{"id":11775,"date":"2019-06-03T10:46:04","date_gmt":"2019-06-03T10:46:04","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11775"},"modified":"2019-11-22T08:50:22","modified_gmt":"2019-11-22T08:50:22","slug":"emulator-technology","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/emulator-technology\/11775\/","title":{"rendered":"Nouvelle technologie d’\u00e9mulation de Kaspersky : lutter contre les virus"},"content":{"rendered":"

Vous \u00eates-vous d\u00e9j\u00e0 demand\u00e9 pourquoi les virus qui infectent les ordinateurs sont tout simplement appel\u00e9s \u00ab\u00a0virus\u00a0\u00bb ? En r\u00e9alit\u00e9, de nos jours, le mot \u00ab\u00a0virus\u00a0\u00bb est utilis\u00e9 de fa\u00e7on trompeuse puisqu\u2019il fait r\u00e9f\u00e9rence \u00e0 \u00ab\u00a0n\u2019importe quel programme malveillant\u00a0\u00bb ou sert \u00e0 d\u00e9crire \u00ab\u00a0n\u2019importe quelle action n\u00e9faste qu\u2019un programme a sur un ordinateur.\u00a0\u00bb J\u2019ai trouv\u00e9 cette d\u00e9finition dans notre encyclop\u00e9die<\/a>.<\/p>\n

Toujours selon notre encyclop\u00e9die, \u00ab\u00a0un virus, au sens strict, est d\u00e9fini comme un code de programme qui se reproduit<\/strong><\/em>\u00ab\u00a0<\/strong> et se r\u00e9pand, exactement comme le fait un virus biologique\u00a0; le virus de la grippe par exemple.<\/p>\n

\u00c9trangement, les virus qui correspondent \u00e0 cette d\u00e9finition ont disparu depuis plusieurs ann\u00e9es. Il s\u2019agit d\u00e9sormais de programmes malveillants<\/strong><\/span> qui ne se reproduisent pas autant mais ont des fonctions vraiment dangereuses, puisqu\u2019ils peuvent voler les informations de votre ordinateur, ou effacer la totalit\u00e9 des donn\u00e9s (un cheval de Troie par exemple). Encore aujourd\u2019hui, si vous demandez \u00e0 quelqu\u2019un comment il imagine les technologies de s\u00e9curit\u00e9 des ordinateurs<\/strong><\/span>, il va s\u00fbrement vous parler de scientifiques en blouses de laboratoire<\/span> combinaisons Hazmat<\/a> qui r\u00e9alisent des mises en quarantaine et travaillent avec des \u00e9prouvettes, m\u00eame si ces outils ne sont n\u00e9cessaires que lorsqu\u2019il s\u2019agit de virus biologiques.<\/p>\n

Vous l\u2019avez donc compris\u00a0: les virus d\u2019ordinateurs n\u2019existent plus. Les m\u00e9thodes d\u2019analyse utilis\u00e9es pour les d\u00e9tecter et les d\u00e9sinfecter (encore une mauvaise utilisation d\u2019un terme emprunt\u00e9 au monde de la microbiologie\u00a0!) existent encore, ne cessent d\u2019\u00eatre d\u00e9velopp\u00e9es, et sont encore tr\u00e8s utiles dans la lutte contre les virus<\/span> malwares du monde moderne. L\u2019\u00e9mulateur<\/a> est une de ces technologies de la vieille \u00e9cole.<\/p>\n

Pour faire simple, l\u2019\u00e9mulation<\/strong><\/span> est une m\u00e9thode qui permet de r\u00e9v\u00e9ler les menaces encore inconnues, au moyen de laquelle un fichier au comportement suspect (inhabituel ou atypique) est lanc\u00e9 dans un environnement virtuel (environnement \u00ab\u00a0\u00e9mul\u00e9\u00a0\u00bb) qui imite celui d\u2019un vrai ordinateur. Apr\u00e8s quoi l\u2019antivirus<\/strong><\/span>* observe l\u2019attitude du fichier (\u00e0 la vol\u00e9e\u00a0; plus d\u2019informations \u00e0 suivre) et isole le fichier pour faire des recherches suppl\u00e9mentaires s\u2019il d\u00e9tecte une activit\u00e9 dangereuse.<\/p>\n

Vous comprenez mieux la comparaison avec la virologie microbiologique\u00a0? Pourquoi administrer un puissant antidote avec de nombreux effets secondaires \u00e0 un patient qui pourrait<\/em> souffrir d\u2019une maladie alors qu\u2019il n\u2019a peut-\u00eatre rien\u00a0? Il vaut mieux l\u2019\u00e9muler in vitro, voir ce qu\u2019il se pr\u00e9pare, puis<\/em> donner le traitement ad\u00e9quat.<\/p>\n

Le d\u00e9fi principal est pourtant le m\u00eame qu\u2019en microbiologie\u00a0: il est crucial de cr\u00e9er un environnement \u00e9mul\u00e9 <\/strong><\/span>qui ressemble autant que possible au r\u00e9el. Si ce n\u2019est pas le cas, les fichiers malveillants pourraient se rendre compte qu\u2019il s\u2019agit d\u2019un pi\u00e8ge et bien se comporter. Nous avons fait de l\u2019\u00e9mulation depuis plusieurs ann\u00e9es<\/span> d\u00e9cennies et, sans fausse modestie, nous avons beaucoup d\u2019avance sur nos concurrents.<\/p>\n

Une personne a d\u00e9velopp\u00e9 le premier \u00e9mulateur en 1992 \u00e0 l\u2019\u00e9poque du DOS : moi<\/em>. Les experts du monde entier ont rapidement lou\u00e9 les louanges des taux de d\u00e9tection de nos antivirus<\/strong><\/span> (oui, \u00e0 cette \u00e9poque il s\u2019agissait encore d\u2019antivirus), ce qui a ouvert la concurrence en mati\u00e8re de tests ind\u00e9pendants, et ce en partie gr\u00e2ce \u00e0 l\u2019\u00e9mulateur.<\/p>\n

Les ann\u00e9es passent et le paysage des cybermenaces est de plus en plus compliqu\u00e9\u00a0: les virus ne font plus la une, et sont remplac\u00e9s par des vers de r\u00e9seaux, des chevaux de Troie et bien d\u2019autres programmes malveillants complexes. Pendant ce temps, nous avons observ\u00e9 l\u2019apparition de nombreuses technologies num\u00e9riques avec les ordinateurs, les dispositifs mobiles, l\u2019Internet des Objets, et bien d\u2019autres. Nos connaissances en mati\u00e8re d\u2019\u00e9mulation <\/strong><\/span>de lutte contre les virus<\/strong><\/span> n\u2019ont cess\u00e9 de progresser et notre infrastructure de s\u00e9curit\u00e9 bas\u00e9e sur le Cloud KSN<\/a> est \u00e9quip\u00e9e de cette technologie. Nous lui avons enseign\u00e9 les nouvelles langues de la programmation, et lui avons fait conna\u00eetre les nouveaux navigateurs et tous les autres objets<\/a> des syst\u00e8mes d\u2019exploitation\u2026 Tout est en place pour nous aider \u00e0 capturer automatiquement tous les types de malwares in\u00e9dits. Pas d\u2019IA<\/a> ni de produit miracle<\/a>, juste beaucoup de travail astucieux\u00a0; tout le n\u00e9cessaire pour avoir de vraies innovations HuMachine<\/a>\u00a0\ud83d\ude0a.<\/p>\n

\"Qu'est-ce<\/p>\n

De nos jours, peu de concurrents peuvent se vanter d\u2019avoir ce genre de technologie pour lutter contre les virus<\/strong><\/span>, et ce n\u2019est pas surprenant\u00a0: l\u2019\u00e9mulation<\/strong><\/span> est une t\u00e2che particuli\u00e8rement difficile qui exige de nombreuses ann\u00e9es d\u2019exp\u00e9rience, requiert beaucoup de temps pour que les produits soient en premi\u00e8re ligne de combat, et demande un d\u00e9veloppement continu. Beaucoup de personnes d\u00e9butantes dans le secteur de la cybers\u00e9curit\u00e9 pr\u00e9f\u00e8rent pourtant investir dans le marketing de pacotille<\/a>. \u00c0 court terme, cette approche peut \u00eatre un coup de pouce consid\u00e9rable au d\u00e9veloppement de l\u2019entreprise, mais vous ne pouvez pas tromper \u00e9ternellement les utilisateurs\u00a0: \u00a0l\u2019entreprise finit par commettre une erreur et puis voil\u00e0\u00a0; fin de l\u2019histoire. En d\u2019autres termes, si une entreprise de cybers\u00e9curit\u00e9 a son propre \u00e9mulateur, vous savez que les connaissances et la maturit\u00e9 du d\u00e9veloppeur sont impressionnantes. Au contraire, s\u2019il n\u2019y a pas d\u2019\u00e9mulateur, alors l\u2019entreprise a peu d\u2019exp\u00e9rience, et ne va pas r\u00e9sister longtemps.<\/p>\n

