Pourquoi les antivirus ne sont pas vos amis
Le titre est un peu provocateur, mais il est pourtant vrai : l’antivirus peut avoir des côtés négatifs.
A quoi sert un antivirus ?
Commençons par les bienfaits qu’apportent les antivirus :
L’antivirus se lance dès lors que vous démarrez votre ordinateur, il se lance avant les autres programmes grâce à des « Filter Drivers » proposés par le système d’exploitation et permettant de choisir l’ordre de démarrage des programmes. Il permet par exemple de démarrer les processus du clavier et de la souris avant les autres. Il permet également de faire « passer toute ouverture de fichier » dans un « filtre » antivirus avant son lancement.
Il protège ainsi immédiatement votre PC et ce, jusqu’à ce que vous l’éteignez.
Comment un antivirus protège-t-il votre PC ?
Le scan d’abord : étape dite « scan time »
L’antivirus peut scanner les fichiers de votre ordinateur lorsqu’il sont crées, renommés, exécutés, téléchargés, mis en ligne, ou lorsque vous souhaitez lancer un scan global. Il crée et compare une signature unique à chaque fichier avec une base de données contenant les signatures des fichiers infectés. Vous l’avez compris, s’il constate qu’une signature est dans sa base de données, il lance l’alerte.
À partir de là, on sait que les fichiers n’échappent pas à l’antivirus et il ne reste plus qu’à espérer que ce dernier contienne un maximum de signatures dans sa base de données. C’est aussi ici que se trouve la première faiblesse d’un antivirus : un logiciel malveillant polymorphe (qui change son code, donc sa signature) peut passer facilement outre les filtres.
A l’époque l’outil Dsplit permet également de contourner très facilement n’importe quel antivirus en séparant un « virus » en parties de mêmes tailles, jusqu’à trouver celle qui, combinée aux précédentes, rend la signature de l’ensemble reconnaissable par l’antivirus. En changeant un octet de la dernière partie, la signature détectée disparaît, ainsi que toute détection de l’antivirus.
On peut également scanner un fichier directement et gratuitement avec plusieurs antivirus sur VirusTotal si besoin, et pour se faire une idée plus générale.
La détection comportementale ensuite : étape dite « run time »
Les antivirus emploient bien entendu d’autres méthodes comme les détections heuristiques (comportementale). Cela vise à déterminer un comportement suspect à défaut d’avoir une signature correspondante dans la base de données. Ainsi, si le programme cherche à supprimer des fichiers du système ou se réplique 100 fois, il est considéré comme suspect et l’antivirus lance l’alerte.
Cette détection heuristique est aujourd’hui très avancée, elle peut inclure de l’intelligence artificielle et de l’exécution contrôlée dans le cloud. Sous entendu que le « virus » potentiel est envoyé sur une machine virtuelle pour être analysé concrètement.
Des techniques bien connues des virus, comme Run PE (lancement de « virus » dans la mémoire, sans passer par le système de fichier et en contournant donc le scan) sont également détectées à ce niveau. Même chose avec des injections de DLL dans des programmes sains.
Les fonctionnalités tierces enfin
Aujourd’hui les antivirus proposent des VPNs intégrés, des gestionnaires de mots de passe également, ainsi que beaucoup de fonctionnalités dont on n’a parfois même pas besoin.
Je passe rapidement les autres avantages des antivirus comme les pare-feu intégrés, les scans web en temps réel, les environnement d’exécution sécurisés etc… En somme, vous êtes clairement protégés avec un antivirus et un pare-feu à jour.
Il faut donc absolument en installer un.
À ce propos, je vous propose de lire l’article suivant : Quel est Vraiment LE MEILLEUR antivirus ?
Je vous donne également plus d’informations sur les problèmes des antivirus ici :
Pourquoi les antivirus ne nous protègent pas à 100% ?
On a expliqué brièvement qu’il est possible de rendre un programme indétectable alors qu’il était bien détecté auparavant.
