Les bases de signature ont protégé efficacement nos ordinateurs pendant des années. Avec l'arrivée de menaces de plus en plus nombreuses, les éditeurs d'antivirus ont dû redoubler d'ingéniosité pour faire face à des malwares inconnus et imprévisibles. L'analyse comportementale va plus loin en surveillant le système pour bloquer les actions suspectes à la source. Faisons ensemble un tour rapide pour comprendre comment est détecté un virus et de quoi un antivirus vous protège.
Analyse heuristique ou comportementale : deux faces d'une protection avancée
Résumé des épisodes précédents : au début était le virus. Peu répandus et facile à identifier, les premiers logiciels malveillants pouvaient (et peuvent toujours) être détectés par leur signature, une séquence de bytes successifs qui permet de les reconnaître. Au sein des suites de sécurité ou des antivirus gratuits, ces signatures sont mises à jour régulièrement, et ne peuvent donc déceler que des menaces connues.
Cela ne posait aucun problème jusqu'à ce que les menaces se multiplient, en nombre bien trop important pour permettre une réactivité optimale. D'où le besoin de proposer une protection qui ne fait pas que répondre à un virus connu, mais qui peut prévoir sa nature malveillante en analysant son comportement.
Deux méthodes apportent cette possibilité. La première est l'analyse heuristique, qui consiste à passer au crible un logiciel, soit en « décompilant » son code source, soit en l'exécutant dans une machine virtuelle. On détecte alors s'il effectue des actions qui pourraient être suspectes, ou on compare la structure de son code à ceux de menaces déjà identifiées ou à des modèles de comportements potentiellement dangereux.
L'analyse comportementale, elle, se situe au niveau même du système. Ça n'est pas un fichier que l'on surveille en le passant au travers d'un scanner ou d'un bac à sable, c'est l'OS dans son ensemble. La protection comportementale observe l'activité du système (Windows, Android, MacOS...) et reconnaît des actions qui paraissent malveillantes, tels que des requêtes vers un serveur inconnu, des modifications de fichiers, ou des demandes d'accès à des emplacements de la mémoire.
Les deux méthodes cohabitent et se complètent. Par exemple, l'heuristique peut avoir ses limites dans la mesure où de nombreuses menaces récentes intègrent une protection contre les émulateurs. À ce moment, seule l'exécution réelle du fichier pourra le trahir.
Ransomwares, attaques furtives : l'analyse comportementale comme rempart
L'analyse comportementale, en se concentrant sur le système et non uniquement sur des fichiers, est un rempart contre les attaques plus pernicieuses comme les « drive-by downloads », déclenchées par un code exécuté sur un navigateur web.
Dans la famille des menaces récentes ayant causé particulièrement de dégâts, les rançongiciels ou « ransomwares » sont typiquement le type d'attaque où la protection comportementale joue un rôle essentiel. Le rançongiciel est né de la mutation de la cybercriminalité. À l'époque des premiers virus, perdre ses fichiers personnels était la crainte la plus répandue. Mais quel intérêt de détruire des documents auxquels on tient ? Nuire à l'utilisateur ou à l'entreprise, certes. Pourquoi alors ne pas plutôt les prendre en otage pour tenter d'obtenir une contrepartie financière ?
C'est ce que font les rançongiciels. Ils s'attaquent à vos fichiers personnels, et leur appliquent un algorithme de chiffrement pour les rendre inaccessibles. Payez la rançon et vous aurez la clé. En pratique, ça n'est même pas garanti.
Ici, l'analyse comportementale va pouvoir détecter ces modifications anormales, bloquer ces opérations et, le cas échéant, restaurer les fichiers à leur version précédente.
Limites et évolutions
L'analyse comportementale se heurte au principal problème de tout type d'analyse antivirus : les faux positifs. Un fonctionnement inhabituel du système peut être simplement peu conventionnel sans être nécessairement malveillant.
Les modules d'analyse comportementale évoluent néanmoins eux aussi, et sont un terrain idéal pour une des tendances récentes : le machine learning. Avec un apprentissage progressif, les solutions de sécurité mettent de plus en plus à profit les réseaux neuronaux pour distinguer les actions légitimes de celles suspectes.
Un autre écueil vient en contrepartie de l'efficacité de ce type d'analyse. Surveiller le comportement d'un système d'exploitation peut être coûteux en ressources, et ralentir potentiellement des tâches gourmandes. C'est néanmoins le prix à payer pour bénéficier d'une couche de protection plus efficace face à la multiplication des menaces en ligne.
Le Studio Clubic est le créateur de contenus originaux pour les partenaires de Clubic. Derrière Le Studio Clubic se cache une équipe experte dans le brand content et le content to commerce, qui propose des contenus de qualité pour connecter nos annonceurs avec nos lecteurs.
Lire d'autres articles
