Les scanners mutli-moteurs sont-ils d’un autre temps ?
mercredi 14 octobre 2020
Il vous est sûrement arrivé de visiter des sites web qui vous ont conseillé de désactiver le composant SpIDer Gate ou le Contrôle parental de Dr.Web Security Space afin de pouvoir consulter les pages bloquées par l’antivirus.
Lorsqu’un utilisateur hésite sur la justesse d’analyse de Dr.Web, certains sites recommandent de vérifier si l’alerte n’est pas un faux positif. Pour cela, il est conseillé aux utilisateurs de faire vérifier le fichier (ou le lien) par un scanner multi-moteurs (comme VirusTotal), avant de le télécharger. Mais ces conseils omettent de prendre en compte la complexité de ce que sont devenus les antivirus.
Que sont les scanners multi-moteurs ? Ce sont des sites web où les utilisateurs peuvent charger des fichiers afin qu’ils soient scannés, analysés, par plusieurs moteurs antivirus. VirusTotal est probablement le plus célèbre d’entre eux, mais il en existe d’autres. Pour faire analyser le fichier, les utilisateurs peuvent choisir de charger la somme de contrôle du fichier plutôt que l’ensemble des données. Dans ce cas, le site peut donner un diagnostic uniquement si un fichier avec la même somme de contrôle a été analysé antérieurement.
Les sites multi-moteurs légitimes partagent les données sur les nouveaux fichiers malveillants avec les développeurs d’antivirus, alors que les entreprises peu recommandables offrant les mêmes services ne le font bien évidemment pas.
Comment fonctionnent les scanners multi-moteurs ? Les fichiers chargés sont remis aux scanners antivirus qui les examinent et rendent un diagnostic. Cependant, ils ne vérifient les fichiers qu’à l’aune de leurs entrées dans leurs bases de données de malwares, sans vraiment les lancer. Résultat, si un antivirus ne possède pas la signature du malware en question dans sa base de données de virus et si ses algorithmes heuritiques ne détectent rien, même un ransomware à chiffrement ordinaire sera considéré comme inoffensif. Soit dit en passant, Dr.Web a pu identifier et bloquer WannaCry grâce à ses méthodes heurisitiques, qui sont développées et perfectionnées – sans plaisanterie - depuis 1994.
Un rapport de scanner multi-moteurs montre seulement si l’antivirus « connaît » le fichier. Pas plus. Aucun scanner mutli-moteur ne peut garantir qu’un fichier est sain.
Mais présentons nos arguments dans l’ordre.
- Les créateurs de virus utilisent, eux aussi, des scanners mulit-moteurs, avant de lancer un échantillon de virus “into the wild”. Ils vérifient leur malware sur tous les antivirus connus. Grâce à cela, ils s’assurent qu’aucun antivirus ne détectera le parasite avec 100% de certitude, au moins pour un moment.
- Et cela inclut également le scan basé sur les signatures. Mais honnêtement, qui s’attend aujourd’hui à ce que les bases de virus fournissent une sécurité antivirus robuste ? Qu’une autre épidémie de type WannaCry arrive et le temps que les analystes ajoutent la signature à la base de données peut être suffisant pour mettre le monde entier au bord du chaos. Les antivirus ont depuis longtemps ajouté aux bases virales des technologies qui leur permettent de détecter les comportements malveillants.—après qu’un fichier ait été lancé. Cela inclut les fonctionnalités de protection préventive.
- Packers exécutables. Un fichier peut être compressé avec un packer que le scanner antivirus ne prend pas en charge. Dans ce cas, l’antivirus ne sera pas en mesure d’en extraire le contenu et de le comparer avec sa base de signatures. Comment cela sape-t-il la sécurité antivirus sur les ordinateurs ? Si un fichier malveillant a été compressé plusieurs fois ou si le conteneur utilise un format de compression que de nombreux antivirus ne prennent pas encore en charge, le malware sera assuré de contourner la vérifiaction mutli-moteurs sans être détecté par au moins certains des antivirus. Soit dit de nouveau en passant, Dr.Web intègre des technologies qui peuvent extraire des objets malveillants compressés par des formats de compression qu’il ne connaît pas.
