Techniques de numérisation
Afin de mieux comprendre le fonctionnement d'un antivirus, il faut nécessairement connaßtre les composants qui le caractérisent, c'est-à -dire les modules d'analyse qui constituent son « bouclier défensif ».
Analyse en temps réel
La forme de analyse en temps rĂ©el (aussi appelĂ© Sur accĂšs) est le composant de l'antivirus qui dĂ©marre avec le systĂšme d'exploitation, est placĂ© dans la mĂ©moire RAM et analyse en temps rĂ©el toute action effectuĂ©e sur l'ordinateur. A chaque exĂ©cution, dĂ©placement, crĂ©ation ou modification d'un fichier (mĂȘme de maniĂšre "invisible", par exemple lors de la simple ouverture d'un programme), le module analyse en temps rĂ©el chaque fichier utilisĂ© dans le processus (fichiers binaires, DLL etc.) Ă la recherche d'un fichier malveillant ou suspect. Lorsque "l'alarme est dĂ©clenchĂ©e", le module se charge de bloquer toute action du fichier et de le "neutraliser", en le dĂ©plaçant vers une zone protĂ©gĂ©e, situĂ©e Ă l'intĂ©rieur des dossiers antivirus (cette zone protĂ©gĂ©e est gĂ©nĂ©ralement appelĂ©e quarantaine o panier).
Ce module est donc un composant fondamental de l'antivirus : il est, sans surprise, prĂ©sent sur la plupart des programmes conçus Ă cet effet. GrĂące au contrĂŽle sur accĂšs, il est en effet possible de bloquer une infection dans l'Ćuf, empĂȘchant les virus de modifier le comportement du systĂšme et d'endommager les fichiers personnels.
Ăvidemment, ce module ce n'est pas infaillible: si le virus est bien cachĂ© Ă l'intĂ©rieur de fichiers lĂ©gitimes ou non prĂ©sent dans la "liste" spĂ©ciale en possession de l'antivirus (sur laquelle nous reviendrons plus tard), il pourrait Ă©chapper Ă ce contrĂŽle, devenant presque totalement invisible. De nombreux virus, en effet, peuvent ĂȘtre activĂ©s Ă distance ou aprĂšs un certain temps, Ă©chappant ainsi au contrĂŽle de l'analyse en temps rĂ©el et gĂ©nĂ©rant par consĂ©quent une infection plus importante.
Un module d'analyse en temps rĂ©el doit ĂȘtre suffisamment lĂ©ger et discret lors de son action : si ce n'Ă©tait pas le cas, les performances de l'ordinateur diminueraient sensiblement aprĂšs toute opĂ©ration initiĂ©e par l'utilisateur (mĂȘme la simple ouverture d'un fichier ou d'un dossier, par exemple).
Analyse Ă la demande
La forme de analyse à la demande (aussi appelé à la demande) est le composant de l'antivirus qui analyse, un par un, tous les fichiers présents dans le systÚme ou dans le dossier indiqué. Par rapport au module de numérisation en temps réel, il adopte un systÚme beaucoup plus précis et efficace, et nécessite une plus grande quantité de ressources : dans le passé, il n'était pas rare de devoir interrompre votre travail lors du démarrage d'une analyse à la demande, car le disque dur et le processeur étaient complÚtement occupés à effectuer cette tùche.
En raison de cette forte demande de ressources, ce module ne peut ĂȘtre dĂ©marrĂ© que sur demande, en cliquant sur un bouton spĂ©cifique dans l'interface antivirus, ou en appelant la fonctionnalitĂ© associĂ©e Ă partir du menu contextuel des fichiers enregistrĂ©s dans le systĂšme.
L'analyse Ă la demande peut Ă©galement ĂȘtre programmĂ©e, afin que vous puissiez la rĂ©aliser lorsque votre ordinateur ne sera pas utilisĂ© pour d'autres tĂąches.
