Les principes fondamentaux des antivirus : virus, signatures, désinfection

13 Oct 2016

On ne cesse de vous répéter comment se comporter, et même comment survivre dans le monde numérique. Nous espérons qu’on ne le fait pas pour rien, que nos lecteurs apprennent grâce à nous, et qui à leur tour l’enseignent à leurs amis et à leurs proches. C’est très important.

Antivirus fundamentals: Viruses, signatures, disinfection

Mais parfois nous avons tendance à prendre pour acquis du jargon technique concernant des termes spécifiques et des expressions. Par conséquent, nous reviendrons aujourd’hui sur les principes de base afin d’aborder trois fondamentaux des antivirus.

1. Signatures

Les bases de données antivirus contiennent ce qu’on appelle des signatures, à la fois dans le langage courant et à l’écrit. En réalité, les signatures classiques ne sont plus utilisées depuis à peu près 20 ans.

Au tout début, dans les années 1980, les signatures en tant que concept n’étaient pas clairement définies. Encore aujourd’hui, elles n’ont pas une page Wikipédia qui leur est dédiée. La définition du malware utilise le terme sans définir les signatures, comme si elles étaient connues de tous, sans donner d’explication.

Laissez-nous donc au moins vous donner la définition des signatures ! La signature virale est une suite continue de bytes qui est commune pour un certain échantillon de malware. Cela signifie qu’elle est présente dans le malware ou le fichier infecté et non dans les fichiers non infectés.

Antivirus fundamentals: Viruses, signatures, disinfection

Une séquence caractéristique de bytes

De nos jours, les signatures sont amplement suffisantes pour détecter des fichiers malveillants. Les créateurs de malwares essayent de trouver des combines, en utilisant une variété de techniques pour brouiller les pistes. C’est la raison pour laquelle les produits antivirus modernes doivent utiliser des méthodes de détection encore plus avancées. Les bases de données antivirus contiennent toujours des signatures (elles représentent plus de la moitié de toutes les entrées de base de données), mais comportent également plus d’entrées sophistiquées.

Par habitude, tout le monde continue d’appeler de telles entrées « signatures ». Il n’y a pas de mal à ça, à partir du moment où on se rappelle que ce terme est une abréviation pour une gamme de techniques formant un arsenal beaucoup plus solide.

Idéalement, on devrait arrêter d’employer le terme signature pour faire référence à n’importe quelle entrée de base de données antivirus, mais il reste largement utilisé (et un terme plus précis n’existe pas encore), par conséquent cette pratique persiste.

Une entrée de base de données antivirus n’est qu’une entrée. La technologie qui en est à l’origine peut soit être une signature classique soit quelque chose de super sophistiqué, innovant, et ciblant les malwares les plus avancés.

2. Virus

Comme vous l’aurez remarqué, nos analystes évitent d’utiliser le terme virus et préfèrent malware, menace etc. La raison est qu’un antivirus est un type spécifique de malware qui expose un fonctionnement spécifique : il infecte des fichiers propres. Entre eux, les analystes font référence à un virus en parlant d’infecteur.

Les infecteurs jouissent d’un statut unique au laboratoire. Premièrement, ils sont difficiles à détecter. A première vue, un fichier infecté semble propre. Deuxièmement, les infecteurs requièrent un traitement spécial : la quasi-totalité d’entre eux nécessitent une détection spécifique et des procédures de désinfection. C’est la raison pour laquelle les infecteurs sont gérés par des experts qui sont spécialisés dans ce domaine.

Antivirus fundamentals: Viruses, signatures, disinfection

Les malwares répertoriés

Par conséquent, pour éviter toute confusion lorsqu’on parle des menaces en général, les analystes utilisent des termes génériques tels que « programmes malveillants » et « malwares ».

Voici quelques autres classifications qui peuvent s’avérer utiles. Un ver est un type de malware qui peut se reproduire lui-même et sortir du dispositif qui l’avait initialement infecté pour en infecter d’autres. Et le malware, techniquement parlant ne fait pas référence à l’adware (logiciel de publicité intrusif) ou au riskware (un logiciel légitime qui peut nuire au système s’il est installé par des malfaiteurs).

3. Désinfection

Dernièrement, j’ai constaté une chose commune, et j’espère que ce n’est pas une idée fausse : celle qu’un antivirus peut uniquement analyser et détecter des malwares, mais qu’ensuite un utilisateur a besoin de télécharger une fonctionnalité spéciale pour éliminer les malwares. En fait, les outils de désinfection existent pour certains types de malwares : par exemple, les outils de déchiffrement affectés par un ransomware. Mais un antivirus peut se débrouiller tout seul, et parfois, il s’agit de la meilleure option, en autorisant l’accès aux system drivers et aux autres technologies ne pouvant pas s’ajuster à un outil de désinfection.

Comment fonctionne donc le processus d’élimination des malwares ? Dans un petit pourcentage de cas, une machine détecte un infecteur (les infecteurs échappent rarement aux antivirus). L’infecteur agit sur certains fichiers, et l’antivirus passe ensuite par les fichiers infectés et élimine le code malveillant, en restaurant ces derniers à leur état d’origine. La même procédure est mise en place lorsque vous avez besoin de déchiffrer des fichiers chiffrés par un ransomware, couramment détecté comme étant le Trojan-Ransom.

Pour le reste, la grande majorité, peut-être dans 99% des cas, le malware est détecté avant qu’il n’infecte des fichiers, le processus consiste à simplement éliminer des malwares. Si aucun fichier n’est endommagé, il n’y a pas besoin de restaurer quoi que ce soit.

Antivirus fundamentals: Viruses, signatures, disinfection

Dans la plupart des cas, il suffit de supprimer le fichier malveillant

Il y a cependant une exception : si le malware n’est pas un infecteur par exemple, s’il s’agit d’un ransomware, et qu’il est déjà actif sur le système, l’antivirus passe au mode désinfection pour s’assurer que la menace soit partie pour de bon et qu’elle ne reviendra pas. Vous pouvez en lire davantage sur le processus ici.

Cette exception se produit généralement pour l’une de ces deux raisons :

  1. L’antivirus a été installé sur un ordinateur déjà infecté. Vous savez, le mauvais déroulement habituel, d’abord être infecté, et ensuite agir pour être protégé.
  2. L’antivirus a indiqué quelque chose de « suspicieux » au lieu de « malveillant » et a commencé à surveiller attentivement ses activités (relevées durant la période de surveillance). Par exemple, l’antivirus peut restaurer des fichiers chiffrés à partir de copies de sauvegarde, si l’ordinateur est attaqué par un ransomware ou un infecteur.

Conclusion

C’est tout pour aujourd’hui. Nous espérons  à présent que :

  1. Vous savez ce que sont les « signatures ». En résumé, n’importe quelles entrées de base de données antivirus, y compris les plus avancées.
  2. Vous vous êtes familiarisé davantage aux différents types de malwares.
  3. Vous comprenez que le processus de désinfection d’un ordinateur ou d’un dispositif relève de la compétence d’un programme antivirus. Et que c’est la raison pour laquelle il est important d’activer le composant de la Surveillance du système sur votre antivirus afin d’analyser le fonctionnement de fichiers suspicieux.