Comment fonctionne un antivirus ?

Un antivirus est un logiciel qui a pour but de détecter et d’éradiquer les virus présents dans votre micro, et de prendre des mesures pour les empêcher de nuire.Les antivirus sont des programmes devenus de plus en plus indispensables au fil des années. En effet, ceux qui se souviennent des débuts d’internet peuvent en témoigner : on pouvait auparavant surfer tranquillement sur la toile à l’aide d’un simple pare-feu, sans être trop inquiété, dès lors que l’on faisait attention à ce que l’on téléchargeait.Aujourd’hui, cette époque est révolue. Le moindre site internet un peu trop malicieux peut vous infecter, la plupart du temps via des plugins (Flash, Java pour ne pas les citer).Son fonctionnement ne consiste pas qu’à analyser les fichiers du système, puisque si un fichier est infecté, le mal est souvent fait. Le rôle de l’antivirus consiste aussi à prévenir l’attaque virale, en analysant le comportement.

Techniques de numérisation

Pour mieux comprendre le fonctionnement d’un antivirus, il faut nécessairement connaître les éléments qui le caractérisent, c’est-à-dire les modules d’analyse qui constituent son “bouclier défensif”.

Analyse en temps réel

Le module d’analyse en temps réel (également appelé On-Access) est le composant antivirus qui démarre avec le système d’exploitation, se place dans la mémoire RAM et analyse en temps réel toute action effectuée sur l’ordinateur. Chaque fois que vous exécutez, déplacez, créez ou modifiez un fichier (même de manière “invisible”, par exemple lors de la simple ouverture d’un programme), le module en temps réel analyse chaque fichier utilisé dans le processus (fichiers binaires, DLL, etc.) à la recherche d’un fichier malveillant ou suspect. Lorsque l'”alarme” est déclenchée, le module bloque toute action du fichier et le “neutralise”, le déplaçant vers une zone protégée, située à l’intérieur des dossiers de l’antivirus (cette zone protégée est généralement appelée Quarantaine ou Corbeille).

Ce module est donc un composant fondamental de l’antivirus : il n’est pas surprenant qu’il soit présent sur la plupart des programmes conçus à cet effet. Grâce au scan à l’accès, il est possible de bloquer une infection dans l’œuf.

Évidemment, ce module n’est pas infaillible : si le virus est bien caché dans des fichiers légitimes ou non présent dans la “liste” spéciale en possession de l’antivirus (sur laquelle nous reviendrons plus tard), il pourrait échapper à ce contrôle, étant presque totalement invisible. En effet, de nombreux virus peuvent être activés à distance ou après un certain temps, échappant ainsi au contrôle de l’analyse en temps réel et générant, par conséquent, une infection plus importante.

Un module d’analyse en temps réel doit être assez léger et discret pendant son action : s’il ne l’est pas, les performances de l’ordinateur diminueront sensiblement après toute opération initiée par l’utilisateur (même la simple ouverture d’un fichier ou d’un dossier, par exemple).

Balayage à la demande

Le module d’analyse à la demande (également appelé On-demand) est le composant antivirus qui analyse, un à la fois, tous les fichiers présents dans le système ou dans le dossier indiqué. Par rapport au module d’analyse en temps réel, il adopte un système beaucoup plus précis et efficace, et nécessite une plus grande quantité de ressources : par le passé, il n’était pas rare de devoir interrompre son travail pour lancer une analyse à la demande, car le disque dur et le processeur étaient complètement occupés à effectuer cette tâche.

En raison de cette forte demande de ressources, ce module ne peut être lancé que sur demande en cliquant sur un bouton spécifique dans l’interface de l’antivirus, ou en appelant la fonctionnalité jointe à partir du menu contextuel des fichiers enregistrés dans le système.

Le balayage à la demande peut également être programmé, de sorte qu’il puisse être effectué pendant les périodes où l’ordinateur ne doit pas être utilisé pour d’autres tâches.

 Conseille: Programmer un scan complet du système au moins une fois par mois, en fixant un jour et/ou une heure où vous êtes sûr de ne pas être présent sur le PC (il est préférable de laisser l’ordinateur allumé à cet effet, afin de ne pas avoir à le renvoyer à la première mise en route utile).

