Antivirus (anti-malware)

Qu'est-ce qu'un logiciel antivirus (programme antivirus) ?

Un logiciel antivirus (ou programme antivirus) est un programme de sécurité conçu pour prévenir, détecter, rechercher et supprimer les virus et autres types de logiciels malveillants des ordinateurs, des réseaux et d'autres appareils. Souvent inclus dans un pack de sécurité, le logiciel antivirus peut également être acheté en tant qu'option indépendante.

Généralement installé sur un ordinateur dans le cadre d'une approche préventive de la cybersécurité, un programme antivirus peut contribuer à atténuer diverses cybermenaces, notamment les enregistreurs de frappe (keylogger), les dérobeurs (infostealer), les chevaux de Troie (ou Remote Access Trojan, ou RAT), les vers, les rootkits, les logiciels espions (spyware), les logiciels publicitaires (adware), les réseaux de zombies (botnet), les tentatives d'hameçonnage (phishing) et les attaques avec ransomware (ou rançongiciel).

En raison de l'évolution constante de la cybercriminalité et de la publication quotidienne de nouvelles versions de logiciels malveillants, sans compter les attaques exploitant des vulnérabilités inédites, les "zero-day” (ou 0day), aucun programme antivirus ne peut offrir une détection et une protection contre tous les vecteurs de menace.

Comment fonctionne un logiciel antivirus

Les logiciels antivirus fonctionnent généralement en arrière-plan, analysant les ordinateurs, les serveurs ou les appareils mobiles afin de détecter et de limiter la propagation des logiciels malveillants. De nombreux logiciels antivirus intègrent la détection et la protection en temps réel contre les menaces afin de se prémunir contre les vulnérabilités potentielles et d'effectuer des analyses du système qui surveillent les fichiers de l'appareil et du système, à la recherche de risques éventuels.

Les logiciels antivirus remplissent généralement les fonctions de base suivantes :

 - Analyse des répertoires ou des fichiers spécifiques par rapport à une bibliothèque de signatures malveillantes connues afin de détecter des schémas anormaux indiquant la présence de logiciels malveillants.

 - Permet aux utilisateurs de programmer des analyses pour qu'elles s'exécutent automatiquement de manière périodique.

 - Permet aux utilisateurs de lancer de nouvelles analyses à tout moment.

 - Supprime les logiciels malveillants qu'il détecte, soit automatiquement en arrière-plan, soit en informant les utilisateurs des infections et en les invitant à nettoyer les fichiers.

Pour analyser les systèmes de manière exhaustive, les logiciels antivirus doivent généralement bénéficier d'un accès privilégié à l'ensemble du système. Cela fait du logiciel antivirus lui-même une cible commune pour les attaquants, et les chercheurs ont découvert des vulnérabilités, allant jusqu’à permettre l’exécution de code arbitraire à distance, dans les produits antivirus au cours des dernières années.

Avantages des logiciels antivirus

L'objectif d'un logiciel antivirus n'est pas seulement de défendre un système contre les menaces et les failles de sécurité, mais aussi de fournir une protection en temps réel grâce à des analyses de vulnérabilité automatisées.

Les logiciels antivirus offrent les avantages suivants :

 - Protection contre les virus et les logiciels malveillants. Le principal avantage d'un logiciel antivirus est de protéger contre logiciels malveillants, dont les virus et les logiciels espions, notamment. La plupart des cybermenaces se présentent aujourd'hui sous la forme de vecteurs de menace à facettes multiples qui peuvent attaquer les données du système, voler des informations confidentielles, espionner les ressources du système et en dégrader les performances simultanément. Il est donc impératif de disposer en permanence d'un logiciel antivirus fiable.

 - Protection contre les spams et les pop-ups. L'un des moyens courants par lesquels les logiciels malveillants s'infiltrent dans un système et l'infectent est l'utilisation de fenêtres publicitaires et de pages web contenant de la publicité non désirée et malveillante - on parle de malvertising. Les logiciels antivirus assurent la sécurité du système en bloquant automatiquement les fenêtres publicitaires intempestives et les pourriels provenant de sites web malveillants.

