mercredi 18 novembre 2009

Comment les antivirus traquent les virus
















Une vingtaine d’années après leur apparition, les virus font partie du quotidien des internautes. D’où la nécessité d’être protégé par un ange gardien : l’antivirus.

Les antivirus ne chôment pas. Les virus, appelés aussi par les experts codes malveillants, pullulent sur la toile. Des milliers sont découverts chaque année ! En permanence et en temps réel, un antivirus doit analyser la signature d’un programme. C’est en quelque sorte son ADN, son empreinte génétique version informatique.



L’analyse des signatures
C’est la première méthode. Pour déterminer si un fichier est dangereux, l’antivirus compare la signature aux dizaines de milliers contenues dans une base de signatures. Cette banque de données est alimentée en permanence par les différents éditeurs de logiciels de sécurité et des experts indépendants.

L’analyse du comportement
Déchiffrer l’ADN des codes malveillants (terme générique pour parler des virus, vers et logiciels espions) n’est plus suffisant aujourd’hui. Une vingtaine d’années après l’apparition des vers et virus qui paralysaient la toile mondiale, les pirates ont fait beaucoup de progrès.

Leur objectif : développer des codes malveillants capables de passer à travers les mailles du filet mis par l’antivirus. L’une des techniques employées consiste à se faire passer pour un programme anodin ayant une signature connue et donc qui ne sera pas dans la base de données des éditeurs.
Pour le repérer, l’antivirus doit dans ce cas analyser les comportements. Un virus cherche des informations précises. L’époque où un pirate cherchait à mettre le bazar dans un PC est révolue depuis belle lurette.
Aujourd’hui, un pirate cherche des données précises qu’il peut ensuite revendre sur le marché noir du net : mots de passe, numéro de carte bancaire et autre données personnelles. Le comportement n’est donc plus le même.

L’antidote
Lorsqu’un code malveillant a été repéré, il est analysé. Le but est de comprendre son développement et son comportement. Comme les laboratoires pharmaceutiques, les éditeurs vont ensuite élaborer un vaccin, en l’occurrence une parade informatique destinée à stopper son fonctionnement et à l’éradiquer de la mémoire de l’ordinateur. 
Une course de vitesse démarre : l’antidote doit être mis au point le plus vite possible et être proposé à la communautaire de la sécurité informatique.

Plus il se passe de temps entre la découverte du virus et la conception du vaccin et plus l’épidémie a un impact important. Généralement, il faut entre 24 et 48 heures pour mettre au point l’antidote. « Il y a quelques années, il fallait parfois un an. Apparu en octobre 2000, le virus Nimda n’a été bloqué que 336 jours après ! », indique Eric Filiol, directeur à l'ESIEA et auteur du livre « Cybercriminalité : enquête sur les mafias qui envahissent le web » (Dunod, 2006).

Lorsqu’un antivirus surveille en permanence un ordinateur, il doit repérer les signatures. Dès qu’il tombe sur un ADN suspect il le bloque et vous le signale. C’est à vous ensuite de prendre la décision : le supprimer ou le mettre en quarantaine.

Des trous dans les mailles du filet

Malheureusement, cette version des choses est idyllique. La réalité est plus inquiétante. Contrairement à ce que prétend la publicité de nombreux antivirus, ce genre de logiciel de protège pas « à 100% votre ordinateur ». Un antivirus ne peut en effet repérer que ce qu’il connaît c’est-à-dire qui est présent dans sa base de signatures virales.

Or, de plus en plus de pirates développent des virus très sophistiqués et qui restent donc inconnus des antivirus.

Différentes études indépendantes et sérieuses ont montré que la plupart des antivirus ne décelaient que 10 % de tous les codes malveillants.
Si une signature ou un comportement suspect n’a pas été repéré et enregistré dans la base de signature, le virus passe inaperçu et il peut donc infecter sans peine un ordinateur !

5 commentaires:

  1. "Différentes études indépendantes et sérieuses ont montré que la plupart des antivirus ne décelaient que 10 % de tous les codes malveillants. "

    auriez-vous des sources à ce sujet ?

    RépondreSupprimer
  2. Effectivement, nous arrivons à une ère de changement pour tous les éditeurs anti-viraux : l'ère de la "signature" s'achève, et pour cause : un peu plus de 20 000 nouvelles souches de malware sont produites par jour. Ces souches ne sont pas des "nouveaux" malware. Ce sont simplement des versions "à peine modifiées", de façon automatisée, destinées à contourner les signatures anti-virales...

    RépondreSupprimer
  3. @ Wadie : il ne s'agit pas d'études publiées dans des magazines mais réalisées par différents experts et qui ne sont pas rendues publiques...

    RépondreSupprimer
  4. @Philippe Richard : Je m'en doutais un peu. Cependant,je suis un peu comme Saint-Thomas.
    je sais que bien que l'information n'est pas fausse, la remarque de Cedreek le confirme (quoique je voudrais bien savoir d'où sort ce 20 000). Mais lancer des chiffres comme ça sans possibilité de les vérifier je trouve que ça diminue la crédibilité. De même, pour des études non rendues publiques, je trouve étrange qu'un journaliste y ait eu accès...

    RépondreSupprimer
  5. C'est exact. Mais le problème est que certains éditeurs (que je ne citerai pas...) interdisent qu'on teste leur produit et surtout qu'on publie les résultats des tests !

    C'est écrit noir sur blanc dans leurs conditions générales.

    RépondreSupprimer