La chasse aux malwares est ouverte !
Aujourd’hui, l’antivirus doit faire face à des menaces diverses, qui ne sont pas seulement des virus. En effet, on utilise souvent le terme « virus » pour généraliser un ensemble de programmes malveillants mais le « vrai » terme est malwares. Les malwares regroupent notamment les virus, les vers et les chevaux de Troie (Trojan).
Les virus, de manière générale, sont des programmes qui viennent perturber le fonctionnement d’un logiciel, d’un fichier ou de tout autre document informatique. Leur particularité consiste à se propager de manière à occasionner un maximum de dysfonctionnements sur l’ordinateur contaminé : accroissement anormal de l’utilisation de la mémoire vive (RAM), système ralenti ou instable, retard à chaque exécution d’applications, échec du démarrage de Windows, formatage de disque dur…
Le ver, quant à lui, a la capacité de se répliquer au travers d’un réseau informatique passant ainsi d’ordinateur en ordinateur sans action de la part des utilisateurs.
Enfin, le cheval de Troie, connu aussi sous le nom de Trojan, est un programme qui prend l’apparence d’un programme valide et qui contient une fonction cachée lui permettant de contourner la sécurité du système informatique. Ceci permet donc à un pirate de s’introduire dans un ordinateur et de consulter, modifier ou détruire les fichiers qui y sont présents. Néanmoins, je tiens à vous rassurer ce type de bestiau ne se reproduit pas !
Comment l’antivirus fait-il pour détecter tous ces malwares ?
La recherche de signature, ou scanning, est l’une des méthodes les plus anciennes et les plus utilisées. Son action est effective en temps réel et/ou à la demande de l’utilisateur. Elle consiste en un balayage d’un fichier, d’un dossier ou même du disque dur complet afin de détecter la présence d’un malware grâce à sa signature. La signature d’un malware est l’équivalent de notre ADN, elle est unique et reconnaissable parmi mille autres fichiers malveillants. L’avantage de cette méthode est qu’elle permet de détecter les virus avant leur exécution.
La deuxième méthode, le moniteur de comportement, a pour objectif de surveiller en permanence le comportement des logiciels actifs. Si une anomalie est détectée (exemple : une tentative de formatage d’un disque, une modification de la base de registre de Windows), il en avertit l’utilisateur par un message visuel et/ou vocal. Cette technique de protection est indispensable pour surfer sur Internet en toute tranquillité.
L’analyse heuristique est une méthode complémentaire aux deux autres. C’est la méthode la plus puissante car elle permet de détecter d’éventuels virus dont l’antivirus ne connaitrait pas encore la signature. Pour ce faire elle se base sur des similitudes de signatures de virus existants. Cette méthode génère parfois de fausses alertes.
Une fois pris dans les mailles de son filet, que deviennent ces malwares ?
- Réparer le fichier : l’antivirus « soigne » le fichier infecté.
- Supprimer le fichier : si la réparation du fichier n’est pas envisageable, l’antivirus peut le supprimer mais il faut prendre des précautions afin de ne pas supprimer un fichier important.
- Mise en quarantaine du fichier : si le fichier infecté ne peut ou ne doit pas être supprimé (fichier sensible, document personnel) alors il sera isolé jusqu’à une éventuelle réparation.
Les mises à jour : pour un fonctionnement optimal de l’antivirus
Avant, à l’époque de la disquette, on s’échangeait des données de main en main et ceci rendait la propagation des virus très lente. Aujourd’hui, en se connectant sur le Web, c’est l’équivalent de plus de 1000 échanges de disquettes qui sont réalisés par jour voir même par heure. Ce phénomène accélère la diffusion des virus. De plus, avec Internet il n’y a plus de distance : un virus se trouvant à New-York peut très bien venir jusqu’à Roubaix. Il est donc nécessaire de maintenir son antivirus à jour pour que ce dernier puisse répondre aux attaques dans les plus brefs délais ! Les mises à jour servent aussi à sortir les fichiers infectés de leur quarantaine en leur apportant une solution.
Il y a deux types de mises à jour :
- Mise à jour de la base de signatures : prise de connaissance de l’existence de nouveaux malwares.
- Mise à jour de l’antivirus : amélioration des performances, des fonctionnalités, de l’ergonomie de l’antivirus
Les mises à jour peuvent être exécutées manuellement, à la demande de l’utilisateur ou de façon automatique. La deuxième technique est fortement conseillée car elle fait l’impasse sur tous oublis de mise à jour de la part de l’utilisateur.
