Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Fausses idées et antivirus

Антивирусная неправда

D'autres publications de cette rubrique (16)
  • Ajouter aux favoris
    Ajouter aux favoris

Les scanners mutli-moteurs sont-ils d’un autre temps ?

Lu par: 297 Commentaires: 16 Cote de popularité: 13

mercredi 14 octobre 2020

Il vous est sûrement arrivé de visiter des sites web qui vous ont conseillé de désactiver le composant SpIDer Gate ou le Contrôle parental de Dr.Web Security Space afin de pouvoir consulter les pages bloquées par l’antivirus.

Lorsqu’un utilisateur hésite sur la justesse d’analyse de Dr.Web, certains sites recommandent de vérifier si l’alerte n’est pas un faux positif. Pour cela, il est conseillé aux utilisateurs de faire vérifier le fichier (ou le lien) par un scanner multi-moteurs (comme VirusTotal), avant de le télécharger. Mais ces conseils omettent de prendre en compte la complexité de ce que sont devenus les antivirus.

Que sont les scanners multi-moteurs ? Ce sont des sites web où les utilisateurs peuvent charger des fichiers afin qu’ils soient scannés, analysés, par plusieurs moteurs antivirus. VirusTotal est probablement le plus célèbre d’entre eux, mais il en existe d’autres. Pour faire analyser le fichier, les utilisateurs peuvent choisir de charger la somme de contrôle du fichier plutôt que l’ensemble des données. Dans ce cas, le site peut donner un diagnostic uniquement si un fichier avec la même somme de contrôle a été analysé antérieurement.

Les sites multi-moteurs légitimes partagent les données sur les nouveaux fichiers malveillants avec les développeurs d’antivirus, alors que les entreprises peu recommandables offrant les mêmes services ne le font bien évidemment pas.

Comment fonctionnent les scanners multi-moteurs ? Les fichiers chargés sont remis aux scanners antivirus qui les examinent et rendent un diagnostic. Cependant, ils ne vérifient les fichiers qu’à l’aune de leurs entrées dans leurs bases de données de malwares, sans vraiment les lancer. Résultat, si un antivirus ne possède pas la signature du malware en question dans sa base de données de virus et si ses algorithmes heuritiques ne détectent rien, même un ransomware à chiffrement ordinaire sera considéré comme inoffensif. Soit dit en passant, Dr.Web a pu identifier et bloquer WannaCry grâce à ses méthodes heurisitiques, qui sont développées et perfectionnées – sans plaisanterie - depuis 1994.

Un rapport de scanner multi-moteurs montre seulement si l’antivirus « connaît » le fichier. Pas plus. Aucun scanner mutli-moteur ne peut garantir qu’un fichier est sain.

Mais présentons nos arguments dans l’ordre.

  1. Les créateurs de virus utilisent, eux aussi, des scanners mulit-moteurs, avant de lancer un échantillon de virus “into the wild”. Ils vérifient leur malware sur tous les antivirus connus. Grâce à cela, ils s’assurent qu’aucun antivirus ne détectera le parasite avec 100% de certitude, au moins pour un moment.
  2. Et cela inclut également le scan basé sur les signatures. Mais honnêtement, qui s’attend aujourd’hui à ce que les bases de virus fournissent une sécurité antivirus robuste ? Qu’une autre épidémie de type WannaCry arrive et le temps que les analystes ajoutent la signature à la base de données peut être suffisant pour mettre le monde entier au bord du chaos. Les antivirus ont depuis longtemps ajouté aux bases virales des technologies qui leur permettent de détecter les comportements malveillants.—après qu’un fichier ait été lancé. Cela inclut les fonctionnalités de protection préventive.
  3. Packers exécutables. Un fichier peut être compressé avec un packer que le scanner antivirus ne prend pas en charge. Dans ce cas, l’antivirus ne sera pas en mesure d’en extraire le contenu et de le comparer avec sa base de signatures. Comment cela sape-t-il la sécurité antivirus sur les ordinateurs ? Si un fichier malveillant a été compressé plusieurs fois ou si le conteneur utilise un format de compression que de nombreux antivirus ne prennent pas encore en charge, le malware sera assuré de contourner la vérifiaction mutli-moteurs sans être détecté par au moins certains des antivirus. Soit dit de nouveau en passant, Dr.Web intègre des technologies qui peuvent extraire des objets malveillants compressés par des formats de compression qu’il ne connaît pas.
  4. Confidentialité. Imaginons que vous venez juste de recevoir un e-mail bizarre, a priori de votre patron, mais que quelque chose ne semble pas correct. Vous souhaitez le vérifier et chargez le message sur un site de scanner multi-moteurs. Il se peut que le fichier soit en effet sain, mais le problème est que vous l’avez transféré sur un serveur. Si aucun antivirus ne trouve qu’un fichier est malveillant, le scanner mutli-moteurs va envoyer le fichier à des laboratoires antivirus pour un examen plus profond – ce qui est la bonne chose à faire. Mais souhaitez-vous réellement que votre document confidentiel soit partagé entre plusieurs entreprises antivirus dans le monde entier et puisse être potentiellement utilisé pour nuire à votre employeur ?

Et voici une anectode pour conclure. Il y a plusieurs années de cela, un développeur antivirus renommé a cherché à prouver que d’autres éditeurs moins connus avaient volé ses signatures de malwares. Pour cela, un fichier calculator Windows a été compressé plusieurs fois, classé comme malveillant dans les bases de données de l’antivirus, et chargé sur VirusTotal. Quelques minutes plus tard, un certain nombre d’autres antivirus ont commencé à considérer le fichier Microsoft comme un malware.

Cette histoire n’a pas pour objectif de dénigrer les scanners mutli-moteurs mais plutôt de démontrer qu’on ne peut pas s’y fier complètement. Aujourd’hui, les scanners font partie du passé. A notre époque, ils ne suffisent pas à garder les ordinateurs en sécurité – contrairement aux technologies de sécurité compexes de Dr.Web.

#Dr.Web #anti-virus_scan #signs_of_infection #technologies

Le projet Lumières sur la sécurité recommande

Si votre antivirus vous empêche de télécharger ou de lancer un fichier, l’idée est de ne même pas essayer.

S’il vous conseille de ne pas visiter un site, prenez en compte l’alerte. L’antivirus fait cela pour une raison.

Il essaie de vous garder en sécurité !

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs