Comment fonctionne un logiciel antivirus

By Matthieu CHARRIER

Les programmes antivirus sont des logiciels puissants qui sont essentiels sur les ordinateurs Windows. Si vous vous êtes déjà demandé comment les programmes antivirus détectent les virus, ce qu’ils font sur votre ordinateur et si vous devez effectuer vous-même des analyses régulières du système, lisez ce qui suit.

Un programme antivirus est un élément essentiel d’une stratégie de sécurité à plusieurs niveaux. Même si vous êtes un utilisateur averti de l’ordinateur, le flux constant de vulnérabilités des navigateurs, des extensions et du système d’exploitation Windows lui-même rend la protection antivirus importante.
Un logiciel antivirus fonctionne en arrière-plan sur votre ordinateur, vérifiant chaque fichier que vous ouvrez. On parle généralement d’analyse à l’accès, d’analyse en arrière-plan, d’analyse résidente, de protection en temps réel ou autre, selon le programme antivirus utilisé.

Lorsque vous double-cliquez sur un fichier EXE, il peut sembler que le programme se lance immédiatement, mais ce n’est pas le cas. Votre logiciel antivirus vérifie d’abord le programme, en le comparant aux virus, vers et autres types de logiciels malveillants connus. Votre logiciel antivirus effectue également un contrôle « heuristique », en vérifiant les programmes pour des types de mauvais comportements qui peuvent indiquer un nouveau virus inconnu.

Les programmes antivirus analysent également d’autres types de fichiers qui peuvent contenir des virus. Par exemple, un fichier d’archive .zip peut contenir des virus compressés, ou un document Word peut contenir une macro malveillante. Les fichiers sont analysés à chaque fois qu’ils sont utilisés. Par exemple, si vous téléchargez un fichier EXE, il sera analysé immédiatement, avant même que vous ne l’ouvriez.

Il est possible d’utiliser un antivirus sans analyse à l’accès, mais ce n’est généralement pas une bonne idée : les virus qui exploitent les failles de sécurité des programmes ne seraient pas détectés par l’analyseur. Une fois qu’un virus a infecté votre système, il est beaucoup plus difficile de l’éliminer. (Il est également difficile d’être sûr que le logiciel malveillant ait jamais été complètement supprimé).

VOTRE TÉLÉPHONE ANDROID A-T-IL BESOIN D’UNE APPLICATION ANTIVIRUS ?

Analyses complètes du système

En raison de l’analyse à l’accès, il n’est généralement pas nécessaire d’effectuer des analyses complètes du système. Si vous téléchargez un virus sur votre ordinateur, votre programme antivirus le remarquera immédiatement – vous n’avez pas besoin de lancer manuellement une analyse au préalable.

A lire également :  Comment supprimer des fichiers de Google Drive

L’analyse complète du système peut toutefois être utile dans certains cas. Une analyse complète du système est utile lorsque vous venez d’installer un programme antivirus – elle permet de s’assurer qu’aucun virus ne sommeille sur votre ordinateur. La plupart des programmes antivirus programment des analyses complètes du système, souvent une fois par semaine. Cela permet de s’assurer que les derniers fichiers de définition de virus sont utilisés pour analyser votre système à la recherche de virus dormants.

Ces analyses complètes du disque peuvent également être utiles lors de la réparation d’un ordinateur. Si vous souhaitez réparer un ordinateur déjà infecté, il est utile d’insérer son disque dur dans un autre ordinateur et d’effectuer une analyse complète du système à la recherche de virus (à défaut de procéder à une réinstallation complète de Windows). Cependant, vous n’avez généralement pas besoin d’exécuter vous-même une analyse complète du système lorsqu’un programme antivirus vous protège déjà – il analyse toujours en arrière-plan et effectue régulièrement ses propres analyses complètes du système.

Définitions de virus

Votre logiciel antivirus s’appuie sur les définitions de virus pour détecter les logiciels malveillants. C’est pourquoi il télécharge automatiquement de nouveaux fichiers de définition mis à jour, une fois par jour ou plus souvent encore. Les fichiers de définition contiennent les signatures des virus et autres programmes malveillants rencontrés dans la nature. Lorsqu’un programme antivirus analyse un fichier et constate qu’il correspond à un logiciel malveillant connu, il empêche l’exécution du fichier et le place en « quarantaine ». Selon les paramètres de votre programme antivirus, celui-ci peut supprimer automatiquement le fichier ou vous pouvez autoriser son exécution si vous êtes sûr qu’il s’agit d’un faux positif.

