Mise au point : comment fonctionne un antivirus ?

Trojan, cheval de Troie, ransomware, les antivirus sont là pour vous en protéger. Mais savez-vous au moins comment ils fonctionnent ?

Les antivirus sont relativement mal connus du grand public, on en installe un au début - ou pas, d'ailleurs - et basta, il fonctionne et c'est tout ce qu'on lui demande. Mais tout comme les virus, les antivirus ont énormément évolué depuis les années 80.

Disclaimer : j'utilise virus à toutes les sauces. C'est seulement un type de logiciel malicieux ou malware, mais c'est un terme de tout le monde connaît et utilise. Donc c'est plus simple.

Dans les grandes lignes, l'antivirus sert évidemment à protéger des virus qui pourraient s'installer sur un appareil par différents moyens, mais aussi à lancer des scans afin de détecter des virus déjà installés.

Un logiciel complexe

Mettons les choses au point tout de suite, un antivirus est un logiciel qui s'installe sur un appareil - PC, smartphone, objets connectés en tous genres - ou qui est déjà installé de base. Avec le temps, ils remplissent de nombreuses fonctions autour de la protection et le terme de « suite de sécurité » serait plus adapté.

Tout d'abord, un antivirus ne s'installe pas comme n'importe quel logiciel, il reçoit des droits assez spéciaux de la part du système d'exploitation afin de pouvoir observer plus en profondeur ce qu'il se passe sur l'appareil qu'un logiciel lambda. Il peut notamment analyser et opérer sur des fichiers du système d'exploitation. De plus, l'antivirus se lance très tôt dans la séquence de démarrage de l'appareil, avant même que les périphériques audio, vidéo - l'écran - ou USB soient reconnus et avant la connexion au réseau.

Le but est de permettre à l'antivirus de s'exécuter avant que le système d'exploitation lance par inadvertance un potentiel virus qui traîne dans le coin. Cela n'est pourtant pas sans conséquence puisque les antivirus peuvent créer des instabilités dans le système avec des BSOD - Blue Screen Of Death - ou causer des problèmes pour les mises-à-jour.

Comment on détecte un virus ?

A l'origine, le fonctionnement d'un antivirus était relativement simple. Celui-ci comportait une base de données avec les virus connus, ou du moins leur signature, et il testait les programmes de l'appareil en les comparant à sa base de données existante.

Qu'est-ce que donc que la signature ?

La signature d'un programme désigne communément le hash de son code, c'est-à-dire qu'on passe le code du programme à travers une moulinette qui renvoie une suite de caractère unique. Les plus courants sont les MD, notamment MD5 et les SHA - SHA-0, SHA-1, SHA-2.

Ce mode de fonctionnement est simple et fonctionnait bien dans les années 2000 où environ 5 nouveaux virus apparaissaient chaque jour. Aujourd'hui, il a montré ses limites étant donné qu'on estime le nombre de nouveaux virus créés chaque jour en 2017 à pas moins de 3 millions. Et qui plus est, il est possible de créer des programmes qui modifient leur propre code à l'installation pour altérer la signature, ce qui rend le procédé obsolète.

Heureusement, il existe d'autres méthodes pour détecter les programmes malicieux, en voici trois.

La détection par signature, comme nous l'avons dit, fonctionne avec une base de données - la fameuse base virale VPS - mise à jour constamment pour contenir les dernières signatures. Aujourd'hui, cette méthode existe encore, mais en support des deux présentées ci-dessous.

Les détections heuristiques sont une famille de détections notamment représentée par trois d'entre elles, à commencer par la détection par émulation. Le procédé est encore relativement simple - en apparence - puisqu'on crée un environnement virtuel contrôlé - une sandbox, ou bac à sable - dans lequel on exécute le programme suspecté pour observer son comportement. C'est plutôt efficace, mais des virus sont désormais capables de contourner ces mesures.

La détection par analyse est également un type de détection heuristique, il s'agit de décompiler le programme afin d'analyser son code source et ce qu'il est censé faire. C'est une analyse très complète. Enfin, la troisième est la détection par signature générique servant à classifier les virus par famille - rootkits, ransomwares, trojans et compagnie - sans pour autant s'arrêter au hash précis du programme.

Enfin, on peut parler du scan en temps réel qui analyse les processus en cours d'exécution pour repérer des comportements suspects, par exemple si un programme commence à chiffrer un grand nombre de fichiers. Cette méthode intervient une fois que le virus a commencé à s'exécuter, donc présente un risque, mais il s'agit du dernier rempart si un programme malicieux s'est installé malgré les méthodes de détection précédentes.

Aujourd'hui, la détection des antivirus se fait aussi par le cloud. Le client installé sur l'appareil assure la base de la détection mais envoie à un laboratoire dans le cloud les fichiers pour lequels il a des doutes pour réaliser des tests bien plus poussés, notamment grâce au machine learning. Cela permet d'alléger le client, de travailler sur la réputation des fichiers mais aussi de détecter des attaques ciblées contre un pays ou une entreprise.

Que fait l'antivirus quand il a détecté un virus ?

Ce n'est pas le tout de détecter un virus, il faut évidemment s'en occuper. Là encore, il y a bien souvent trois options. L'antivirus peut supprimer le programme, nettoyer ou le mettre en quarantaine. Si la suppression est assez simple à se représenter, le nettoyage ajoute une opération de récupération des fichiers endommagés par le virus.