Personnellement, je vous recommande de planifier une analyse complĂšte du systĂšme au moins une fois par mois, en fixant un jour et/ou une heure oĂč vous ĂȘtes sĂ»r de ne pas ĂȘtre prĂ©sent au PC (mieux vaut laisser l'ordinateur allumĂ© Ă cet effet, pour ne pas avoir Ă le reporter au premier dĂ©marrage utile).
Analyse en nuage
Récemment, un nouveau module a été ajouté aux composants antivirus pour prendre en charge ceux à l'accÚs et à la demande : le analyse basée sur le cloud. Lorsque ce composant est actif, toutes les données des fichiers analysés par l'antivirus sont envoyé sur Internet à un réseau de serveurs interconnectés, afin de pouvoir bénéficier d'une puissance de calcul beaucoup plus élevée : les serveurs peuvent ainsi scanner les données du fichier (ou l'intégralité du fichier s'il est relativement petit) et fournir un réponse immédiate à l'antivirus, qui peut ainsi le supprimer (dans le cas d'un virus) ou "le laisser passer" (dans le cas d'un fichier légitime).
Cette approche prĂ©sente deux avantages majeurs : tout d'abord, l'analyse a lieu sur plusieurs moteurs en mĂȘme temps, ce qui rĂ©duit drastiquement le risque de faux nĂ©gatifs (ou faux positifs) ; DeuxiĂšmement, les ressources de votre ordinateur ne sont pas affectĂ©es Ă l'analyse, qui se fait exclusivement sur Internet.
Cependant, le systĂšme d'analyse en nuage nĂ©cessite un accĂšs Internet constant, car les serveurs d'analyse doivent toujours ĂȘtre disponibles. Afin d'Ă©viter la saturation de la bande passante Internet (problĂšme trĂšs frĂ©quent surtout si vous disposez d'une connexion peu rapide), ce composant n'intervient gĂ©nĂ©ralement que pour scans Ă la demande et/ou pour les dossiers classĂ©s « suspects ». En l'absence de connexion Internet, le composant cloud ne fonctionne pas, l'antivirus doit donc utiliser les outils mis Ă disposition "hors ligne" afin de bloquer les menaces potentielles.
MĂ©thodes d'analyse
AprÚs avoir analysé les modules d'analyse caractéristiques des antivirus modernes, il est temps de comprendre quels sont les outils que ces logiciels utilisent pour pouvoir comprendre si un fichier est nuisible ou non.
Pour comprendre cette diffĂ©rence, imaginez un barrage routier : les techniques de balayage pourraient ĂȘtre les flics, tandis que vous pouvez voir les mĂ©thodes d'analyse telles que les outils utilisĂ©s pour dĂ©tecter les infractions, tels que les radars, les Ă©thylotests, etc.
Méthode basée sur les signatures
La méthode la plus simple et la plus rapide utilisée par les antivirus pour détecter les menaces implique l'utilisation d'une série de « listes spéciales » contenant les signatures o définitions virus connus : ces derniers sont des caractéristiques spécifiques des cybermenaces, telles que comportements connus, précis séquences de bits dans des fichiers infectés ou codes de hachage. Ces archives sont interrogées chaque fois qu'un fichier est analysé par les modules d'analyse à la demande et à l'accÚs.
Les listes de signatures/définitions sont également mises à jour réguliÚrement par tous les fabricants d'antivirus, afin de pouvoir « attraper » (dans les plus brefs délais) toute nouvelle menace reconnue. Malheureusement, cette méthode est cependant inefficace pour les virus mis en circulation quelques jours ou quelques heures aprÚs l'analyse : comme il n'y a pas de signature connue, l'antivirus pourrait laisser passer une menace sans déclencher l'alarme (menaces à 0 jours).
Pour revenir Ă notre exemple sur les autoritĂ©s, vous pouvez considĂ©rer les signatures / dĂ©finitions comme des photos d'identitĂ© utilisĂ©es par les flics pour pouvoir identifier immĂ©diatement les dĂ©linquants recherchĂ©s. Si un criminel a changĂ© ses caractĂ©ristiques, ou n'a pas encore Ă©tĂ© pris en flagrant dĂ©lit (il n'a donc pas de photo d'identitĂ© associĂ©e Ă son identitĂ©), il peut facilement Ă©chapper au contrĂŽle mĂȘme de la patrouille la plus attentive.
