vendredi, novembre 15, 2024

Comment fonctionne le logiciel antivirus

Wright Studio/Shutterstock.com

Les programmes antivirus sont des logiciels puissants qui sont essentiels sur les ordinateurs Windows. Si vous vous êtes déjà demandé comment les programmes antivirus détectent les virus, ce qu’ils font sur votre ordinateur et si vous devez effectuer vous-même des analyses régulières du système, lisez la suite.

Un programme antivirus est un élément essentiel d’une stratégie de sécurité multicouche – même si vous êtes un utilisateur d’ordinateur intelligent, le flux constant de vulnérabilités pour les navigateurs, les extensions et le système d’exploitation Windows lui-même rend la protection antivirus importante.

EN RELATION: Quel est le meilleur antivirus pour Windows 10 ? (Windows Defender est-il suffisant ?)

Analyse à l’accès

Le logiciel antivirus s’exécute en arrière-plan sur votre ordinateur et vérifie chaque fichier que vous ouvrez. Ceci est généralement connu sous le nom d’analyse à l’accès, d’analyse en arrière-plan, d’analyse résidente, de protection en temps réel ou autre, selon votre programme antivirus.

Lorsque vous double-cliquez sur un fichier EXE, il peut sembler que le programme se lance immédiatement, mais ce n’est pas le cas. Votre logiciel antivirus vérifie d’abord le programme, en le comparant aux virus, vers et autres types de logiciels malveillants connus. Votre logiciel antivirus effectue également une vérification « heuristique », en vérifiant les programmes pour les types de mauvais comportement qui peuvent indiquer un nouveau virus inconnu.

Les programmes antivirus analysent également d’autres types de fichiers pouvant contenir des virus. Par exemple, un fichier d’archive .zip peut contenir des virus compressés ou un document Word peut contenir une macro malveillante. Les fichiers sont analysés chaque fois qu’ils sont utilisés — par exemple, si vous téléchargez un fichier EXE, il sera analysé immédiatement, avant même que vous ne l’ouvriez.

Il est possible d’utiliser un antivirus sans analyse à l’accès, mais ce n’est généralement pas une bonne idée – les virus qui exploitent les failles de sécurité dans les programmes ne seraient pas détectés par l’analyseur. Une fois qu’un virus a infecté votre système, il est beaucoup plus difficile à supprimer. (Il est également difficile d’être sûr que le logiciel malveillant a jamais été complètement supprimé.)

Microsoft Defender est à jour et exécute une protection en temps réel.

Analyses complètes du système

En raison de l’analyse à l’accès, il n’est généralement pas nécessaire d’exécuter des analyses complètes du système. Si vous téléchargez un virus sur votre ordinateur, votre programme antivirus s’en apercevra immédiatement. Vous n’avez pas besoin de lancer manuellement une analyse au préalable.

Cependant, les analyses complètes du système peuvent être utiles pour certaines choses. Une analyse complète du système est utile lorsque vous venez d’installer un programme antivirus – elle garantit qu’aucun virus ne sommeille sur votre ordinateur. La plupart des programmes antivirus configurent des analyses complètes du système programmées, souvent une fois par semaine. Cela garantit que les derniers fichiers de définition de virus sont utilisés pour analyser votre système à la recherche de virus dormants.

Ces analyses complètes du disque peuvent également être utiles lors de la réparation d’un ordinateur. Si vous souhaitez réparer un ordinateur déjà infecté, il est utile d’insérer son disque dur dans un autre ordinateur et d’effectuer une analyse antivirus complète du système (si vous ne faites pas une réinstallation complète de Windows). Cependant, vous n’avez généralement pas besoin d’effectuer vous-même des analyses complètes du système lorsqu’un programme antivirus vous protège déjà – il analyse toujours en arrière-plan et effectue ses propres analyses régulières du système complet.

Une analyse complète du système s'exécutant sur Microsoft Defender.

Définitions de virus

Votre logiciel antivirus s’appuie sur les définitions de virus pour détecter les logiciels malveillants. C’est pourquoi il télécharge automatiquement de nouveaux fichiers de définition mis à jour — une fois par jour ou même plus souvent. Les fichiers de définition contiennent des signatures pour les virus et autres logiciels malveillants rencontrés dans la nature. Lorsqu’un programme antivirus analyse un fichier et remarque que le fichier correspond à un logiciel malveillant connu, le programme antivirus arrête l’exécution du fichier et le place en « quarantaine ». Selon les paramètres de votre programme antivirus, celui-ci peut supprimer automatiquement le fichier ou vous pouvez autoriser l’exécution du fichier malgré tout, si vous êtes certain qu’il s’agit d’un faux positif.

Les sociétés d’antivirus doivent continuellement se tenir au courant des derniers logiciels malveillants, en publiant des mises à jour de définition qui garantissent que le logiciel malveillant est intercepté par leurs programmes. Les laboratoires antivirus utilisent une variété d’outils pour désassembler les virus, les exécuter dans des bacs à sable et publier des mises à jour opportunes qui garantissent que les utilisateurs sont protégés contre le nouveau logiciel malveillant.

Microsoft Defender est à jour.

Heuristique

Les programmes antivirus utilisent également l’heuristique et l’apprentissage automatique. Les modèles d’apprentissage automatique sont créés en analysant des centaines ou des milliers de logiciels malveillants pour trouver des attributs ou des comportements communs. La combinaison permet à un programme antivirus d’identifier les types de logiciels malveillants nouveaux ou modifiés, même sans fichiers de définition de virus. Par exemple, si un programme antivirus remarque qu’un programme en cours d’exécution sur votre système essaie d’ouvrir chaque fichier EXE sur votre système, l’infectant en y écrivant une copie du programme d’origine, le programme antivirus peut détecter ce programme comme un nouveau, type de virus inconnu.

Aucun programme antivirus n’est parfait. Les heuristiques trop agressives – ou les modèles d’apprentissage automatique mal formés – peuvent accidentellement marquer des logiciels parfaitement sûrs comme des logiciels malveillants.

EN RELATION: Le problème avec l’IA : les machines apprennent des choses, mais ne peuvent pas les comprendre

Faux positifs

En raison de la grande quantité de logiciels disponibles, il est possible que les programmes antivirus disent parfois qu’un fichier est un virus alors qu’il s’agit en fait d’un fichier totalement sûr. C’est ce qu’on appelle un « faux positif ». Parfois, les sociétés antivirus commettent même des erreurs telles que l’identification de fichiers système Windows, de programmes tiers populaires ou de leurs propres fichiers de programme antivirus en tant que virus. Ces faux positifs peuvent endommager les systèmes des utilisateurs. De telles erreurs font généralement la une des journaux, comme lorsque Microsoft Security Essentials a identifié Google Chrome comme un virus, AVG a endommagé les versions 64 bits de Windows 7 ou Sophos s’est identifié comme un malware.

Les heuristiques peuvent également augmenter le taux de faux positifs. Un antivirus peut remarquer qu’un programme se comporte de la même manière qu’un programme malveillant et l’identifier à tort comme un virus.

Malgré cela, les faux positifs sont assez rares en utilisation normale. Si votre antivirus indique qu’un fichier est malveillant, vous devriez généralement le croire. Si vous n’êtes pas sûr qu’un fichier soit réellement un virus, vous pouvez essayer de le télécharger sur VirusTotal (qui appartient maintenant à Google). VirusTotal analyse le fichier avec une variété de produits antivirus différents et vous indique ce que chacun en dit.

Taux de détection

Différents programmes antivirus ont des taux de détection différents, et les définitions de virus et les heuristiques contribuent aux écarts. Certaines sociétés antivirus peuvent avoir des heuristiques plus efficaces et publier plus de définitions de virus que leurs concurrents, ce qui se traduit par un taux de détection plus élevé.

Certaines organisations effectuent des tests réguliers des programmes antivirus les uns par rapport aux autres, en comparant leurs taux de détection dans le monde réel. AV-Comparitives publie régulièrement des études qui comparent l’état actuel des taux de détection antivirus. Les taux de détection ont tendance à fluctuer au fil du temps – il n’y a pas de meilleur produit qui soit constamment au top. Si vous cherchez vraiment à voir à quel point un programme antivirus est efficace et quels sont les meilleurs, les études de taux de détection sont l’endroit où chercher.

Résultats de juillet à octobre 2021.
Résultats globaux de juillet à octobre 2021

Tester un programme antivirus

Si jamais vous souhaitez tester si un programme antivirus fonctionne correctement, vous pouvez utiliser le fichier de test EICAR. Le fichier EICAR est un moyen standard de tester les programmes antivirus – il n’est pas vraiment dangereux, mais les programmes antivirus se comportent comme s’il était dangereux, l’identifiant comme un virus. Cela vous permet de tester les réponses du programme antivirus sans utiliser de virus actif.

Le fichier de test EICAR est détecté par Microsoft Defender.


Les programmes antivirus sont des logiciels compliqués, et des livres épais pourraient être écrits sur ce sujet – mais, espérons-le, cet article vous a familiarisé avec les bases.

Source-135

- Advertisement -

Latest