De son côté, la quarantaine ne supprime par le virus, elle l'envoie dans un bunker depuis lequel il ne pourra s'exécuter en tant que programme. Le but est de garder de côté les fichiers suspects et de voir si l'ordinateur fonctionne bien sans. Si c'est le cas, il peuvent être supprimés, ou restaurés s'il ne s'agit pas de fichiers malicieux.

Les antivirus modernes proposent des interfaces très faciles d'utilisation pour gérer ce genre de fonctionnalité.

La protection web

De plus en plus de choses se passent en ligne et il est logique que les antivirus suivent le mouvement. C'est pourquoi la grande majorité d'entre eux proposent une protection web pour tout simplement bloquer une attaque web type cryptojacking ou Drive by Download, mais aussi pour bloquer l'accès aux sites frauduleux ou encore bloquer la communication entre un malware et un serveur.

Cependant, l'antivirus n'agit pas sur toutes les connexions, seulement les URL et les pages web, le reste est confié au pare-feu. Ce type de service peut notamment bloquer les instructions d'un pirate au virus qu'il a installé ou la fuite de données. Pour ce qui est des sites web, l'antivirus contient une liste noire d'adresses IP afin de bloquer les sites connus mais peut également analyser le code de la page et notamment le javascript qui contient souvent le code malicieux.

En plus de ça, les navigateurs intègrent eux-mêmes un module de sécurité, Google SafeBrowsing pour Firefox et Chrome, SmartScreen pour Internet Explorer et Edge, sans oublier les navigateurs carrément fournis par les antivirus tels qu'Avast Secure Browser.

Les faux positifs

Avant de parler des performances des antivirus, il nous reste un sujet à aborder, les faux positifs. Il s'agit de fausses alertes, de cas où l'antivirus détecte un fichier sain comme étant un virus. En l'état, cela semble inoffensif, mais n'oublions pas que l'antivirus a des droits privilégiés sur un appareil et peut bloquer des programmes appartenant à l'OS.

Ce fut notamment le cas de MacAfee et TrendMicro qui détectaient le processus de Windows svchost.exe comme une menace, ou Avast qui bloquer la bibliothèque kernel32.dll. Plus fort, il peut arriver qu'un antivirus considère un autre antivirus comme un programme malveillant, histoire véridique. N'installez jamais 2 antivirus, vous ne récolterez que des problèmes à cause des conflits.

Ce genre de comportement peut s'avérer gênant. On retrouve aussi les faux positifs sur des cracks ou des activateurs comme KMS Pico, mais attention, il arrive aussi que ceux-ci contiennent réellement des virus. Pour vérifier si une détection est un faux positif, le mieux est de faire appel à un second service tel que VirusTotal pour vérifier. Enfin, si c'est effectivement un faux positif, les antivirus laissent la possibilité à l'utilisateur de le signaler, cela permet de débloquer le programme et d'améliorer la détection de l'antivirus.

Quel est le meilleur antivirus ?

Les antivirus sont évalués principalement selon 3 critères : 

• Leurs performances dans la détection
• Leurs fonctionnalités
• Leur impact sur les performances de l'appareil

Selon le laboratoire AV-Comparatives, les meilleurs à ce jeu sous Windows sont BitDefender, Avast, AVG et Kaspersky. Pour AV-Test, les meilleurs en Février 2020 étaient Avira Pro, F-Secure, Kaspersky et Norton Life Lock. Cependant, notez que Windows embarque un antivirus depuis Windows 8, nommé Defender. Celui-ci n'est certes pas le meilleur mais reste tout à fait honnête, ne nécessite aucune installation ni configuration, et se trouve être relativement léger.

Pour le commun des mortels, Windows Defender est donc bien suffisant, mais si vous tenez à profiter d'un antivirus tier, n'hésitez pas à utiliser la période d'essai - généralement 15 à 30 jours - avant de payer une licence.

Et pour Mac et Android ?

Contrairement à la croyance, OS X, le système d'exploitation sur Mac, n'est pas exempt de virus, on observe même une certaine augmentation de leur nombre ces dernières années. Cependant, Apple prévoit déjà une solution de sécurité, tout comme Windows. En cas de besoin, citons tout de même les références pour OS X, j'ai nommé BitDefender, Intego et Kaspersky.

Pour ce qui est des smartphones, iOS cloisonne fortement les applications, ce qui a deux effets. D'une part, les virus ont un champ d'action très réduit car ils n'ont pas vraiment accès au système. D'autre part, les antivirus n'ont pas non plus accès au système, ils ne fonctionnent donc tout simplement pas sur iPhone. Si on essaie de vous vendre un antivirus pour iPhone, fuyez, c'est une arnaque.

Enfin, Android est également cloisonné mais dans une moindre mesure. Cependant, les menacent viennent en grande partie des applications, mais le Google Play - le magasin d'application - veille au grain. Les risques sont donc relativement plus faibles que sur PC, sauf peut-être si vous utilisez des magasins tiers tels qu'Aptoide ou Apkmirror, qui regorgent d'applications plus ou moins louches.

Sachant que les 2/3 des antivirus sous Android sont en réalité des arnaques et qu'un antivirus consomme inévitablement des ressources donc de la batterie, le choix d'en installer un vous revient. Sachez toutefois que BitDefender, Norton, Avast et Kaspersky sont encore une fois des valeurs sûres et peuvent permettre des fonctionnalités telles que la localisation d'un smartphone perdu ou l'effacement des données à distance, des fonctions nativement présentes sur iOS.

Sources

• Le blog du hacker
• Malekal
• AV-Test
• AV-Comparatives