Méthode basée sur des heuristiques
Si la signature d'un virus n'est pas prĂ©sente dans l'archive appropriĂ©e, il peut ĂȘtre bloquĂ© Ă l'aide d'un composant particulier de l'antivirus, Ă savoir le module heuristique. Ce module traite pour arrĂȘter les fichiers suspects (mais non bloquĂ©s par des signatures) et surveiller leur comportement: si les fichiers suivent schĂ©mas reconnus comme hautement suspects ou dangereux, ils sont immĂ©diatement bloquĂ©s et placĂ©s en quarantaine, dans l'attente d'investigations complĂ©mentaires (ie l'arrivĂ©e de signatures sur le caractĂšre malveillant du fichier).
GrĂące Ă ce module, l'ordinateur peut se dĂ©fendre contre de nouvelles menaces. D'un autre cĂŽtĂ©, cependant, le sensibilitĂ© heuristique joue un rĂŽle clĂ© dans son succĂšs : un module trop strict peut bloquer mĂȘme des fichiers parfaitement lĂ©gitimes, tandis qu'un module trop permissif peut laisser passer les virus sans intervenir du tout.
Pour en revenir Ă l'exemple d'autoritĂ©, vous pouvez comparer l'heuristique Ă la vĂ©rification complĂšte effectuĂ©e par les flics lorsqu'une voiture suspecte passe lors d'un barrage routier. MĂȘme si la personne arrĂȘtĂ©e n'est pas recherchĂ©e, mais semble agitĂ©e, agitĂ©e, craint des contrĂŽles dans la voiture ou sur sa personne, il est facile de supposer qu'elle cache quelque chose !
Méthodes basées sur le cloud
De nombreux outils modernes, afin de bloquer les virus, impliquent l'utilisation d'Internet : des techniques telles queanalyse de tĂ©lĂ©mĂ©trie,heuristique « essaim » (basĂ© sur les comportements enregistrĂ©s par d'autres utilisateurs utilisant le mĂȘme antivirus et rencontrant le mĂȘme fichier) et le data mining ils aident Ă arrĂȘter mĂȘme les menaces les plus dangereuses, celles menĂ©es par les virus polymorphes, c'est-Ă -dire capables de changer d'identitĂ© (donc propre sur chaque PC infectĂ©), et par les ransomwares (capables de se cacher dans des fichiers insoupçonnĂ©s).
Vous pouvez comparer des mĂ©thodes d'analyse basĂ©es sur le cloud telles que l'assistance « extĂ©rieure » ââofferte aux flics lors d'une grande chasse Ă l'homme : hĂ©licoptĂšres, communications radio et chiens de garde.
bac Ă sable
Un autre outil populaire disponible dans les antivirus modernes est le soi-disant tas de sable: il prévoit la création d'un espace isolé, ne communiquant pas avec l'extérieur, dans lequel tous les fichiers systÚme requis lors du démarrage d'un programme suspect sont virtualisés ou un exécutable.
Si l'exĂ©cutable s'avĂšre ĂȘtre un virus, il ne peut infecter que la partie du systĂšme virtualisĂ© dans le bac Ă sable, sans endommager le systĂšme d'exploitation rĂ©el.
Grùce au bac à sable, vous pouvez éviter un grand nombre d'infections : si la solution de votre choix en comporte, veillez à inclure tous les nouveaux programmes téléchargés, ou ceux qui peuvent représenter des vecteurs de menaces importants (ex. navigateur et Client de messagerie).
Importance des mises Ă jour
Comme vous pouvez facilement le deviner, à ce stade, mettre constamment à jour l'antivirus c'est le seul moyen de toujours maintenir haute la barriÚre de sécurité offerte par le logiciel. Les mises à jour, en effet, incluent souvent le téléchargement de nouvelles signatures et l'amélioration des modules intégrés à l'antivirus.