Je m\u2019\u00e9loigne du sujet\u2026<\/p>\n

M\u00eame si nous avons continuellement am\u00e9lior\u00e9 notre \u00e9mulateur<\/strong><\/span> pour lutter contre les virus<\/strong><\/span>, les cybercriminels n\u2019ont pas ch\u00f4m\u00e9. Ils ont activement prot\u00e9g\u00e9 leurs affaires et leurs op\u00e9rations d\u2019espionnage informatique, et ils ont m\u00eame essay\u00e9 de se prot\u00e9ger de notre \u00e9mulateur.<\/p>\n

Les acteurs de menaces les plus avanc\u00e9s utilisent diff\u00e9rentes m\u00e9thodes permettant de contourner l\u2019\u00e9mulateur et de reconna\u00eetre l\u2019environnement d\u2019essai, notamment en lan\u00e7ant une fonction non r\u00e9f\u00e9renc\u00e9e, en v\u00e9rifiant l\u2019authenticit\u00e9 des demandes pour modifier les registres du processeur, en analysant les codes d\u2019erreur, en cherchant un code en particulier dans la m\u00e9moire, en utilisant des \u00ab\u00a0bombes logiques\u00a0\u00bb qui font tourner l\u2019\u00e9mulateur en boucle, et ainsi de suite. Si le malware<\/strong><\/span> d\u00e9tecte quelque chose de suspect, il arr\u00eate imm\u00e9diatement toute activit\u00e9 malveillante et est doux comme un agneau.<\/p>\n

Nous savons parfaitement que ces m\u00e9thodes existent, et c\u2019est pourquoi nous gardons une longueur d\u2019avance, en ajustant continuellement l\u2019\u00e9mulateur pour qu\u2019il r\u00e9siste \u00e0 ces astuces et en l\u2019am\u00e9liorant de diverses fa\u00e7ons (principalement en r\u00e9duisant l\u2019intensit\u00e9 des ressources). Par exemple, nous utilisons plusieurs limiteurs, optimiseurs, et profils de configuration pour l\u2019acc\u00e9l\u00e9rer, ce qui pourrait m\u00eame d\u00e9sactiver compl\u00e8tement l\u2019\u00e9mulateur si le d\u00e9lai de r\u00e9ponse est aussi mauvais que celui de l\u2019\u00e9cran bleu de la mort (BSoD<\/a>).<\/p>\n

Pendant ce temps, nos guerriers de brevet<\/a> nous ont rapport\u00e9 de bonnes nouvelles l\u2019autre jour depuis le front de l\u2019\u00e9mulation\u00a0: nous avons obtenu un brevet (US10275597<\/a>) pour le code du programme de l\u2019\u00e9mulateur qui peut interpr\u00e9ter les objets inconnus\u00a0! Pour autant que je sache, aucun produit de la concurrence n\u2019a cette fonction\u00a0: pour se prot\u00e9ger des malwares<\/strong><\/span> qui arrivent \u00e0 d\u00e9jouer les tactiques de l\u2019\u00e9mulateur, la concurrence doit retravailler l\u2019ensemble<\/em> de leur \u00e9mulateur\u00a0; ce processus prend un certain temps. D\u2019autre part, nous avons appris \u00e0 notre \u00e9mulateur comment se mettre \u00e0 jour \u00e0 la vol\u00e9e \u00e0 partir d\u2019une base de donn\u00e9es locale. Donc oui, cette fonction est particuli\u00e8rement utile, et il n\u2019y a aucune raison pour ne pas en parler puisque notre force est que vous sachiez comment nous vous prot\u00e9geons\u00a0!\u00a0\ud83d\ude0a<\/p>\n

Certains fichiers ne sont pas distribu\u00e9s en code machine<\/strong><\/em> mais directement en code source<\/strong><\/em>. Vous avez besoin d\u2019un interpr\u00e8te (JavaScript ou VBA par exemple) pour les ex\u00e9cuter sur un ordinateur. Il traduit le code en temps r\u00e9el en un langage plus familier pour la machine. Et, comme vous vous en doutez, les malwares se trouvent souvent dans ce genre de fichiers.<\/p>\n