Nuage de scansion

Récemment, un nouveau module a été ajouté aux composants de l’antivirus pour prendre en charge l’accès et la demande : le module d’analyse basé sur le cloud. Lorsque ce composant est actif, toutes les données de fichiers analysées par l’antivirus sont envoyées via Internet à un réseau de serveurs interconnectés, de sorte qu’il peut bénéficier d’une puissance de calcul beaucoup plus importante : les serveurs peuvent analyser les données de fichiers (ou le fichier entier, s’il est relativement petit) et fournir une réponse immédiate à l’antivirus, qui peut alors soit le supprimer (dans le cas d’un virus), soit le “laisser passer” (dans le cas d’un fichier légitime).

Cette approche présente deux avantages majeurs : premièrement, l’analyse est effectuée sur plusieurs moteurs en même temps, ce qui réduit considérablement le risque de faux négatifs (ou de faux positifs) ; deuxièmement, les ressources de l’ordinateur utilisé ne sont pas utilisées pour le balayage, qui se fait exclusivement via Internet.

Toutefois, l’analyse dans les nuages nécessite un accès constant à Internet, car les serveurs d’analyse doivent toujours être disponibles. Afin d’éviter la saturation de la bande passante Internet (un problème très répandu, surtout si vous avez une connexion plus lente), ce composant n’entre généralement en action que pour l’analyse à la demande et/ou les fichiers classés “suspects”. En l’absence de connexion Internet, le composant “cloud” ne fonctionne pas, l’antivirus doit donc utiliser les outils mis à disposition “hors ligne” pour bloquer les menaces potentielles.

Méthodes d’analyse

Après avoir analysé les modules d’analyse caractéristiques des logiciels antivirus modernes, il est temps de comprendre quels sont les outils utilisés par ces logiciels pour savoir si un fichier est nuisible ou non.

Pour bien comprendre cette différence, imaginez un barrage routier dans la rue : les techniques de balayage pourraient être celles des flics, tandis que vous pouvez voir les méthodes d’analyse telles que les outils utilisés pour détecter les infractions, comme les radars, les alcootests, etc.

Méthode basée sur la signature

La méthode la plus simple et la plus rapide utilisée par les antivirus pour détecter les menaces consiste à utiliser une série de “listes spéciales” contenant des signatures ou des définitions de virus connues : il s’agit de caractéristiques spécifiques des logiciels malveillants, telles que des comportements connus, des séquences de bits précises dans les fichiers infectés ou du code de hachage. Ces archives sont interrogées à chaque fois qu’un fichier est scanné par des modules de scannage à la demande et à l’accès.

Les listes de signatures/définitions sont également mises à jour régulièrement par tous les fabricants d’antivirus, afin qu’ils puissent “attraper” (le plus rapidement possible) toute nouvelle menace reconnue. Mais cette méthode est malheureusement inefficace pour les virus mis en circulation quelques jours ou quelques heures après l’analyse : en l’absence de signature connue, l’antivirus pourrait laisser passer une menace sans déclencher l’alarme (menaces de 0 jour).

Pour revenir à notre exemple sur les autorités, vous pouvez considérer les signatures/définitions comme des photos d’identité judiciaire utilisées par les flics pour identifier immédiatement les criminels recherchés. Si un délinquant a changé d’identité, ou s’il n’a pas encore été pris en flagrant délit (il n’a donc pas de photo d’identité), il peut facilement échapper au contrôle de la patrouille, même le plus minutieux.

Méthode basée sur l’heuristique

Si une signature de virus n’est pas présente dans l’archive de virus, elle peut être bloquée en utilisant un composant particulier de l’antivirus, le module heuristique. Ce module arrête les fichiers suspects (mais non bloqués par des signatures) et vérifie leur comportement : si les fichiers suivent des modèles reconnus comme très suspects ou dangereux, ils sont immédiatement bloqués et mis en quarantaine, en attendant une enquête plus approfondie (c’est-à-dire l’arrivée de signatures sur la nature malveillante du fichier).

Grâce à ce module, l’ordinateur peut se défendre contre les nouvelles menaces. D’autre part, la sensibilité de l’heuristique joue un rôle clé dans son succès : un module trop strict peut bloquer même des fichiers parfaitement légitimes, tandis qu’un module trop permissif peut faire passer des virus sans aucune intervention.

Pour revenir à l’exemple des autorités, vous pouvez comparer l’heuristique au contrôle complet que les policiers effectuent lorsqu’une voiture suspecte passe par un point de contrôle. Même si la personne arrêtée n’est pas recherchée, mais qu’elle semble agitée, inquiète, effrayée par les contrôles dans la voiture ou sur sa personne, il est facile de supposer qu’elle cache quelque chose !

Méthodes basées sur le cloud

De nombreux outils modernes, afin de bloquer les virus, impliquent l’utilisation d’Internet : des techniques telles que l’analyse télémétrique, l’heuristique “en essaim” (basée sur le comportement enregistré par d’autres utilisateurs qui utilisent le même antivirus et rencontrent le même fichier) et l’exploration de données permettent de stopper les menaces les plus dangereuses, celles qui sont réalisées par des virus polymorphes, c’est-à-dire capables de changer d’identité (et donc d’être propres sur chaque PC infecté), et les logiciels de rançon (capables de se cacher dans des fichiers insoupçonnés).

Vous pouvez comparer les méthodes d’analyse basées sur le cloud comme le soutien “externe” offert aux flics lors d’une grande chasse à l’homme : hélicoptères, communications radio et chiens de garde.

Sandbox

Un autre outil très répandu des antivirus modernes est ce qu’on appelle le “bac à sable” : il prévoit la création d’un espace isolé, ne communiquant pas avec l’extérieur, dans lequel sont virtualisés tous les fichiers système nécessaires au lancement d’un programme suspect ou d’un exécutable.

Grâce à la sandbox, vous pouvez éviter un grand nombre d’infections : si la solution que vous avez choisie en comporte une, veillez à inclure tous les nouveaux programmes téléchargés, ou ceux qui peuvent être d’importants vecteurs de menace (par exemple les navigateurs et les clients de messagerie).

Importance des mises à jour

Comme vous pouvez facilement le deviner, à ce stade, la mise à jour constante de l’antivirus est le seul moyen de maintenir la barrière de protection offerte par le logiciel à un niveau élevé. En effet, les mises à jour impliquent souvent le téléchargement de nouvelles signatures et l’amélioration des modules intégrés dans l’antivirus.

À ce jour, presque tous les moteurs antivirus sont programmés pour télécharger les mises à jour dès qu’elles sont disponibles : pour ceux basés principalement sur le cloud, la mise à jour est au contraire constante et en temps réel, puisque les bases de données sont synchronisées dès qu’une seule signature est ajoutée. Vous ne le croirez pas, mais cette opération peut se produire plusieurs fois en une minute !

En revanche, l’absence de mises à jour pourrait rendre totalement inutiles les fonctions de protection intégrées dans le logiciel antivirus : les derniers fichiers malveillants, dans ce cas, pourraient agir sans être perturbés et endommager le système d’exploitation et les données qui y sont stockées. En fait, ce serait comme ne pas avoir de protection du tout !

En général, vous pouvez modifier la fréquence des mises à jour automatiques à partir du panneau de configuration de l’antivirus : assurez-vous d’abord qu’elles sont actives et veillez à régler l’intervalle de vérification/téléchargement sur une durée très faible (une heure ou moins).

Ensuite, cliquez sur le bouton Mise à jour et sécurité, allez dans la section Windows Update et cliquez sur le bouton Vérifier la disponibilité des mises à jour.

Le meilleur antivirus

La maintenant que vous avez compris comment fonctionne un antivirus et que vous avez une idée claire de vos besoins, aimeriez-vous jeter un coup d’œil sur ce que le monde informatique a à vous offrir pour choisir ce qui vous convient le mieux ? 

Il existe vraiment beaucoup de logiciels de sécurité de ce type, chacun ayant ses propres caractéristiques : gratuits, payants, avec des modules d’analyse en temps réel, préparés pour une analyse à la demande uniquement, basés sur le cloud, etc. 

Pour les solutions de sécurité conçues pour les smartphones et les tablettes avec le système d’exploitation Android, vous pouvez consulter mon guide du meilleur antivirus pour Android, dans lequel j’ai énuméré les meilleures applications conçues pour préserver l’intégrité des appareils.

En ce qui concerne macOS et iOS : ces systèmes d’exploitation disposent de protections de sécurité intégrées extrêmement efficaces, de sorte qu’ils ne nécessitent normalement pas la présence d’une solution antivirus spécifique.

Si, toutefois, vous avez contourné ces protections pour une raison ou une autre, ou si vous pensez toujours qu’il est essentiel de disposer d’un antivirus, vous pouvez consulter mes tutoriels consacrés à l’antivirus Mac et à la suppression des virus sur iPhone, dans lesquels j’ai traité le sujet de la “sécurité” avec beaucoup de détails.