A ce jour, presque tous les antivirus sont programmés pour télécharger les mises à jour dÚs qu'elles sont disponibles : pour ceux basés principalement sur le nuage, la mise à jour est en revanche constante et en temps réel, puisque les bases de données sont synchronisées dÚs qu'une seule signature est ajoutée. Vous ne le croirez pas, mais cette opération peut aussi se produire plusieurs fois en une minute !
Le manque de mises Ă jour, en revanche, pourrait rendre les fonctions de protection intĂ©grĂ©es dans le logiciel antivirus totalement inutiles : les fichiers malveillants les plus rĂ©cents, dans ce cas, pourraient agir sans ĂȘtre perturbĂ©s et endommager le systĂšme d'exploitation et les donnĂ©es qui y sont stockĂ©es. En fait, ce serait comme n'avoir aucune protection !
En rÚgle générale, vous pouvez ajuster la fréquence des mises à jour automatiques à partir de panneau des paramÚtres antivirus : assurez-vous d'abord que ceux-ci sont actifs et prenez soin de régler l'intervalle de vérification/téléchargement sur un temps trÚs faible (une heure ou moins).
Pour les solutions intĂ©grĂ©es aux systĂšmes d'exploitation, telles que Windows Defender, vous pouvez tĂ©lĂ©charger manuellement les mises Ă jour Ă partir des paramĂštres systĂšme : sur fenĂȘtres 10, par exemple, il faut aller dans le menu DĂ©marrer et cliquez sur le bouton en forme de ingranaggio, situĂ© Ă gauche, pour ouvrir la fenĂȘtre rĂ©glages.
Ensuite, vous devez cliquer sur le bouton Mise à jour et sécurité, rendez-vous dans la rubrique dédiée à Windows Update et cliquez sur le bouton Rechercher des mises à jour.
Le meilleur antivirus
Laisse moi deviner : maintenant que tu comprends comment fonctionne l'antivirus et que vous avez des idĂ©es claires sur vos besoins, vous aimeriez jeter un Ćil Ă ce que propose la scĂšne informatique pour choisir celui qui convient le mieux Ă votre cas ? Pas de problĂšme, je pense vraiment que je peux vous aider.
Il existe tellement de logiciels de sĂ©curitĂ© de ce type, chacun avec ses propres caractĂ©ristiques : gratuit, payant, Ă©quipĂ© de modules d'analyse en temps rĂ©el, prĂȘt pour les analyses Ă la demande uniquement, basĂ© sur le cloud, etc. Si vous utilisez le systĂšme d'exploitation Windows, par exemple, je vous propose de lire mon guide du meilleur antivirus pour Windows 10, Ă©galement valable pour toutes les autres versions du systĂšme d'exploitation, dans lequel j'expliquais comment comparer les diffĂ©rents produits gratuits et comment choisissez celui qui vous convient.
Si en revanche vous avez besoin d'une solution efficace, personnalisable et dotée d'un grand nombre de modules, je vous recommande de vous orienter vers un antivirus payant.
Quant aux solutions de sécurité conçues pour les smartphones et les tablettes avec un systÚme d'exploitation Android, vous pouvez consulter mon guide du meilleur antivirus pour Android, dans lequel j'ai répertorié les meilleures applications conçues pour préserver l'intégrité des appareils.
en ce qui concerne MacOS e iOSCependant, je n'ai pas grand-chose Ă vous dire : ces systĂšmes d'exploitation ont des protections de sĂ©curitĂ© intĂ©grĂ©es extrĂȘmement efficaces, donc, en rĂšgle gĂ©nĂ©rale, ils ne nĂ©cessitent pas la prĂ©sence d'une solution antivirus spĂ©cifique.
Si toutefois vous avez contourné ces protections pour une raison ou une autre ou que vous jugez toujours indispensable de disposer d'un antivirus, vous pouvez consulter mes tutoriels dédiés à l'antivirus pour Mac et à la suppression de virus sur iPhone, dans lesquels j'ai traité le sujet « sécurité » avec une multitude de détails.
Comment fonctionne l'antivirus
