Lumières sur la sécurité

lundi 6 juin 2022

Depuis leur création, depuis plus de 30 ans, les antivirus utilisent deux approches fondamentalement différentes pour détecter les menaces : à l'aide des signatures et sans signatures.

La méthode par signature consiste à récolter des échantillons de virus, des parties de code, que l’antivirus pourra de nouveau reconnaître si il les « voit » dans un fichier. Ainsi, en analysant le système, il saura détecter un fichier infecté grâce à la « signature » du malware.

Les tout premiers antivirus détectaient les programmes malveillants par leurs signatures. C’était tout à fait justifié, car dans les années 80 et 90, il y avait relativement peu de virus et les systèmes d’exploitation utilisés étaient principalement à tâche unique - ils ne pouvaient effectuer qu’une seule tâche par unité de temps, ce qui rendait impossible l’existence des antivirus dans leur sens actuel. Pour analyser un ordinateur ou une disquette, il fallait exécuter une analyse des supports à chaque fois. Un représentant classique de l’antivirus utilisant les signatures de cette époque est le légendaire Aidstest créé par Dmitry Nikolaevitch Lozinsky.

Cependant, au début des années 90, des virus polymorphes sont apparus. Ces logiciels malveillants modifiaient leur code à chaque nouvelle infection ou exécution, ce qui rendait leur détection par des méthodes de signature inefficaces, voire impossibles. Dr.Web Antivirus a rapidement ajouté l’utilisation de méthodes sans signature pour détecter les logiciels malveillants grâce à l’utilisation de l’émulation de code et de l’analyse heuristique.

Au cours des trois décennies suivantes, les méthodes sans signature se sont activement développées, et Dr.Web a continué ses recherches pour la mise en œuvre de méthodes d’analyse comportementale des applications et de protection préventive de l’ordinateur contre les menaces inconnues.

À ce jour, la plupart des produits antivirus utilisent une combinaison de méthodes de signature et de non-signature pour la détection des logiciels malveillants. Cela permet d’atteindre un niveau de protection élevé, mais il est toujours nécessaire de comprendre qu’aucun antivirus, aussi bon soit-il, ne détectera absolument tous les programmes malveillants, en particulier lorsqu’il s’agit de menaces nouvelles et inconnues ou de situations où l’antivirus fonctionne dans des conditions non standard pour lui - par exemple, dans le cas où il ne peut pas recevoir régulièrement des mises à jour de base de données de signature en raison du manque d’accès à Internet.

La solution logique semble être de compléter l’antivirus... par un autre antivirus. Les solutions antivirus de différents éditeurs utilisent différentes méthodes de détection des logiciels malveillants et des bases de données de signatures, ce qui signifie que les chances de succès augmentent. Mais nos lecteurs savent probablement que l’utilisation de deux antivirus sur le même système n’est pas une bonne idée.

Tout d’abord, une telle approche provoquera inévitablement des conflits entre les deux programmes, chacun pouvant classer les actions de l’autre comme une activité malveillante.

Deuxièmement, deux antivirus par signature sur un même système surchargeront inévitablement la machine en raison de l’accès simultané aux fichiers analysés et donc d’une consommation importante de ressources.

Les développeurs de Doctor Web ont eu une idée : pourquoi ne pas faire un antivirus qui n’entrera pas en conflit avec les solutions des autres éditeurs, ne consommera pas beaucoup de ressources, mais en même temps sera en mesure d’améliorer considérablement la sécurité du système en utilisant les outils de non-signature les plus avancés qui ont déjà été testés dans Dr.Web Security Space ? C’est ainsi que naissait Dr.Web KATANA, un antivirus léger sans signature, conçu pour devenir un assistant indispensable de votre protecteur principal.

Les scénarios d’utilisation de Dr.Web KATANA diffèrent de ceux d’un antivirus traditionnel. Vous ne pouvez pas l'utiliser pour analyser une clé USB, et il ne fera pas attention à un fichier avec un cheval de Troie situé dans un dossier sur votre bureau. Mais il n’a pas besoin de cela : le but du « Katana » est d’identifier les menaces actives en analysant tous les processus en cours d’exécution dans le système et en détectant les anomalies. Tandis que l'analyse des fichiers est la préoccupation de votre outil de protection principal.