 - Protection du web. Les logiciels antivirus aident à se protéger contre les sites web frauduleux que les acteurs malveillants utilisent pour recueillir les informations bancaires et de carte de crédit d'utilisateurs peu méfiants. En limitant l'accès aux sites web nuisibles, un programme antivirus fiable peut empêcher les utilisateurs d'accéder à des sites non autorisés.

 - Protection en temps réel. Le logiciel antivirus agit comme un bouclier en temps réel qui analyse chaque fichier et programme entrant. Selon les paramètres du programme antivirus, lorsqu'un fichier ou un programme infecté est détecté, il est soit automatiquement supprimé, soit placé dans un dossier de quarantaine pour une analyse plus approfondie. Un fichier en quarantaine est empêché d'interagir avec le reste de la machine et ses programmes afin de limiter les dégâts.

 - Commande d’analyse du démarrage. Les virus sophistiqués peuvent souvent se dupliquer lorsque le système est actif, et peuvent surtout intégrer des capacités de dites de persistance qui leur permettront de se relancer à chaque démarrage. Toutefois, un programme antivirus peut empêcher un virus de s'autoreproduire en invoquant une commande d’analyse du démarrage. Cette commande arrête le système d'exploitation (OS), redémarre l'ordinateur et analyse l'ensemble du disque dur à la recherche de virus et de logiciels malveillants. Au cours de l'analyse, le virus est détecté et n'a pas la possibilité de s'exécuter.

 - Analyse du dark web. Les données issues de la plupart des violations de données, telles que les attaques avec rançongiciel, sont souvent divulguées sur le dark web. De nombreux outils antivirus peuvent aider les organisations à découvrir si leurs données sensibles sont divulguées sur le dark web. Par exemple, s'ils trouvent une adresse électronique ou un numéro de compte associé sur le dark web, ils peuvent avertir l'utilisateur et mettre à jour le mot de passe avec un nouveau mot de passe plus complexe.

 - Protection contre les appareils externes. La plupart des gens branchent régulièrement des périphériques externes, tels que des disques durs et des adaptateurs USB, sur leur ordinateur. Les logiciels antivirus analysent tous les appareils et périphériques connectés afin d'empêcher les virus potentiels de pénétrer dans le système par des sources externes.

Types de programmes antivirus

Les logiciels antivirus sont distribués sous plusieurs formes, notamment des scanners antivirus autonomes, des programmes basés sur l'apprentissage automatique et sur le Cloud, des signatures de logiciels malveillants et des suites logicielles de sécurité internet qui offrent une protection antivirus, ainsi que des pare-feux, des contrôles de confidentialité et d'autres protections de sécurité additionnelles. Les fournisseurs les plus populaires de produits antivirus gratuits et commerciaux sont AVG Technologies, Eset, F-Secure, Kaspersky, Malwarebytes, Norton ou encore Trellix et Trend Micro.

Certains éditeurs de logiciels antivirus proposent des versions de base gratuites de leurs produits. Ces versions gratuites offrent généralement une protection de base contre les virus et les logiciels espions, mais les fonctions et protections plus avancées ne sont généralement accessibles qu'aux clients payants.

Bien que certains systèmes d'exploitation soient plus fréquemment ciblés par les développeurs de virus, des logiciels antivirus sont disponibles pour la plupart des systèmes d'exploitation :

 - Logiciel antivirus Windows. La plupart des éditeurs de logiciels antivirus proposent plusieurs niveaux de produits Windows à différents prix, à commencer par les versions gratuites qui n'offrent qu'une protection de base. Les utilisateurs doivent effectuer des analyses et des mises à jour manuellement et, en général, les versions gratuites des logiciels antivirus ne protègent pas contre les liens vers des sites web malveillants ou contre les codes malveillants et les pièces jointes des courriels. Les versions premium des logiciels antivirus comprennent souvent des suites d'outils de sécurité des terminaux qui offrent un stockage en ligne sécurisé, des bloqueurs de publicité et le chiffrement des fichiers. Depuis 2004, Microsoft propose un logiciel antivirus gratuit dans le cadre du système d'exploitation Windows, généralement sous le nom de Windows Defender. Microsoft propose désormais Microsoft Defender Antivirus dans le cadre de son portail Microsoft 365 Defender, disponible pour Windows 10, Windows 11 et certaines versions de Windows Server.

 - Logiciel antivirus pour macOS. Bien que les maliciels pour Apple macOS existent, ils sont moins courants que ceux concernant Windows, de sorte que les produits antivirus pour Mac sont moins nombreux que ceux pour Windows. Il existe plusieurs produits gratuits et payants qui fournissent des outils à la demande pour se protéger contre les menaces potentielles de logiciels malveillants grâce à des analyses complètes du système et à la possibilité de passer au crible des fils de courriels spécifiques, des pièces jointes et de diverses activités sur le web. La majorité des éditeurs d’antivirus pour Windows supporte également macOS.

 - Logiciel antivirus Android. Android est le système d'exploitation mobile le plus populaire au monde et est installé sur plus d'appareils mobiles que tout autre système d'exploitation. Étant donné que la plupart des logiciels malveillants mobiles concernent Android, les experts recommandent à tous les utilisateurs d'appareils Android d'installer un logiciel antivirus sur leur appareil. Les éditeurs proposent une variété de versions de base gratuites et de versions premium payantes de leurs logiciels antivirus pour Android, jusqu’à y intégrer des fonctions antivol et de localisation à distance. Certains effectuent des analyses automatiques et tentent activement d'empêcher l'ouverture ou le téléchargement de pages web et de fichiers malveillants. Play Protect est la protection intégrée de Google contre les logiciels malveillants pour Android, qui a été lancée pour la première fois avec Android 8.0 Oreo, et qui est désormais fournie avec chaque appareil Android sur lequel sont installés les services Google Play version 11 ou plus récente.

Techniques de détection des virus

Les logiciels antivirus utilisent diverses techniques de détection des logiciels malveillants. Voici les six types les plus courants :

 - Détection basée sur la signature. Les programmes antivirus s'appuient généralement sur des signatures de virus stockées, c'est-à-dire des chaînes de données uniques caractéristiques de logiciels malveillants connus, pour signaler ces derniers. Le logiciel antivirus utilise ces signatures pour identifier les virus qu'il rencontre et que les experts en sécurité ont déjà identifiés et analysés.

 - Détection basée sur des heuristiques. Ce type de détection utilise un algorithme pour comparer les signatures des virus connus aux menaces potentielles. Avec la détection heuristique, les logiciels antivirus peuvent détecter des virus qui n'ont pas encore été découverts, ainsi que des virus existants qui ont été déguisés ou modifiés et publiés en tant que nouveaux virus. Toutefois, cette méthode peut également générer des faux positifs lorsque le logiciel antivirus détecte un programme se comportant de manière similaire à un programme malveillant et l'identifie à tort comme un virus.

 - Détection basée sur le comportement. Les logiciels antivirus peuvent également utiliser la détection basée sur le comportement pour analyser le comportement ou le comportement potentiel d'un objet à la recherche d'activités suspectes et en déduire une intention malveillante sur la base d'observations. Par exemple, un code qui tente d'effectuer des actions non autorisées ou anormales indiquerait que l'objet est malveillant ou, au moins, suspect. Parmi les comportements potentiellement dangereux, on peut citer la modification ou la suppression d'un grand nombre de fichiers, la surveillance des frappes au clavier, la modification des paramètres d'autres programmes et la connexion à distance à des ordinateurs.

 - Analyse en mode Cloud. Il est impossible pour un programme antivirus de lutter contre le grand nombre de variantes de logiciels malveillants qui apparaissent continuellement, notamment sous l’effet des efforts de maquillage de leur code mis en œuvre par les développeurs. Dès lors, les éditeurs d'antivirus proposent désormais l'analyse en mode Cloud dans le cadre de leurs offres antivirus. L'analyse en mode Cloud est une méthode moderne d'analyse des logiciels malveillants sur les puissants serveurs de l'éditeur de l'antivirus. Ainsi, si un fichier ou un programme malveillant est détecté par le programme antivirus, il est envoyé aux laboratoires de l'éditeur, où il est testé. S'il est confirmé qu'il est malveillant, une signature est créée pour lui, qui le bloque sur tous les autres appareils où il a été détecté.

