Comment fonctionne anti-virus?

Un programme anti-virus est un programme informatique qui peut être utilisé pour analyser les fichiers, pour identifier et éliminer les virus informatiques et autres logiciels malveillants (malware).

Les logiciels anti-virus utilise deux techniques différentes pour accomplir ceci:

* Examen des dossiers de rechercher des virus connus par le biais d’un dictionnaire de virus
* Identifier les comportements suspects de tout programme informatique qui pourrait indiquer une infection

La plupart  des anti-virus commerciaux utilisent ces deux approches, en mettant l’accent sur l’approche dictionnaire.

Approche dictionnaire

Dans l’approche dictionnaire, lorsque le logiciel anti-virus examine un fichier, il se réfère à un dictionnaire de virus connus qui ont été identifiés par l’auteur du logiciel anti-virus. Si un morceau de code dans le fichier correspond à n’importe quel virus identifié dans le dictionnaire, le logiciel anti-virus peut alors soit supprimer le fichier, faire une mise en quarantaine afin que le fichier soit inaccessible à d’autres programmes et que ce virus soit incapable de se propager, ou tenter pour réparer le fichier en supprimant le virus lui-même du dossier.

Pour avoir du succès à moyen et long terme, l’approche dictionnaire exige périodique des téléchargements en ligne de mis à jour du dictionnaire. Comme de nouveaux virus sont identifiés “à l’état sauvage”, les utilisateurs peuvent envoyer leurs fichiers infectés aux auteurs de logiciels anti-virus, qui comprennent donc des informations sur les nouveaux virus dans leurs dictionnaires.

Les anti-virus basés sur un dictionnaire  examinent généralement des fichiers lorsque le système d’exploitation de l’ordinateur crée, s’ouvre et se ferme, et quand les fichiers sont envoyés par courriel. De cette façon, un virus connus peut être détecté dès leur réception. Le logiciel peut aussi généralement être programmé pour examiner tous les dossiers sur le disque dur de l’utilisateur sur une base régulière.

Bien que l’approche dictionnaire est considéré comme efficace, les auteurs de virus ont essayé de rester un pas en avant de ces logiciels en écrivant des “virus polymorphes“, qui cryptent certaines parties de leurs langages eux-mêmes ou autrement se modifient en employant une méthode de déguisement, de manière à ne pas correspondre a la signature du virus dans le dictionnaire.

Approche des Comportements Suspects

L’approche des comportements suspects, en revanche, ne tente pas d’identifier les virus connus, mais surveille plutôt le comportement de tous les programmes. Si un programme essaie d’écrire des données dans un programme exécutable, par exemple, cela est signalé comme comportement suspect et l’utilisateur est averti de cela, et lui demande quoi faire.

Contrairement à l’approche du dictionnaire, l’approche des comportements suspects offre donc une protection contre la marque de nouveaux virus qui n’existent pas encore dans tous les dictionnaires virus. Toutefois, cette méthode envoient un bon nombre de fausses alarmes et les utilisateurs deviennent sans doute insensibles à tous les avertissements. Si l’utilisateur doit cliquer sur “Accepter” a chaque avertissement, le logiciel anti-virus est évidemment inutile à cet utilisateur. Heureusement, les  logiciels anti virus les plus modernes utilisent de moins en moins cette technique.

Autres moyens de détecter les virus

Certains logiciel antivirus tentent d’imiter le début du code de chaque nouvelle exécution une fois en cours avant de transfert le contrôle de l’exécution. Cependant, cette méthode conduit à un grand nombre de fausses alertes.

Encore une autre méthode de détection est d’utiliser un SAND BOX (comme un filtre). Un sand box simule le système d’exploitation et exécute le fichier exécutable dans cette simulation. Une fois le programme terminé, le sand box analyse tous changements qui pourraient indiquer un virus. En raison de problèmes de performances, ce type de détection est normalement effectué au cours des analyses à la demande.

Sujets de préoccupation et Recommandations

Les macros virus, sans doute les plus destructrices et généralisées des virus informatiques, pourraient être évités à peu de frais et beaucoup plus efficacement, et sans avoir besoin d’acheter un logiciel anti-virus, si Microsoft pourrait corriger les failles de sécurité dans Microsoft Outlook et Microsoft Office liés à la exécution de code téléchargé et à la capacité des macros document se propager et de faire des ravages.

L’éducation de l’utilisateur est aussi important que les logiciels anti-virus; la formation des utilisateurs à des pratiques informatiques sûres, comme ne pas télécharger et l’exécuter des programmes inconnus d’Internet, permettrait de ralentir la propagation des virus, sans avoir besoin d’un logiciel anti-virus.

Les utilisateurs d’ordinateurs ne doivent pas toujours fonctionner avec un accès administrateur sur leur propre machine. En l’utilisant  en mode utilisateur certains types de virus ne seraient pas en mesure de se propager.

L’approche du dictionnaire pour la détection des virus est souvent insuffisante en raison de la création continue de nouveaux virus, mais l’approche des comportements suspects est inefficace à cause du problème de fausses alertes. Ainsi, la compréhension actuelle de logiciels anti-virus ne pourra jamais vaincre les virus informatiques.

Il existe différentes méthodes de cryptage et d’emballage des logiciels malveillants (malware) qui rendent même des virus  bien connus indétectables par les logiciels anti-virus. La détection de ces virus “camouflés” exige un puissant moteur de décompression qui pourra déchiffrer les fichiers avant de les examiner. Malheureusement, de nombreux programmes populaires anti-virus ne l’ont pas et sont donc souvent incapables de détecter les virus cryptés.

Nos 2 Recommandations pour 2010: