Lumières sur la sécurité

mercredi 5 décembre 2018

Récemment, un de nos utilisateurs a écrit sur les réseaux sociaux qu’un antivirus est inutile et qu’il vaut mieux scanner des fichiers sur VirusTotal avec plus de 70 antivirus simultanément, ou utiliser Dr.Web CureIt! parce qu’il n’affecte pas les performances du système. Malheureusement, cet utilisateur n’est pas le seul à penser de cette façon.

C’est pourquoi il faut comprendre comment se diffusent et comment fonctionnent les logiciels malveillants et comment ils peuvent être neutralisés.

Tous les antivirus modernes comportent un module résident qui fonctionne en permanence en tâche de fond, traçant les modifications survenant dans le système et répondant rapidement aux menaces émergeant. Et il y a une bonne raison à cela ! Par exemple, Dr.Web est équipé du moniteur de fichiers SpIDer Guard depuis les années 90.

Un tel contrôle permanent n’aide pas uniquement les utilisateurs, qui autrement devraient scanner chaque fichier manuellement, mais permet également la neutralisation des logiciels malveillants les plus récemment mis en lumière et qui ne peuvent être détectés par des moyens conventionnels. La Protection Préventive est toujours active, analysant le comportement des logiciels et applications, contrôlant l’accès aux fichiers système et répondant rapidement aux menaces, dès leur découverte.

Bien sûr, nous sommes très fiers de notre utilitaire Dr.Web CureIt!, mais les utilisateurs doivent comprendre que c’est avant tout un utilitaire de désinfection souvent utilisé après la contamination d’un système.

Un tel contrôle permanent n’aide pas uniquement les utilisateurs, qui autrement devraient scanner chaque fichier manuellement, mais permet également la neutralisation des logiciels malveillants les plus récemment mis en lumière et qui ne peuvent être détectés par des moyens conventionnels. La Protection Préventive est toujours active, analysant le comportement des logiciels et applications, contrôlant l’accès aux fichiers système et répondant rapidement aux menaces, dès leur découverte.

Raison N°1. Le code malveillant peut être altéré pour éviter la détection basée sur les signatures, et le scanner ne sera pas en mesure de révéler la menace. Si un module antivirus résident fonctionnait dans le système, d’autres techniques de détection d’une activité malveillante (comme l’analyse heuristique) rentreraient en jeu.

Raison N°2. Pour qu’un système soit infecté, la personne qui l’utilise n’a pas nécessairement à effectuer des actions avec un fichier. Un malware peut se faufiler dans un ordinateur en exploitant une vulnérabilité. C’est ce que font les vers. Vous souvenez-vous de WannaCry ? Le Trojan n’avait pas besoin des utilisateurs pour le lancer sur leurs ordinateurs. Il scannait le réseau à la recherche de machines vulnérables et les infectait sans aucune intervention de l’utilisateur. Le module résident de l’antivirus Dr.Web a permis à nos utilisateurs de ne pas être infectés via la vulnérabilité non patchée.

En plus des vers, il existe de faux scripts sur les sites web et bien d’autres routines de déploiement de malwares dissimulés.

“Vous avez peut-être raison” – dira l’utilisateur – « mais scanner un ordinateur avec l’utilitaire antivirus permettra de détecter et de neutraliser ces menaces ! »

Oui, mais à ce moment, le malware aura peut-être déjà accompli de nombreuses actions dans le système infecté. Souvent, les malwares opèrent en silence et les utilisateurs ne voient pas leur présence. De plus, certains logiciels malveillants peuvent dissimuler leur traces en supprimant les modules dont ils n’ont plus besoin.

Et vous aurez de la chance si le malware que vous découvrez s’avère être un script de mining qui « ne fait que » surchauffer votre CPU tandis que vous consultez un site compromis.

Pendant ce temps, un ransomware à chiffrement chiffrera des centaines de vos fichiers en seulement quelques secondes. Et le temps que vous lanciez l’utilitaire antivirus, il peut être déjà trop tard.

C’est la même chose pour les Chevaux de Troie qui volent données personnelles et mots de passe. Le scanner antivirus détectera probablement le malware, mais vos mots de passe seront déjà en vente sur un forum underground.

Et qu’en est-il de VirusTotal et des sites similaires ? Bien sûr qu’ils peuvent être utiles. Mais les logiciels malveillants ne sont pas toujours créés sous forme de fichiers. Ils peuvent exister uniquement comme un morceau de code dans la RAM, les secteurs de boot ou le firmware UEFI. Et si vous n’avez pas de fichier, qu’allez-vous charger sur VirusTotal ?