À Propos
Contact
vu sur le blog du hacker france 2
leblogduhacker
Le Blog du HackerCe qui est sécurisé à 99% n'est pas sécurisé

Pourquoi les antivirus ne sont pas vos amis

  1. Accueil
  3. Sécurité Informatique
  5. Virus & Antivirus
  7. Pourquoi les antivirus ne sont pas vos amis

Le titre est un peu provocateur, mais il est pourtant vrai : l’antivirus peut avoir des côtés négatifs.

A quoi sert un antivirus ?

Commençons par les bienfaits qu’apportent les antivirus :

L’antivirus se lance dès lors que vous démarrez votre ordinateur, il se lance avant les autres programmes grâce à des « Filter Drivers » proposés par le système d’exploitation et permettant de choisir l’ordre de démarrage des programmes. Il permet par exemple de démarrer les processus du clavier et de la souris avant les autres. Il permet également de faire « passer toute ouverture de fichier » dans un « filtre » antivirus avant son lancement.

Il protège ainsi immédiatement votre PC et ce, jusqu’à ce que vous l’éteignez.

Comment un antivirus protège-t-il votre PC ?

Le scan d’abord : étape dite « scan time »

L’antivirus peut scanner les fichiers de votre ordinateur lorsqu’il sont crées, renommés, exécutés, téléchargés, mis en ligne, ou lorsque vous souhaitez lancer un scan global. Il crée et compare une signature unique à chaque fichier avec une base de données contenant les signatures des fichiers infectés. Vous l’avez compris, s’il constate qu’une signature est dans sa base de données, il lance l’alerte.

À partir de là, on sait que les fichiers n’échappent pas à l’antivirus et il ne reste plus qu’à espérer que ce dernier contienne un maximum de signatures dans sa base de données. C’est aussi ici que se trouve la première faiblesse d’un antivirus : un logiciel malveillant polymorphe (qui change son code, donc sa signature) peut passer facilement outre les filtres.

A l’époque l’outil Dsplit permet également de contourner très facilement n’importe quel antivirus en séparant un « virus » en parties de mêmes tailles, jusqu’à trouver celle qui, combinée aux précédentes, rend la signature de l’ensemble reconnaissable par l’antivirus. En changeant un octet de la dernière partie, la signature détectée disparaît, ainsi que toute détection de l’antivirus.

On peut également scanner un fichier directement et gratuitement avec plusieurs antivirus sur VirusTotal si besoin, et pour se faire une idée plus générale.

La détection comportementale ensuite : étape dite « run time »

Les antivirus emploient bien entendu d’autres méthodes comme les détections heuristiques (comportementale). Cela vise à déterminer un comportement suspect à défaut d’avoir une signature correspondante dans la base de données. Ainsi, si le programme cherche à supprimer des fichiers du système ou se réplique 100 fois, il est considéré comme suspect et l’antivirus lance l’alerte.

Cette détection heuristique est aujourd’hui très avancée, elle peut inclure de l’intelligence artificielle et de l’exécution contrôlée dans le cloud. Sous entendu que le « virus » potentiel est envoyé sur une machine virtuelle pour être analysé concrètement.

Des techniques bien connues des virus, comme Run PE (lancement de « virus » dans la mémoire, sans passer par le système de fichier et en contournant donc le scan) sont également détectées à ce niveau. Même chose avec des injections de DLL dans des programmes sains.

Les fonctionnalités tierces enfin

Aujourd’hui les antivirus proposent des VPNs intégrés, des gestionnaires de mots de passe également, ainsi que beaucoup de fonctionnalités dont on n’a parfois même pas besoin.

Je passe rapidement les autres avantages des antivirus comme les pare-feu intégrés, les scans web en temps réel, les environnement d’exécution sécurisés etc… En somme, vous êtes clairement protégés avec un antivirus et un pare-feu à jour.

Il faut donc absolument en installer un. 

À ce propos, je vous propose de lire l’article suivant : Quel est Vraiment LE MEILLEUR antivirus ?

Je vous donne également plus d’informations sur les problèmes des antivirus ici :

Pourquoi les antivirus ne nous protègent pas à 100% ?

On a expliqué brièvement qu’il est possible de rendre un programme indétectable alors qu’il était bien détecté auparavant.