Les frères d’armes de l’antivirus
- Les logiciels espions (spywares) : ces logiciels malveillants s’installent dans un ordinateur afin d’en espionner le contenu, et peuvent collecter et transférer diverses informations et ceci à l’insu de l’utilisateur.
- Les spams : courriers électroniques non sollicités et/ou indésirables.
- Les intrusions : tentatives de connexion sur un ordinateur, via Internet, dans le but d’espionner son contenu et d’y récupérer des informations. Contrairement aux spywares, il n’y a pas d’installation de logiciels (le pirate peut, par exemple, s’introduire dans l’ordinateur via une faille de sécurité de Windows).
Ici, chaque menace nécessite un programme spécifique pour être stoppée. Les logiciels espions sont contrés par un antispyware. Les spams sont filtrés par un antispam. Quant aux intrusions, elles sont bloquées grâce à un pare-feu (firewall).
Avec tout cet attirail, l’ordinateur a de quoi ressembler à une caisse à outils ! Gérer plusieurs programmes de protection peut devenir fastidieux :
- Il faut vérifier la mise à jour de chacun des programmes.
- Il faut s’assurer que tous les programmes sont actifs au démarrage de l’ordinateur.
- L’installation de plusieurs logiciels de sécurité (antivirus, pare-feu…) issus de différents fabricants peut provoquer des dysfonctionnements dus à leur incompatibilité.
Mais comme je le dis souvent « la nature est bien faite » et il existe des solutions complètes qui regroupent l’ensemble de ses programmes. Par exemple, la solution Securitoo AntiVirus Firewall regroupe un antivirus, un antispyware, un pare-feu et un antispam. Avec ce type de solution, il est possible de tout gérer au travers d’un seul tableau de bord. Ainsi, d’un coup d’œil vous pouvez savoir si toutes les protections sont actives et mises à jour. C’est bien connu, l’union fait la force !
Quelques idées reçues sur les logiciels de sécurité
« Deux antivirus valent mieux qu’un ! »
C’est faux ! Cela peut entrainer une consommation importante des ressources de l’ordinateur qui le feront ralentir. De plus, des conflits entre les deux antivirus peuvent se produire notamment lorsqu’ils lancent une analyse simultanée : un fichier ne peut pas être analysé par deux antivirus en même temps.
« Un antivirus me suffit, je n’ai besoin d’aucune autre protection ! »
C’est faux ! Nous l’avons vu tout au long de cette article, les menaces sont diverses et variées : virus, ver, cheval de Troie, spam, spyware… Ceci sous-entend qu’un antivirus seul ne pourra pas faire face à toutes ses attaques. Il faut opter pour une solution complète qui regroupe plusieurs outils de protection : antivirus, antispam, antispyware et pare-feu.
« Mon antivirus fait ralentir mon ordinateur. »
C’est… Ce n’est pas faux. Lors du démarrage, le chargement des programmes de sécurité peut provoquer quelques ralentissements. Ceci s’explique par le nombre important de services qui s’enclenchent pour protéger l’ordinateur. Pendant l’utilisation de l’ordinateur, des ralentissements peuvent se faire sentir. Il s’agit parfois de l’antivirus qui effectue une analyse complète des fichiers. Il est possible de stopper cette analyse, mais je vous le déconseille vivement ! Il est préférable de la programmer à une heure spécifique où l’ordinateur est peu sollicité.
« Mon routeur fait pare-feu donc je n’ai pas besoin de pare-feu logiciel ! »
C’est faux ! Effectivement, la plupart des routeurs peuvent ouvrir ou fermer certains ports et ainsi bloquer des intrusions mais ils sont dans l’incapacité de filtrer les données qui y transitent. Le pare-feu logiciel est en mesure d’effectuer un filtrage spécifique pour chaque application nécessitant un accès à l’ordinateur ou un accès extérieur.
Notre antivirus accomplit chaque jour de grands exploits en affrontant tambour battant les diverses menaces auxquelles il est confronté. Accompagné de ses frères d’armes (pare-feu, antispam et antispyware), ils mènent ensemble la vie dure aux malwares. Leur action n’est, hélas, pas sur le point de s’arrêter… Au vu de la multiplication rapide et croissante des logiciels malveillants, je peux vous affirmer qu’ils ne sont (et ne seront) pas trop de quatre et qu’ils vont continuer à avoir du travail !