 - Analyse en bac à sable. Cette technique de détection exécute un programme ou un fichier dans un environnement virtuel de type "bac à sable” (ou sandbox) afin d'analyser son comportement avant de l'autoriser dans le système. Grâce à cette technique, le logiciel antivirus n'autorise l'exécution d'un fichier dans l'environnement réel que si l'analyse du bac à sable confirme qu'il est sûr. Cette fonction est également utilisée pour l'exécution de fichiers que le programme antivirus n'est pas en mesure d'accepter ou de rejeter. Comme les fichiers sont exécutés dans un environnement isolé, même s'ils s'avèrent malveillants, le système ne subit aucun dommage, car ils n’y ont pas accès.

 - Système de prévention des intrusions sur l'hôte (HIPS). Les logiciels de sécurité et les antivirus utilisent généralement cette technologie pour détecter les activités potentiellement malveillantes d'un programme à l'aide d'une détection basée sur les signatures. Un HIPS surveille en permanence chaque activité réseau et avertit instantanément les utilisateurs en leur présentant des options d'autorisation, telles que Autoriser et Bloquer.

Les défis auxquels sont confrontés les logiciels antivirus

La croissance continue du nombre des connexions à Internet est également responsable de l'augmentation significative des virus et des cyberattaques. Bien que les programmes antivirus aient été développés à l'origine pour lutter contre les virus et les cybermenaces, ils présentent certaines limites.

Les paragraphes suivants mettent en évidence les défis actuels et futurs des logiciels antivirus :

 - Les logiciels antivirus qui n'utilisent que la détection basée sur les signatures ne peuvent pas détecter de nouveaux types de logiciels malveillants, y compris des variantes de logiciels malveillants existants. La détection basée sur les signatures ne peut détecter un nouveau virus que lorsque le fichier de définition est mis à jour avec des informations sur celui-ci. Le nombre de nouvelles signatures de logiciels malveillants augmentant rapidement, il n'est pas pratique de créer des logiciels anti-programmes malveillants basés uniquement sur les signatures. Toutefois, la détection basée sur les signatures ne produit généralement pas de faux positifs et s’avère rapide.

 - Même le meilleur logiciel antivirus peut parfois identifier par erreur un élément sûr d'un programme ou d'un fichier comme étant un logiciel malveillant, ce qui peut conduire à la mise en quarantaine ou à la suppression d'un fichier ou d'un programme légitime et important par l'antivirus. Les options antivirus gratuites sont généralement plus sujettes aux faux positifs que les services payants, car elles n'offrent pas souvent une analyse et une détection des attaques et des vecteurs de menace de même niveau.

 - Les logiciels antivirus peuvent parfois interférer avec les mises à jour du système, soit en les empêchant de se produire, soit en les interrompant en cours de route. Dans la plupart des cas, l'utilisateur doit prendre la mesure supplémentaire de désactiver une protection avant d'essayer d'installer des mises à jour du système ou des microprogrammes.

 - Les logiciels antivirus fonctionnent discrètement en arrière-plan et sont à peine perceptibles, mais ils peuvent consommer beaucoup de ressources système, notamment de la mémoire et de l'espace disque, ce qui ralentit les performances de l'appareil. La fonction d'analyse de l'antivirus peut également provoquer des décalages notables au sein du réseau.

 - Les logiciels antivirus ordinaires ne constituent qu'une couche de protection contre les virus. Pour une protection complète, la plupart des organisations doivent investir dans une approche multicouche, telle que des pare-feu matériels et logiciels ou une suite de sécurité internet complète comprenant des options antivirus.

L’évolution constante de l’environnement technologique rend plus difficile l'obtention d'une protection antivirus adéquate. Avec autant de points de terminaison à sécuriser - des portefeuilles de crypto-monnaie aux appareils de réalité virtuelle en passant par les automobiles - il arrive que les logiciels antivirus ne soient pas à la hauteur. La plupart des technologies antivirus traditionnelles ne peuvent pas détecter les attaques modernes sans fichier qui utilisent des systèmes de confiance, tels que PowerShell, pour exécuter les attaques.