- Confidentialité. Imaginons que vous venez juste de recevoir un e-mail bizarre, a priori de votre patron, mais que quelque chose ne semble pas correct. Vous souhaitez le vérifier et chargez le message sur un site de scanner multi-moteurs. Il se peut que le fichier soit en effet sain, mais le problème est que vous l’avez transféré sur un serveur. Si aucun antivirus ne trouve qu’un fichier est malveillant, le scanner mutli-moteurs va envoyer le fichier à des laboratoires antivirus pour un examen plus profond – ce qui est la bonne chose à faire. Mais souhaitez-vous réellement que votre document confidentiel soit partagé entre plusieurs entreprises antivirus dans le monde entier et puisse être potentiellement utilisé pour nuire à votre employeur ?
Et voici une anectode pour conclure. Il y a plusieurs années de cela, un développeur antivirus renommé a cherché à prouver que d’autres éditeurs moins connus avaient volé ses signatures de malwares. Pour cela, un fichier calculator Windows a été compressé plusieurs fois, classé comme malveillant dans les bases de données de l’antivirus, et chargé sur VirusTotal. Quelques minutes plus tard, un certain nombre d’autres antivirus ont commencé à considérer le fichier Microsoft comme un malware.
Cette histoire n’a pas pour objectif de dénigrer les scanners mutli-moteurs mais plutôt de démontrer qu’on ne peut pas s’y fier complètement. Aujourd’hui, les scanners font partie du passé. A notre époque, ils ne suffisent pas à garder les ordinateurs en sécurité – contrairement aux technologies de sécurité compexes de Dr.Web.
Le projet Lumières sur la sécurité recommande
Si votre antivirus vous empêche de télécharger ou de lancer un fichier, l’idée est de ne même pas essayer.
S’il vous conseille de ne pas visiter un site, prenez en compte l’alerte. L’antivirus fait cela pour une raison.
Il essaie de vous garder en sécurité !
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Rosettearoulettes
23:04:57 2020-10-24
GREEN
14:01:42 2020-10-15
S'il vous avertit que vous n'avez pas besoin de visiter le site, écoutez. Il a une raison de sonner l'alarme. Nous essayons pour vous! "
C'est ainsi que nous croyons et écoutons.
"Il y a beaucoup de tromperies sur terre et divers reptiles, cela donne de l'espoir à l'aube de Dr.Web aux gens
Soit ils ont besoin du fichier, le site est faux, il y a beaucoup d'antivirus, il est le seul sur nos gardes »
Vigen
11:06:24 2020-10-15
D'ailleurs les petits exercices mis à disposition par DrWeb sont utiles dans ce contexte....
Bernard
11:01:22 2020-10-15
Au quotidien de nombreux exemples le prouvent.
La recommandation de DR Web le confirme une nouvelle fois pour cette publication comme il est précisé :
"Si votre antivirus vous empêche de télécharger ou de lancer un fichier, l’idée est de ne même pas essayer.
S’il vous conseille de ne pas visiter un site, prenez en compte l’alerte. L’antivirus fait cela pour une raison."
Bonne journée. Au plaisir
Vigen
10:15:54 2020-10-15
Si celui-ci est faillible, point de salut !! :)
Toma
22:13:42 2020-10-14
Dmur
21:21:48 2020-10-14
Татьяна
21:16:12 2020-10-14
Bernard
19:34:27 2020-10-14
Bernard
19:33:13 2020-10-14
Peu de temps se passe entre la découverte d'un objet malveillant par un antivirus et l'enrichissement des bases des autres antivirus qui pour certains d'entre eux s'alimentent directement d'ailleurs sur les bases de certains multiscanners.
Les antivirus "à la pointe" possèdent des modules de comportement, Hips, des bacs à sable ou des roll-Back intégrés qui identifient en amont les objets malveillants en les mettant en quarantaine, en isolant tout fichier nouveau pour en suivre le fonctionnement et en réparant les éventuels dégâts par Roll Back.
Ces différents modules soient seuls soient multiples permettent une bien meilleure sécurité que les bases des multiscanners.
Dr Web est un excellent antimalware mais qui ne peut pas protéger vraiment si l'utilisateur ne respecte pas les directives de Dr Web lors de la détection d'objet malveillant
Masha
16:14:54 2020-10-14
Lia00
15:23:09 2020-10-14
EvgenyZ
10:18:35 2020-10-14
Неуёмный Обыватель
08:38:02 2020-10-14
Пaвeл
07:16:05 2020-10-14
Пaвeл
07:14:34 2020-10-14