Les éditeurs d’antivirus doivent continuellement se tenir au courant des derniers logiciels malveillants, en publiant des mises à jour des définitions qui garantissent que les logiciels malveillants sont détectés par leurs programmes. Les laboratoires antivirus utilisent une variété d’outils pour désassembler les virus, les exécuter dans des bacs à sable et publier des mises à jour opportunes qui garantissent que les utilisateurs sont protégés contre les nouveaux logiciels malveillants.

A lire également :  Où trouver la liste de mes mots de passe enregistrés ?

UN LOGICIEL ANTIVIRUS VAUT-IL LA PEINE D’ÊTRE PAYÉ ?

Heuristique

Les programmes antivirus utilisent également l’heuristique et l’apprentissage automatique. Les modèles d’apprentissage automatique sont créés en analysant des centaines ou des milliers de logiciels malveillants pour trouver des attributs ou des comportements communs. Cette combinaison permet à un programme antivirus d’identifier des types de logiciels malveillants nouveaux ou modifiés, même sans fichiers de définition de virus. Par exemple, si un programme antivirus remarque qu’un programme exécuté sur votre système essaie d’ouvrir tous les fichiers EXE de votre système, les infectant en y écrivant une copie du programme original, le programme antivirus peut détecter ce programme comme un nouveau type de virus inconnu.

Aucun programme antivirus n’est parfait. Des méthodes heuristiques trop agressives ou des modèles d’apprentissage automatique mal formés peuvent accidentellement considérer des logiciels parfaitement sûrs comme des logiciels malveillants.

Faux positifs

En raison du grand nombre de logiciels disponibles, il est possible que les programmes antivirus déclarent parfois qu’un fichier est un virus alors qu’il s’agit en fait d’un fichier totalement sûr. C’est ce qu’on appelle un « faux positif ». Il arrive même que les éditeurs d’antivirus commettent des erreurs en identifiant comme des virus des fichiers système Windows, des programmes tiers populaires ou leurs propres fichiers de programme antivirus. Ces faux positifs peuvent endommager les systèmes des utilisateurs – de telles erreurs finissent généralement par faire la une des journaux, comme lorsque Microsoft Security Essentials a identifié Google Chrome comme un virus, AVG a endommagé les versions 64 bits de Windows 7, ou Sophos s’est identifié comme un malware.

A lire également :  Comment purger le DNS sur Windows 10

L’heuristique peut également augmenter le taux de faux positifs. Un antivirus peut remarquer qu’un programme se comporte de manière similaire à un programme malveillant et l’identifier à tort comme un virus.

Malgré cela, les faux positifs sont assez rares en utilisation normale. Si votre antivirus indique qu’un fichier est malveillant, vous devez généralement le croire. Si vous n’êtes pas sûr qu’un fichier soit réellement un virus, vous pouvez essayer de le télécharger sur VirusTotal (qui appartient désormais à Google). VirusTotal analyse le fichier à l’aide d’une variété de produits antivirus différents et vous indique ce que chacun d’eux dit à son sujet.

Taux de détection

Les taux de détection varient d’un programme antivirus à l’autre. Les définitions de virus et l’heuristique contribuent à ces écarts. Certains éditeurs d’antivirus peuvent disposer d’une heuristique plus efficace et publier plus de définitions de virus que leurs concurrents, ce qui se traduit par un taux de détection plus élevé.

Certaines organisations testent régulièrement les programmes antivirus les uns par rapport aux autres, en comparant leurs taux de détection dans le monde réel. AV-Comparitives publie régulièrement des études qui comparent l’état actuel des taux de détection des antivirus. Les taux de détection ont tendance à fluctuer dans le temps – il n’y a pas de meilleur produit qui soit constamment en tête. Si vous cherchez vraiment à connaître l’efficacité d’un programme antivirus et à savoir lesquels sont les meilleurs, les études sur les taux de détection sont l’endroit idéal.

Tester un programme antivirus

Si vous souhaitez tester le bon fonctionnement d’un programme antivirus, vous pouvez utiliser le fichier de test EICAR. Le fichier EICAR est un moyen standard de tester les programmes antivirus – il n’est pas réellement dangereux, mais les programmes antivirus se comportent comme s’il l’était et l’identifient comme un virus. Cela vous permet de tester les réponses des programmes antivirus sans utiliser un virus réel.

Le fichier de test EICAR est détecté par Microsoft Defender.

Les programmes antivirus sont des logiciels compliqués, et on pourrait écrire des livres entiers sur le sujet – mais j’espère que cet article vous a permis de vous familiariser avec les principes de base.

Laisser un commentaire