Antivirus / Antispyware

De Korben Wiki
Aller à : navigation, rechercher

Introduction

Expliquer la différence entre un antivirus, antispyware et nettoyeur de cookies and co. Expliquer que ce n'est pas fiable (failles dans le logiciel, problème des mises à jour toujours en retard par rapport aux virus, faux-positifs et faux-négatifs). Essayer de trouver qui sont les plus sérieux.

Qu’est ce qu’un virus ?

Au sens strict, un virus informatique est un programme s’insérant dans votre ordinateur pour le contaminer et ensuite se propager. Le nom virus vient de l’analogie avec les virus biologiques. Au sens large, le mot virus est trop souvent mal employé pour designer toute forme de programme malveillant.

Qu’est ce qu’un spyware ?

Vous avez entendu parler de la HADOPI ? Et bien un spyware c’est le truc qu’ils veulent nous faire installer sur nos ordinateurs pour nous espionner. C’est un petit programme qui peut espionner toutes nos activités, e-mails, contacts, et éventuellement nos téléchargements. Enfin ce petit programme envoie toutes les informations à son « propriétaire ».

Qu'est ce qu'un cheval de Troie?

Vous connaissez l'histoire? et bien c'est le même principe c'est un petit programme qui va s'installer en cachette (généralement dissimulé dans un autre soft tout a fait banal mais il en existe des plus ou moins sophistiqués) pour ouvrir "la porte de derrière" En fait un point d'entrée vers votre PC ou votre réseau local.

Quid de GNU/Linux ?

Pas (encore) besoin d'antivirus ! Et le fait que GNU/Linux soit moins utilisé y est pour peu de choses. Rappelons qu'une grande partie des serveurs web tournent sous Linux, et qu'ils sont beaucoup plus soumis aux attaques intéressées. C'est un des grands avantages d'avoir un code source ouvert: il y a plus d'experts qui regardent et analysent le code critique, donc moins de failles utilisables.

Vous pouvez tout de même si vous le désirez installer Avast! qui existe à la fois pour GNU/Linux et Windows, ou ClamAV.

Précision concernant ClamAV: sous GNU/Linux, ce programme a pour but principal de vérifier les courriels entrants ou sortants. Il ne passe pas en revue tous les fichiers présents sur les périphériques (scan) comme le fait habituellement un antivirus sous Windows.

Les rootkits

Il n'y a pas de véritable antivirus qui détecte les fichiers dangereux pour un système Unix ou GNU/Linux. Le risque principal d'infection reste l'inattention de l'utilisateur. Les "rootkits" sont un peu comme des "backdoors": ce sont des logiciels qui, une fois exécutés, se cachent en mémoire pour fournir à l'attaquant un contrôle de la machine. Le plus complexe est de les repérer, car ils utilisent souvent des failles et des routines très complexes pour ne pas être visibles dans la liste des tâches. Il est donc possible que votre machine soit infectée sans même que vous ne le sachiez et que votre antivirus n'y voie que du feu.

Pour les contrer, il existe des programmes de détection. Les plus célèbres sont :

Les fichiers modifiés

Sous GNU/Linux comme sous Windows, les exécutables sont recherchés grâce à la variable d'environement "PATH". Cette variable contient la liste des dossiers dans lesquels rechercher les programmes.

Par exemple, lorsque vous tapez "cp fichier_source.txt /home/user/dossier", Linux va chercher dans l'ordre des dossiers de PATH un programme qui s'appelle "cp". Si votre variable PATH contient un autre dossier rajouté au début de la liste par un script malveillant, c'est son programme qui sera exécuté à la place de l'original. Il devient ainsi possible de récupérer les mots de passe des utilisateurs lorsqu'ils veulent le changer avec la commande "passwd". Ou encore de modifier complètement le traitement de scripts ou de différents programmes.

Une bonne pratique consiste à copier votre dossier /bin dans un dossier de sauvegarde. Ainsi, si votre GNU/Linux est corrompu, vous aurez toujours la possibilité de remplacer les versions malveillantes par les originales. Imaginons que vous ayez sauvegardé votre dossier /bin dans un dossier plus exotique comme /usr/lib/oldbin/. Pour remettre les originaux, il suffira de taper la commande:

/usr/lib/oldbin/cp -r /usr/lib/oldbin/* /bin

Cette commande utilise le 'cp' de la sauvegarde (/usr/lib/oldbin/cp) pour remplacer (-r) l'ensemble du contenu de /bin par la sauvegarde elle-même (/usr/lib/oldbin/*)

Antivirus

Un Antivirus, comment ça marche ? En banalisant un peu, on pourrait dire qu'il s'agit d'une base de données rassemblant toutes les empreintes digitales des criminels connus, ou encore mieux, comme des fragments d'ADN de tous les virus et bactéries connues. Plus techniquement parlant, il faut savoir que tout programme est une suite de 0 et de 1 appelé langage ou code binaire, c'est le seul langage que comprend un ordinateur. Or la façon dont s'enchainent ces 0 et ces 1 dans un programme est relativement unique : ainsi lorsqu'un virus ou autre malware est repéré, une petite partie de son code binaire, appelée signature, est ajoutée à une base antivirale qui en contient un grand nombre, grâce aux fréquentes mises à jour effectuées par les antivirus. Lorsque un fichier est enregistré ou ouvert sur le disque, votre antivirus va traquer toute correspondance entre les signatures de sa base antivirale et le code binaire du fichier en question.