À partir de ce moment, toute la partie sur les scans s’effondre. Il est en effet possible de modifier une partie du code source ou binaire d’un programme pour changer sa signature sans changer son comportement. Il existe même des programmes appelés des Crypters permettant d’effectuer cette modification de code automatiquement, afin de rendre le « virus » en question indétectable.

les anti-virus ne sont pas vos amis

Preuve des limites de la détection heuristique : Avast bloque une page contenant une animation flash. Rien de malveillant, Avast l’avoue même en indiquant qu’il s’agit d’une « blague » (au moins, il l’indique, ici !) …

La partie détection heuristique a aussi des limites car on peut faire passer un programme malveillant pour un programme légitime en le renommant, en changeant l’icône (en copiant une icône d’un programme existant) etc… De plus le sens inverse peut se produire, il se peut qu’un programme légitime se fasse détecter comme suspect pour avoir réalisé telle ou telle action. Il en va donc de l’intérêt des éditeur d’antivirus de bien régler ce type de détection. Quoi qu’il en soit il est facile de faire passer un programme suspect pour un programme tout à fait légitime. La partie heuristique s’effondre donc également.

Les fameux programmes POTENTIELLEMENT indésirables

C’est un gros point que je souhaite à présent mentionner.

Bien trop de logiciels antivirus, antispyware et j’en passe ont décidé de détecter un maximum de « problèmes » quitte à en détecter PAR ERREUR et quitte à faire peur à l’internaute pour lui faire payer une version « premium » dont il n’a en fait pas besoin. Loin de moi l’idée d’accuser un éditeur en particulier ni d’affirmer qu’absolument tous les problèmes détectés sont faux, mais il y a quand même des limites…

Dire par exemple (cas réel) qu’un programme inconnu est un adware alors qu’il n’a pas la moindre publicité est grossier en plus d’être erroné…

Dire également (autre cas réel) qu’un programme est un cheval de Troie (poussant ainsi l’internaute à le supprimer) alors que le programme est sain et issu de Microsoft Visual Studio est encore plus grossier.

Enfin, dire qu’il y a 1254 « menaces » tandis que 1253 d’entre-elles sont des « configurations potentiellement indésirables », c’est un peu tromper l’utilisateur sur la réalité des faits… Même chose avec les « 4567 erreurs à réparer » qui sont en fait des clés orphelines tout à fait naturelles dans le registre.

C’est peut-être de cela que certain affirment que les antivirus créent eux-mêmes les virus… mais nous n’irons pas jusque là…

Difficile à croire ? cas spécifique ? eh bien amis programmeurs, il vous suffit de programmer un simple programme qui dit « Bonjour » et de le scanner ensuite sur Virustotal.

Le résultat est sans appel :

30/67… c’est à peu près UN antivirus sur DEUX (!) qui détectent le programme comme étant dangereux… alors qu’il affiche un message sans rien de plus.

 

Vous pouvez voir en passant que certains antivirus se passent le message car la détection a exactement le même nom. Le problème, c’est que croire aveuglément ce que dit le voisin peut nuire à sa propre réputation lorsque le message est faux.

J’en ai même fait une vidéo de démonstration :

les pires antivirusEn d’autres termes, l’antivirus (de façon générale) se trompe parfois (ou souvent ?) et il convient à chacun de bien étudier les résultats du scan.

Tandis que l’internaute « lambda » va plutôt faire confiance à son antivirus comme à son médecin, et cela cause de gros problème.

La raison de ces « surdétections » est assez logique : les internautes souhaitent naturellement se diriger vers l’antivirus qui « trouve le plus de virus » sans penser à la qualité et à la précision des résultats.

« Votre antivirus n'est pas votre médecin ! »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Les antivirus ne sont pas vos amis !

On a donc vu que l’antivirus est indispensable car il arrêtera les menaces classiques qui pèsent en permanence sur les internautes. Cela dit, il ne faut pas donner une confiance aveugle à votre antivirus car quelqu’un qui vous cible spécialement pour passer outre les mailles du filet de votre antivirus alors même que vous croyez naïvement être protégé. Il peut également trouver des problèmes qui n’en sont en fait pas…

Si maintenant vous êtes intéressé(e) par la méthode manuelle pour être certain d’être sur un pc sain, sans compter sur votre antivirus, je me permets de faire une pub pour mon cours vidéo dédié : https://cyberini.com/cours/nettoyage-pc-desinfection-securisation/

Nous utilisons par exemple des outils spécialisés et techniques de « hackers » pour :

  • Détecter les connexions réseau suspectes (anti trojan)
  • Détecter les processus suspects par analyse de leurs codes
  • Détecter les changements dans l’historique du système
  • Résoudre divers soucis et bugs
  • Et bien d’autres !

Articles similaires

Réseaux sociaux

29400
abonnés
Instagram
154000
abonnés
YouTube

Articles Populaires

 

cyberiniFORMEZ-VOUS, apprenez en ligne à VIE et faites carrière dans la cybersécurité.
Accéder à Cyberini
Menu