Antivirus Fonctionnement

Comment ça marche un antivirus

Nous avons déjà évoqué dans un article précédent pourquoi les antivirus ne sont pas suffisants pour assurer la sécurité en ligne, mais il convient cependant de revenir sur le fonctionnement d'un antivirus. Si la plupart des internautes utilisent un antivirus et en sont relativement satisfaits, la question antivirus fonctionnement ne trouve pas toujours de réponses simples. Un logiciel antivirus, ou logiciel anti-virus est un programme informatique utilisé pour prévenir, détecter et supprimer les logiciels malveillants.

A l'origine, les logiciels antivirus ont été conçus pour identifier et supprimer les virus informatiques. Avec la prolifération de différents types de logiciels malveillants, les logiciels antivirus ont commencé à proposer une protection contre d'autres types de menaces informatiques. Parmi elles, on retrouve; les logiciels de rançon, certaines les portes dérobées, les chevaux de Troie, les vers, les outils de fraude, les logiciels publicitaires ainsi que les logiciels espions. Certains développeurs d'antivirus intègrent des protections contre les URL infectées et malveillantes, le spam, les attaques de type scam et phishing, les attaques bancaires en ligne, les techniques d'ingénierie sociale et les attaques DDoS.

Avant que la connectivité à l'internet ne soit généralisée, les virus informatiques étaient généralement propagés par des disquettes infectées. Des logiciels antivirus sont apparus, mais ils étaient relativement peu mis à jour. À cette époque, les contrôleurs de virus devaient essentiellement vérifier les fichiers exécutables et les secteurs de démarrage des disquettes et des supports en dur. L'utilisation d'Internet étant devenue courante, les virus ont commencé à se propager directement en ligne. Au fil du temps, il est devenu indispensable pour les antivirus d'utiliser des algorithmes de détection différents.

illustration : Antivirus fonctionnement

Antivirus fonctionnement : Comment un logiciel Antivirus détecte les menaces ?

Il existe plusieurs méthodes qu'un antivirus peut utiliser pour identifier des logiciels malveillants :

  • Une technique de détection basée sur le comportement qui, au lieu de détecter l'empreinte au moment de l'exécution, l'antivirus exécute les programmes dans un environnement virtuel. En fonction des actions consignées, l'antivirus peut déterminer si le programme est malveillant ou non. Bien que cette technique soit assez efficace, étant donné sa lourdeur et sa lenteur, elle est rarement utilisée dans les logiciels grand public.
  • Les algorithmes d'exploration de données et d'apprentissage machine sont utilisés pour tenter de classer le comportement d'un fichier en fonction d'une série de caractéristiques.

 

Détection basée sur la signature

Les logiciels antivirus traditionnels s'appuient essentiellement sur les signatures pour identifier les logiciels malveillants.

En effet, lorsqu'un logiciel malveillant est découvert par un entreprise d'antivirus, il est analysé par des chercheurs de logiciels malveillants ou par des systèmes d'analyse. Ensuite, une fois que sa nature malveillante est confirmée, une signature du fichier est extraite et ajoutée à la base de données des signatures du logiciel antivirus.

Bien que l'approche basée sur la signature puisse effectivement contenir les épidémies de logiciels malveillants, les créateurs de malwares ont conçus des virus capables de chiffrer des parties de code ou de le modifier afin de se déguiser, de manière à ne plus correspondre aux signatures répertoriées.

Heuristique

De nombreux virus commencent par une seule infection et, par mutation ou perfectionnement par d'autres attaquants, peuvent se transformer en des dizaines de souches légèrement différentes, on les nomme variantes. La détection générique désigne l'identification et l'élimination de menaces multiples à l'aide d'une seule définition de virus.

Il est plus rapide de détecter une famille de virus par une signature générique. Les chercheurs en matière de virus trouvent des points communs que tous les virus d'une famille partagent de façon unique et peuvent ainsi créer une signature générique globale. Une détection utilisant cette méthode est dite heuristique.

Détection de rootkit

Un rootkit est un type de logiciel malveillant conçu pour obtenir un contrôle de niveau administratif sur un système informatique sans être vu. Les rootkits peuvent modifier le fonctionnement du système d'exploitation et parfois altérer le programme anti-virus et le rendre inopérant. Les rootkits sont également difficiles à supprimer, nécessitant dans certains cas une réinstallation complète du système.

 

Fichiers endommagés

Si un fichier a été infecté par un malware, un logiciel antivirus tentera de supprimer le code du virus du fichier pendant la désinfection, mais il n'est pas toujours en mesure de restaurer le fichier. Dans de telles circonstances, les fichiers endommagés ne peuvent être restaurés qu'à partir de sauvegardes ou de copies. Les logiciels installés qui sont endommagés doivent être réinstallés également.

Le cas des microprogrammes

Tout micrologiciel inscriptible dans l'ordinateur peut être infecté par un code malveillant. Un BIOS infecté pourrait nécessiter le remplacement de la puce du BIOS pour garantir la suppression complète du problème. Les logiciels antivirus ne sont pas efficaces pour protéger les micrologiciels et le BIOS de la carte mère contre une infection.