Pourquoi ce système n'est-il pas 100% fiable ? Car comme dans la vie réelle, les "mutations" des virus sont très faciles et fréquentes, et changer la signature d'un virus ou autres malware est à la portée de toute personne équipée d'un éditeur hexadécimal. Ainsi, il est tout à fait possible de se faire infecter par un virus connu ayant été modifié.

Ensuite, un virus peut être compressé (le rendant indétectable), puis décompressé dans la mémoire vive à l'ouverture, or une partie des antivirus ne protège pas la RAM.

De plus les antivirus se basent sur des listes de signatures qui ne peuvent contenir que celles des virus déjà connus. Il y a donc toujours un temps de latence entre la naissance d'un nouveau virus et l'intégration de sa signature à la liste. Ceci peut poser problème si l'antivirus n'est pas régulièrement mis à jour.

Il existe en outre deux phénomènes inhérents à la détection des virus:

  • les faux négatifs: un virus est présent mais n'est pas détecté et/ou reconnu par l'antivirus pour diverses raisons (mise à jour trop ancienne, virus nouveau ou muté, problème de configuration).
  • les faux positifs (ou fausse alerte): un fichier inoffensif est identifié comme virus car une partie de sa séquence de 0 et de 1 est , par hasard, identique à celle d'un virus connu.

Pourquoi ne faut-il pas pour autant devenir paranoïaque ? Car les cas de modification de signature ou de compression se font généralement lorsque vous êtes la cible d'un "pirate" ou d'un "ScriptKider", et à moins d'avoir beaucoup d'ennemis sur le net ayant des connaissances en informatique, il y a peu de chance que cela vous arrive. C'est pourquoi, bien que parfois peu fiables, les antivirus restent des protections utiles.

Notez que les antivirus commerciaux ne sont pas forcément les plus efficaces. Pour preuve, des laboratoires indépendants réalisent régulièrement des tests :

Gratuits (ordre alphabétique)

  • Antivir
  • Avast
  • AVG
  • Microsoft Security Essentials
  • Clamav
  • Clamwin

Payants (ordre alphabétique)

  • Avira premium
  • BitDefender antivirus
  • Eset Nod32 antivirus
  • G-Data antivirus
  • Kaspersky antivirus
  • McAfee antivirus
  • Panda Security
  • Symantec Norton antivirus

Scan en ligne

Aucun antivirus n'est infaillible. Il est recommandé de réaliser, de temps en temps, un scan en ligne à l'aide d'un antivirus concurrent.

Antispyware

Nettoyage

Afin d'éliminer certaines causes pouvant entraîner un fonctionnement anormal du PC, il est recommandé de le nettoyer (fichiers temporaires, registre, ...). Pour cela, plusieurs utilitaires sont disponibles :

Sous Ubuntu, il est conseillé d'ouvrir de temps en temps un terminal et de taper les commandes suivantes :

  • sudo apt-get update pour vérifier l'existence de mises à jour, et s'assurer que le mécanisme de mise à jour fonctionne bien.
  • sudo apt-get autoclean pour supprimer les paquets qui ne peuvent plus être téléchargés et qui sont grandement inutiles.
  • sudo apt-get autoremove pour enlever les paquets qui ne sont plus utilisés.

(vous pourrez voir les mêmes commandes mais avec "aptitude" en lieu et place de "apt-get" [ les deux sont valables mais pas mélangeables ] : je m'explique soit on fait TOUT avec aptitude soit on fait TOUT avec apt-get (j'entends install et clean)).

Sous Ubuntu, vous pouvez utiliser un script permettant de réaliser les opérations décriptes ci-dessus mais aussi quelques autres complémentaires. lien de téléchargement : http://doc.ubuntu-fr.org/maintenir_systeme

Désinfection

Dans certains cas, les antivirus, gratuits ou payants, ne détectent pas les menaces ou, s'ils les détectent, ne parviennent pas à les éradiquer. Si bien qu'aucune alerte virale n'ait été trouvée mais que le comportement de votre PC est anormal, ou qu'une menace a été trouvée mais pas nettoyée, il faudra probablement vous faire aider pour désinfecter votre PC. Pour cela, de nombreux sites de bénévoles sont à votre disposition ; le plus connu/réputé étant celui de Malekal à l'adresse http://www.malekal.com

On vous proposera probablement, en plus des outils de nettoyage cités précédemment, d'utiliser des utilitaires de désinfection tels que :

Attention : il faudra être très prudent avec la plupart de ces outils, si vous n'y connaissez rien, n'hésitez pas à demander de l'aide