Si vous avez installé un logiciel antivirus sur votre PC ou smartphone (excellente idée !), vous pouvez vous poser la question de savoir comment ce dernier fonctionne ? Regardons ensemble un peu sous le capot des antivirus pour comprendre comment ils fonctionnent et pourquoi faut il installer un antivirus !
Signatures virales : vous allez avoir les bases
Lorsqu'ils fonctionnent correctement, une suite de sécurité ou un antivirus gratuit doivent être capables d'identifier et de bloquer un virus. Comment procède-t-ils ? Le premier niveau est la reconnaissance de sa signature. Comme tout fichier, un virus est composé de bytes. Généralement, on parle d'un « byte » (ou octet) pour 8 bits, mais sa taille peut en fait être comprise entre 1 et 48 bits.
Un site comme Fileformat.info vous permet de créer un « dump » et d'afficher un fichier sous la forme d'une série de bytes, représentés au format hexadécimal. Cela rappellera des souvenirs aux plus anciens d'entre vous.
La signature d'un fichier est une série de bytes successifs qui lui est propre et qui permet de l'identifier. Ce n'est pas une science exacte, mais il est possible de reconnaître des motifs récurrents à un ou plusieurs logiciels malveillants, et ainsi de les détecter.
La base de signatures regroupe l'ensemble des signatures de logiciels malveillants connus à un instant T. Elle a longtemps été le seul composant permettant de détecter un virus ou un malware. La simple description de son fonctionnement suffit à identifier ses lacunes : pour qu'un malware soit détecté par ce procédé uniquement, il doit être déjà connu.
Depuis une dizaine d'années, les méthodes de mise à jour de ces bases de signatures se sont considérablement améliorées, utilisant notamment des techniques de « push » pour proposer au plus vite de nouvelles signatures à l'utilisateur, plutôt que des mises à jour régulières à des intervalles plus distants.
La mise à contribution des utilisateurs pour la détection de fichiers malveillants via le Cloud a également contribué à l'accélération de la mise à disposition des signatures de virus. Néanmoins, les bases de signatures, si elles sont toujours utilisées, ne sont plus qu'une des composantes d'une protection moderne.
Sous le capot du moteur
C'est dans ce contexte que l'on parle d'un moteur d'analyse. Le moteur réunit l'ensemble des technologies nécessaires à la détection et la suppression des logiciels malveillants. Ceci inclut la base de signatures, mais aussi les composants nécessaires à d'autres techniques plus modernes, comme l'analyse heuristique ou comportementale. Ici, on ne va plus simplement détecter des fichiers connus mais analyser leur comportement dans le système, ce qui permet de pallier les limitations de la base de signatures, et ainsi de détecter également des menaces qui n'auraient pas encore été identifiées.
L'analyse heuristique peut consister à « décompiler » un fichier malveillant pour l'analyser et comparer sa structure à des codes déjà connus, à la recherche de ressemblances qui peuvent l'identifier comme une nouvelle menace inconnue. Une autre méthode plus complexe exécute le fichier dans un bac à sable, à la recherche de comportements suspects.
L'analyse dite comportementale, elle, surveille le système d'exploitation à la recherche de comportements suspects avérés, tels que des modifications de fichiers anormales. Le comportement est alors bloqué par l'antivirus. Le moteur antivirus va ainsi inclure des composants tels qu'un émulateur permettant d'exécuter le code malveillant dans un environnement sécurisé, un module de décompression des archives, ou encore un décompacteur chargé de décortiquer les fichiers exécutables.
Un composant central mais modulaire
Le moteur d'un antivirus ou d'une suite de sécurité est pensé pour être modulaire. Il est au cœur de toutes les solutions d'un éditeur et on doit pouvoir lui greffer les autres composants et l'interface utilisateur. Cependant, si un antivirus « basique », une suite de sécurité ou une solution « total security » présentent des fonctionnalités différentes, elles utilisent toutes le même moteur.
Certains éditeurs de logiciels de sécurité vendent aussi leur moteur en marque blanche, on les retrouve alors dans plusieurs solutions d'éditeurs différents. Une suite de sécurité peut même utiliser deux moteurs - de manière alternative ou combinée - pour optimiser sa détection et suppression des fichiers malveillants.
Blogueur depuis 10 ans sur le web, j'aborde quotidiennement de nombreux sujets liés aux nouvelles technologies, au voyage ou bien au Japon où je réside. Je ne rate jamais une actu, mon téléphone étant en permanence scotché à main, à l'affut du moindre dernier tweet !
Lire d'autres articles
