquer une exécution, isoler un fichier ou interrompre un processus suspect. Son périmètre est celui de l’appareil sur lequel il est installé : il ne chiffre pas la connexion réseau et ne masque pas l’adresse IP. La confusion entre antivirus et VPN tient souvent à cette frontière. Certaines suites de sécurité ajoutent des couches de filtrage web ou de blocage de domaines malveillants, mais ces composants sont distincts du moteur antivirus lui-même.
Picto : Antivirus fonctionnement

Fonctionnement d'un antivirus : Sommaire

Ce qu’un antivirus fait réellement

La fonction canonique d’un antivirus se résume à quatre verbes : détecter, analyser, bloquer, isoler. Il ne corrige pas les failles du système d’exploitation, ne remplace pas un pare-feu, ne chiffre pas les communications et ne compense pas l’absence de mises à jour logicielles. Ces distinctions importent parce qu’elles délimitent ce qu’on peut légitimement attendre de l’outil.

Les suites de sécurité commerciales ajoutent souvent à ce cœur des fonctions supplémentaires : filtrage d’URL, protection anti-hameçonnage, contrôle réseau, gestionnaire de mots de passe. Ces couches peuvent être utiles, mais elles ne font pas partie de la définition technique d’un antivirus. Les confondre avec le moteur de détection entretient précisément la confusion que ce type de page doit dissiper.

illustration : Antivirus fonctionnement

Où l’antivirus s’insère dans le système

Comprendre le fonctionnement d’un antivirus suppose d’abord de comprendre où il s’insère dans le système. L’antivirus ne voit que ce qu’il peut intercepter, et cette capacité d’interception dépend directement de son point d’insertion.

Analyse à l’accès

C’est le mode de protection en temps réel. L’antivirus analyse un fichier dès qu’une opération le concerne : ouverture, copie, téléchargement, modification. Sur Windows, ce mécanisme s’appuie sur un composant de bas niveau appelé minifiltre de système de fichiers, enregistré dans la catégorie FSFilter Anti-Virus. Ce pilote s’interpose entre toute opération d’entrée/sortie et le système de fichiers, il peut surveiller, filtrer, modifier ou empêcher une opération avant qu’elle n’atteigne sa destination.

Concrètement : lorsqu’un utilisateur double-clique sur un fichier, le minifiltre intercepte l’opération avant que le système d’exploitation ne charge le programme en mémoire. L’antivirus peut analyser le fichier et bloquer son exécution si nécessaire, sans que le code n’ait eu l’occasion de s’exécuter.

Analyse planifiée

En complément de la protection en temps réel, la plupart des antivirus proposent des analyses périodiques complètes du stockage. Ce mode est moins réactif mais permet de détecter des fichiers dormants qui auraient échappé à l’analyse à l’accès, notamment des fichiers reçus avant une mise à jour de définitions qui les couvrait.

illustration antivirus fonctionnement : comment un anticirus détecte les fichiers malveillant.

Analyse à l’exécution et surveillance comportementale

Une fois un processus lancé, certains composants continuent d’observer son comportement en mémoire vive. Sur Windows, Microsoft Defender Antivirus traite la protection heuristique, la surveillance comportementale et l’analyse en temps réel comme des briques de configuration distinctes, chacune couvrant un angle différent. Le suivi comportemental est présenté par Microsoft comme un mécanisme d’observation en temps réel des processus, des activités du système de fichiers et des interactions système.

Pour les scripts et certaines menaces sans fichier, Windows expose une interface dédiée appelée AMSI (Antimalware Scan Interface), qui permet à un antivirus d’inspecter le contenu d’un script, PowerShell, JavaScript, VBScript, au moment où il est soumis à l’interpréteur, avant exécution effective. Microsoft décrit AMSI comme une interface couvrant des analyses de fichiers, de mémoire ou de flux. Elle ne couvre que les scripts soumis via les interfaces supportées, et uniquement si le composant est actif et correctement intégré.

Protection de démarrage

Sur Windows, le mécanisme ELAM (Early Launch Antimalware) permet à des pilotes antivirus certifiés de s’initialiser avant les autres pilotes tiers au démarrage du système. L’objectif est de permettre au composant antimaliciel d’être opérationnel avant qu’un pilote malveillant éventuel ne soit chargé. Cette protection couvre une fenêtre spécifique de la séquence de démarrage ; elle ne s’étend pas à l’ensemble du périmètre d’exécution.

Comment l’antivirus détecte les menaces

Les antivirus modernes combinent plusieurs méthodes de détection. Aucune n’est suffisante seule. Chacune couvre un angle différent et présente des limites structurelles précises.

Signatures, empreintes et règles

La détection par signature reste une composante importante des moteurs antivirus, mais elle n’agit plus seule. Un logiciel malveillant, ou malware, connu est caractérisé par des éléments distinctifs : séries d’octets spécifiques, motifs récurrents dans le code, séquences d’instructions caractéristiques. Ces éléments sont enregistrés dans une base de définitions régulièrement mise à jour. L’antivirus compare les fichiers analysés à ces définitions et déclenche une alerte en cas de correspondance.

Une empreinte de hachage peut faire partie de cette identification, elle représente un fichier exact à l’octet près, mais elle n’est qu’un mécanisme parmi d’autres. Les règles et motifs sont plus robustes face aux variantes mineures d’une même menace.

Limite : toute menace dont les caractéristiques ne figurent pas encore dans la base de définitions est invisible pour cette méthode. Les logiciels malveillants polymorphes, qui modifient leur propre code à chaque réplication, sont conçus précisément pour invalider la détection par correspondance exacte.

Surveillance comportementale

La surveillance comportementale observe ce qu’un processus fait réellement en mémoire, une fois lancé. L’antivirus surveille les actions : accès massif à des fichiers, modification de clés de démarrage automatique, tentative d’injection dans d’autres processus, altération de fichiers système critiques, désactivation de protections. Un comportement qui dépasse un seuil défini comme suspect déclenche l’alerte, même si le fichier à l’origine du processus n’était pas connu comme malveillant. C’est la méthode la plus à même de détecter des menaces nouvelles ou inconnues, y compris certains logiciels malveillants sans fichier qui s’exécutent entièrement en mémoire. Sur Windows, Microsoft Defender Antivirus intègre ce type de suivi comportemental. Limite : la surveillance comportementale intervient après le lancement du processus. Pour un logiciel malveillant à action immédiate et rapide, le délai entre exécution et détection peut suffire à causer des dommages. Elle génère aussi une charge processeur plus élevée que la détection statique.

Heuristique statique et générique

L’analyse heuristique examine la structure statique d’un fichier avant son exécution. Elle recherche des caractéristiques communes à des familles de menaces connues : structure de l’en-tête exécutable, appels système inhabituels, techniques d’obfuscation récurrentes. Contrairement à la détection par signature stricte, elle peut identifier des variantes d’une famille connue sans disposer de leur empreinte exacte. La détection générique en est une forme : elle applique une règle suffisamment large pour couvrir plusieurs souches d’une même famille.

Limite : l’heuristique statique reste aveugle à tout code malveillant structurellement original. Elle génère davantage de faux positifs que la détection par signature exacte.

Émulation et bac à sable

Certains antivirus exécutent un fichier suspect dans un environnement isolé et contrôlé pour observer son comportement sans risque pour le système réel. Cette technique est particulièrement efficace contre les fichiers dont le code malveillant est chiffré et ne se décompresse qu’à l’exécution, rendant l’analyse statique inopérante.

Limite : des logiciels malveillants sophistiqués détectent qu’ils s’exécutent dans un environnement virtualisé, via la vérification de l’activité utilisateur, la détection d’outils d’analyse, ou un délai d’activation, et diffèrent leur comportement malveillant. Cette approche n’est ni universelle ni déployée de manière homogène selon les produits.

Réputation, analyse distante et apprentissage automatique

Les antivirus modernes intègrent souvent une consultation en temps réel de bases de réputation hébergées dans le nuage : un fichier inconnu localement est soumis à une vérification auprès des serveurs de l’éditeur, qui peuvent disposer d’informations plus récentes que la base locale. L’apprentissage automatique intervient comme couche d’aide au verdict, il peut classer un fichier comme suspect sur la base de caractéristiques statistiques, sans correspondance avec une règle explicite. Ces approches améliorent la couverture sur les menaces émergentes ; leur fiabilité dépend de la qualité des modèles et des données d’entraînement propres à chaque éditeur.

Comment l’antivirus agit après détection

La détection n’est que la première étape. L’antivirus doit ensuite décider de l’action à mener selon la nature de la menace et le niveau de certitude de son verdict.