Tant qu'un fichier contenant un cheval de Troie se trouve dans un dossier, il ne représente qu’une menace potentielle. Mais si l’utilisateur utilise le fichier et exécute le Trojan, la menace entrera dans la catégorie des actifs. Dans ce cas, Dr.Web KATANA répondra immédiatement aux tentatives du programme d’implémenter un script malveillant et bloquera leur exécution. Une réponse aussi rapide suivra à la survenue d’autres types d’incidents - par exemple, l’intrusion d’un ver réseau, ou l’utilisation par des pirates de vulnérabilités encore inconnues du système d’exploitation ou des applications, ainsi que les tentatives de perturber le fonctionnement des processus légitimes ou de les modifier. De plus, Dr.Web KATANA vous protégera contre les modifications non autorisées des données, qu’il s’agisse d’une tentative de chiffrer vos fichiers ou de déformer une partie des informations dans le presse-papiers ou une fenêtre du navigateur.

Le fonctionnement de Dr.Web KATANA est entièrement automatisé et invisible autant que possible. Fondamentalement, tout ce qui est requis de l’utilisateur est simplement de l’installer. Pendant son fonctionnement, il bloquera lui-même toutes les menaces détectées et notifiera l’utilisateur. Il est possible également de le configurer en fonction de vos besoins.

Rien ne vous empêche d’installer Dr.Web KATANA comme seul antivirus, mais dans la plupart des cas, ce type d'utilisation est injustifié. Une protection efficace du système nécessite l’utilisation d’un ensemble de solutions, dont l’une peut être Dr.Web KATANA. Autrement dit, en plus du sabre, les samouraïs ont également besoin d’une armure.

C’est pourquoi il est incorrect de comparer Dr.Web KATANA à d’autres produits antivirus. Envisageons un exemple avec un cheval de Troie sur votre disque. Disons qu'un fichier que vous avez lancé s'est avéré être un Trojan Downloader. C’est l’un des types de chevaux de Troie les plus courants. Ayant une petite taille, il est conçu pour télécharger, décompresser et activer des modules malveillants sur l’ordinateur. Si sa signature est connue, un antivirus traditionnel peut le détecter, tandis que « Katana » s’attendra à d’autres actions de sa part.

Imaginons que ce Trojan téléchargeur ne puisse pas contacter son serveur de contrôle et télécharger des packages malveillants. De telles actions constitueraient-elles une menace ? Potentiellement, oui, en pratique, non. Une autre chose est que si ce Trojan a téléchargé avec succès un module dont il a besoin et essaie de l’intégrer dans le système, de le décompresser dans le dossier système, de l’enregistrer dans le dossier d'auto-démarrage, de l’exécuter ou de l’intégrer dans le processus système, Dr.Web KATANA détectera et supprimera facilement une telle activité, neutralisant à la fois les modules malveillants et le téléchargeur.

En avril 2017, la société MRG Effitas a été chargée par un important éditeur de mener une étude sur l’efficacité des antivirus. Nous avons écrit à plusieurs reprises sur les raisons pour lesquelles nous ne souhaitons pas participer à de tels tests et n’en voyons pas les avantages, mais cette étude particulière mérite d’être vue plus en détail. Le fait est que dans l’analyse comparative des solutions antivirus d’entreprise pour la protection des postes de travail, ses organisateurs n'ont pas inclus Dr.Web Enterprise Security Suite, mais Dr.Web KATANA.

Les tests ont été effectués en plaçant séquentiellement un fichier malveillant sur une machine de test de différentes manières et en l’exécutant. Malgré le fait que l’antivirus léger Dr.Web KATANA ait dû rivaliser avec des antivirus multifonctionnels complexes qui incluent de nombreux outils différents et disposent de nouvelles bases de données de signatures de virus, il a réussi à identifier et à neutraliser plus de la moitié des échantillons malveillants. Nous osons supposer que le reste n’a pas été détecté uniquement en raison du manque d’activité des échantillons de test– l’étude manque de données sur la question de savoir si les échantillons étaient opérationnels au moment des tests.

Et si Dr.Web KATANA en est capable tout seul, dans des conditions de fonctionnement atypiques, imaginez ce qu’il ferait en tandem avec votre antivirus utilisant les signatures !

#antivirus #analyse_antivirus #logiciel_malveillant #protection_préventive #tests_des_antivirus #technologies_Dr.Web