On a parlé beaucoup parlé de la façon de se comporter (ou de survivre) dans le monde numérique. On espère que ce n’est pas en vain – que les lecteurs apprennent et transmettent leurs connaissances à leurs amis et à leurs parents. C’est très important. Mais on tient parfois pour acquis une connaissance générale des termes et expressions techniques. Aujourd’hui, on va donc se limiter à l’essentiel et examiner les trois principes de base d’un antivirus.
1. La signature d’un antivirus
Les bases de données antivirus contiennent ce qu’on appelle des signatures, qui sont utilisées dans le langage courant et dans la langue écrite. En réalité, les signatures classiques n’ont pas été utilisées depuis plus de 20 ans. Depuis le début des années 1980, le concept de signature n’a pas été clairement défini. Même maintenant, ils n’ont pas de page sur Wikipedia, et l’entrée sur les logiciels malveillants utilise le terme sans définir les signatures comme s’ils n’avaient pas besoin d’explication. Ainsi, il est important de définir au moins les signatures ! Une signature de virus est une séquence continue d’octets, ce qui est normal pour un exemple de logiciel malveillant donné. Cela signifie qu’il est contenu dans le malware ou le fichier infecté et non dans les fichiers qui ne sont pas affectés.
Aujourd’hui, les signatures ne sont même pas suffisantes pour détecter les fichiers malveillants. Les créateurs de logiciels malveillants utilisent diverses techniques pour dissimuler leurs traces. C’est pourquoi les produits antivirus modernes doivent utiliser des méthodes de détection plus avancées. Les bases de données antivirus contiennent toujours des signatures (elles occupent plus de la moitié des entrées de la base de données), mais elles contiennent également des entrées plus complexes. Il est courant que tout le monde appelle encore ces entrées “signatures”. Ce n’est pas un problème, tant que vous vous souvenez que le terme est une abréviation pour une variété de techniques qui permettent d’obtenir un arsenal plus robuste.
Idéalement, nous n’utiliserions plus le mot “signature” pour désigner les entrées d’une base de données antivirus, mais il est utilisé si souvent – et un terme correct n’existe pas encore – que cela ne peut pas être mis en œuvre. Une entrée dans une base de données antivirus n’est qu’une entrée. La technologie sous-jacente peut être une signature classique ou très complexe et innovante, ciblant les logiciels malveillants les plus avancés.
2. Les virus
Comme vous l’avez peut-être remarqué, les analystes essaient d’éviter le terme “virus” et préfèrent les logiciels malveillants, les menaces, etc. La raison en est qu’un virus est un certain type de logiciel malveillant qui présente un certain comportement : il infecte des fichiers propres. Entre eux, les analystes parlent d’un virus avec un infecteur.
Les infecteurs bénéficient d’un statut unique au sein du laboratoire. Au début, ils sont difficiles à détecter – à première vue, un fichier infecté semble propre. Deuxièmement, les infecteurs nécessitent un traitement spécial : presque tous requièrent des procédés de détection et de désinfection spéciaux. C’est pourquoi les infecteurs sont traités par des experts spécialisés dans ce domaine.
Ainsi, pour éviter toute confusion lorsque l’on parle de menaces en général, les analystes utilisent des termes généraux tels que “programme malveillant” et “logiciel malveillant”. Voici quelques autres classifications qui pourraient être utiles. Un ver est un type de logiciel malveillant qui peut se reproduire et sortir de l’appareil infecté à l’origine pour infecter d’autres appareils. Et d’un point de vue technique, les logiciels malveillants n’incluent pas les logiciels publicitaires (logiciels publicitaires agressifs) ou les logiciels à risque (logiciels légitimes qui peuvent causer des dommages à un système s’ils sont installés par des criminels).
3. La désinfection
Récemment, on a souvent observé quelque chose qui, on l’espère, n’est pas une idée fausse normale : un antivirus ne peut que scanner et détecter les logiciels malveillants, mais l’utilisateur doit alors télécharger un programme spécial pour supprimer le logiciel malveillant. En fait, des programmes spéciaux existent pour certains types de logiciels malveillants : par exemple, des décodeurs pour les fichiers infectés par des logiciels de rançon. Mais les programmes antivirus peuvent aussi fonctionner seuls – et parfois ils sont la meilleure option, en donnant accès aux pilotes du système et à d’autres technologies qui n’entrent pas dans un programme.
Alors, comment fonctionne la suppression des logiciels malveillants ? Dans quelques cas, une machine détecte un infecteur (généralement avant qu’un programme antivirus n’ait été installé ; les infecteurs passent rarement à travers une protection antivirus), l’infecteur agit sur certains fichiers, puis un antivirus passe par les fichiers infectés et supprime le code malveillant en les rétablissant dans leur état d’origine. La même procédure est mise en œuvre lorsque des fichiers cryptés par un logiciel de rançon doivent être décryptés ; ils sont généralement détectés comme des Troyens de rançon.
Et dans les 99 cas restants, le malware est détecté avant qu’il ne puisse infecter les fichiers, le processus consiste simplement à supprimer le malware. Si aucun fichier n’a été endommagé, rien ne doit être restauré. Il n’y a pas d’exception ici, et pourtant : si le malware n’est pas un infecteur – par exemple un logiciel de rançon – et est déjà actif sur le système, l’antivirus passe en mode de désinfection pour s’assurer que la menace a été supprimée à jamais et ne revient pas.
Cette exception se produit généralement pour deux raisons :
L’antivirus a été installé sur un ordinateur déjà infecté. Vous connaissez la mauvaise procédure normale. Informez-vous d’abord, puis décidez qu’il est temps de vous protéger.
L’antivirus marque quelque chose comme “suspect” et non “nuisible” et commence à surveiller l’activité de plus près. Dès que le malware montre une activité malveillante significative, l’antivirus inverse toute activité malveillante (détectée pendant la phase de surveillance).
Dans la même catégorie