  • Blocage : si la détection intervient avant l’exécution, le chargement du fichier est annulé. L’utilisateur est alerté. C’est le cas le plus favorable.
  • Mise en quarantaine : le fichier est déplacé dans un espace isolé, inaccessible aux autres processus. Il ne peut plus s’exécuter ni se propager. La quarantaine est préférée à la suppression immédiate lorsque le verdict n’est pas certain, un faux positif peut être réversible depuis la quarantaine.
  • Tentative de désinfection : pour les virus classiques qui s’attachent à un fichier hôte légitime, l’antivirus peut tenter d’extraire le code malveillant et de restaurer le fichier original. Cette opération n’est pas toujours possible et dépend du type d’infection.
  • Suppression : si le fichier est trop endommagé ou si la menace est trop intégrée pour être extraite, la suppression reste la seule option. La restauration ne peut alors venir que d’une sauvegarde externe.

Ce dernier point a une implication directe : un antivirus ne remplace pas une stratégie de sauvegarde. Face à un rançongiciel qui a commencé à chiffrer des données avant détection, l’outil de détection n’a plus de prise sur l’intégrité des données.

Les limites structurelles

Certaines limites ne sont pas des lacunes corrigeables par une mise à jour : elles tiennent à la nature de l’outil ou à la position qu’il occupe dans le système.

Le délai entre apparition d’une menace et couverture fiable

Entre l’apparition d’une menace nouvelle et sa couverture fiable par les moteurs antivirus, un délai incompressible subsiste : collecte de l’échantillon, analyse, production de règles, distribution, puis téléchargement côté client. Les protections comportementales et les services dans le nuage peuvent réduire ce délai, mais pas le supprimer. Les menaces les plus dangereuses sont précisément conçues pour exploiter cette fenêtre.

Les rootkits et menaces très basses dans la pile

Un rootkit conçu pour s’installer au niveau du noyau du système d’exploitation peut modifier les appels système pour masquer sa présence : fichiers invisibles dans les répertoires, processus absents du gestionnaire de tâches, résultats d’analyse altérés. Face à des menaces opérant très bas dans la pile logicielle, la visibilité et la capacité de blocage de l’antivirus se réduisent fortement. Sur Windows, des mécanismes comme ELAM et les pilotes noyau certifiés étendent partiellement cette visibilité, mais ne la rendent pas exhaustive. Un antivirus grand public n’est pas structurellement omniscient face aux menaces de démarrage ou de bas niveau.

Les menaces sans fichier et les scripts

Un logiciel malveillant sans fichier ne s’écrit jamais sur le disque. Il s’exécute entièrement en mémoire vive, en détournant des outils légitimes déjà présents sur le système, interpréteurs de scripts, outils d’administration, processus système. La détection par signature est inopérante faute de fichier à analyser. AMSI permet à certains antivirus d’inspecter le contenu des scripts avant exécution, ce qui couvre partiellement ce vecteur, mais uniquement pour les scripts soumis via les interfaces supportées, et uniquement si le composant est actif et correctement intégré.

Les microprogrammes

Le micrologiciel reste en dehors du périmètre standard de la plupart des antivirus grand public. Un code malveillant implanté au niveau du BIOS ou de l’UEFI persiste à travers les réinstallations complètes du système. Certaines solutions avancées ou environnements d’entreprise intègrent désormais des capacités d’analyse du firmware, mais elles ne constituent ni une capacité universelle ni une garantie exhaustive.

L’ingénierie sociale

Un utilisateur qui autorise lui-même l’installation d’un logiciel, qui saisit ses identifiants sur une fausse interface, ou qui exécute une macro dans un document bureautique ne déclenche aucune alerte technique automatique, et peut pourtant se retrouver piraté. L’antivirus peut bloquer le fichier vecteur s’il est connu, filtrer l’URL si la suite intègre ce composant, mais il ne peut pas intercepter une décision humaine. C’est la limite la plus difficile à couvrir par des moyens purement logiciels.

Ce qu’il faut en retenir

Un antivirus est une couche de protection importante, dont l‘efficacité repose sur la mise à jour continue des définitions, l’activation de ses différents composants et la compréhension de ce qu’il couvre réellement. Ce n’est pas une protection absolue : selon la nature de la menace, sa position dans le système et la part de décision laissée à l’utilisateur, la capacité de l’antivirus à voir, bloquer ou réparer peut diminuer fortement.

Share This