C\u2019est pour d\u00e9tecter ces menaces inconnues que nous avons cr\u00e9\u00e9, il y a de cela plusieurs ann\u00e9es, un code du programme de l\u2019\u00e9mulateur qui puisse v\u00e9rifier les fichiers dans un environnement d\u2019essai avant de les ex\u00e9cuter. Pourtant l\u2019\u00e9mulation de la totalit\u00e9 de l\u2019interpr\u00e8te requiert trop de ressources\u00a0: le temps n\u00e9cessaire pour traiter les pages Web avec des scripts ferait que les utilisateurs Internet soient frustr\u00e9s. Par cons\u00e9quent, les \u00e9mulateurs qui luttent contre les virus<\/strong><\/span> ont tendance \u00e0 recr\u00e9er une version de compromis de l\u2019espace virtuel, ce qui est acceptable en termes de performance et de qualit\u00e9 de protection. Que se passe-t-il lorsque l\u2019\u00e9mulateur trouve une m\u00e9thode, une fonction du code ou un objet inconnu, et que l\u2019interpr\u00e9tation est absolument cruciale pour r\u00e9aliser une analyse compl\u00e8te du fichier\u00a0?<\/p>\n

Nous avons r\u00e9solu ce probl\u00e8me autrement : un interpr\u00e8te \u00ab\u00a0intelligent\u00a0\u00bb qui apprend rapidement comment \u00e9muler ces objets. Lors d\u2019une mise \u00e0 jour effectu\u00e9e via le Cloud KSN, le produit a re\u00e7u un code auxiliaire dans la langue de l\u2019objet analys\u00e9 (JavaScript, VBA, VB Script, Autolt\u2026 ) et, gr\u00e2ce aux nouvelles connaissances, a pu v\u00e9rifier le fichier. Lorsque la situation est complexe, c\u2019est-\u00e0-dire lorsque le code auxiliaire n\u2019est pas encore pass\u00e9, la t\u00e2che est automatiquement assign\u00e9e \u00e0 nos analystes qui d\u00e9veloppent le code en question et l\u2019ajoute rapidement \u00e0 la base de donn\u00e9es.<\/p>\n

Par cons\u00e9quent, les utilisateurs disposent d\u2019une technologie r\u00e9sistante et tr\u00e8s rapide qui peut vite faire face aux cybermenaces sans devoir attendre que l\u2019ensemble de l\u2019\u00e9mulateur soit r\u00e9\u00e9dit\u00e9. Jackpot<\/em>\u00a0!<\/p>\n

*Le terme \u00ab\u00a0antivirus\u00a0\u00bb est un autre archa\u00efsme de l\u2019\u00e8re des virus qui infectent les ordinateurs. Les antivirus modernes ne vous prot\u00e8gent pas seulement des virus, mais bien de n\u2019importe quel malware. Ils proposent aussi de nombreuses fonctions de s\u00e9curit\u00e9 utiles : gestionnaire de mots de passe<\/a>, VPN<\/a>, contr\u00f4le parental<\/a>, sauvegardes<\/a>, et bien d\u2019autres. Pour \u00eatre plus pr\u00e9cis, je dirai qu\u2019un bon \u00ab\u00a0antivirus\u00a0\u00bb devrait \u00eatre d\u00e9sign\u00e9 comme \u00ab\u00a0anti-ceci, cela, et tout le reste qui me prot\u00e8ge, prot\u00e8ge ma famille, nos appareils et toutes nos donn\u00e9es<\/a><\/em>, et est \u00e9quip\u00e9 de tout ce dont j\u2019ai besoin !<\/em>\u00a0\u00bb Pas vraiment facile \u00e0 prononcer, n\u2019est-ce pas\u00a0?<\/p>\n","protected":false},"excerpt":{"rendered":"

\u00c9mulateur des produits Kaspersky Lab : qu\u2019est-ce que c\u2019est et pourquoi est-ce si important que l\u2019antivirus en soit \u00e9quip\u00e9.<\/p>\n","protected":false},"author":13,"featured_media":11777,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[7,1869],"tags":[1727,3526,2367,3383,188,398,350,632],"class_list":{"0":"post-11775","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-products","8":"category-technology","9":"tag-brevets","10":"tag-emulateur","11":"tag-humachine","12":"tag-ia","13":"tag-kaspersky-lab","14":"tag-ksn","15":"tag-produits","16":"tag-technologies"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/emulator-technology\/11775\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/emulator-technology\/15815\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/emulator-technology\/13342\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/emulator-technology\/17725\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/emulator-technology\/15870\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/emulator-technology\/14613\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/emulator-technology\/18520\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/emulator-technology\/17362\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/emulator-technology\/22750\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/emulator-technology\/27070\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/emulator-technology\/10783\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/emulator-technology\/19327\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/emulator-technology\/23324\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/emulator-technology\/18402\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/emulator-technology\/22650\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/emulator-technology\/22600\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/produits\/","name":"produits"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11775"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11775\/revisions"}],"predecessor-version":[{"id":12663,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11775\/revisions\/12663"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11777"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}