À partir de ce moment, toute la partie sur les scans s’effondre. Il est en effet possible de modifier une partie du code source ou binaire d’un programme pour changer sa signature sans changer son comportement. Il existe même des programmes appelés des Crypters permettant d’effectuer cette modification de code automatiquement, afin de rendre le « virus » en question indétectable.
La partie détection heuristique a aussi des limites car on peut faire passer un programme malveillant pour un programme légitime en le renommant, en changeant l’icône (en copiant une icône d’un programme existant) etc… De plus le sens inverse peut se produire, il se peut qu’un programme légitime se fasse détecter comme suspect pour avoir réalisé telle ou telle action. Il en va donc de l’intérêt des éditeur d’antivirus de bien régler ce type de détection. Quoi qu’il en soit il est facile de faire passer un programme suspect pour un programme tout à fait légitime. La partie heuristique s’effondre donc également.
Les fameux programmes POTENTIELLEMENT indésirables
C’est un gros point que je souhaite à présent mentionner.
Bien trop de logiciels antivirus, antispyware et j’en passe ont décidé de détecter un maximum de « problèmes » quitte à en détecter PAR ERREUR et quitte à faire peur à l’internaute pour lui faire payer une version « premium » dont il n’a en fait pas besoin. Loin de moi l’idée d’accuser un éditeur en particulier ni d’affirmer qu’absolument tous les problèmes détectés sont faux, mais il y a quand même des limites…
Dire par exemple (cas réel) qu’un programme inconnu est un adware alors qu’il n’a pas la moindre publicité est grossier en plus d’être erroné…
Dire également (autre cas réel) qu’un programme est un cheval de Troie (poussant ainsi l’internaute à le supprimer) alors que le programme est sain et issu de Microsoft Visual Studio est encore plus grossier.
Enfin, dire qu’il y a 1254 « menaces » tandis que 1253 d’entre-elles sont des « configurations potentiellement indésirables », c’est un peu tromper l’utilisateur sur la réalité des faits… Même chose avec les « 4567 erreurs à réparer » qui sont en fait des clés orphelines tout à fait naturelles dans le registre.
C’est peut-être de cela que certain affirment que les antivirus créent eux-mêmes les virus… mais nous n’irons pas jusque là…
Difficile à croire ? cas spécifique ? eh bien amis programmeurs, il vous suffit de programmer un simple programme qui dit « Bonjour » et de le scanner ensuite sur Virustotal.
Le résultat est sans appel :
Vous pouvez voir en passant que certains antivirus se passent le message car la détection a exactement le même nom. Le problème, c’est que croire aveuglément ce que dit le voisin peut nuire à sa propre réputation lorsque le message est faux.
J’en ai même fait une vidéo de démonstration :
En d’autres termes, l’antivirus (de façon générale) se trompe parfois (ou souvent ?) et il convient à chacun de bien étudier les résultats du scan.
Tandis que l’internaute « lambda » va plutôt faire confiance à son antivirus comme à son médecin, et cela cause de gros problème.
La raison de ces « surdétections » est assez logique : les internautes souhaitent naturellement se diriger vers l’antivirus qui « trouve le plus de virus » sans penser à la qualité et à la précision des résultats.
« Votre antivirus n'est pas votre médecin ! »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInLes antivirus ne sont pas vos amis !
On a donc vu que l’antivirus est indispensable car il arrêtera les menaces classiques qui pèsent en permanence sur les internautes. Cela dit, il ne faut pas donner une confiance aveugle à votre antivirus car quelqu’un qui vous cible spécialement pour passer outre les mailles du filet de votre antivirus alors même que vous croyez naïvement être protégé. Il peut également trouver des problèmes qui n’en sont en fait pas…
Si maintenant vous êtes intéressé(e) par la méthode manuelle pour être certain d’être sur un pc sain, sans compter sur votre antivirus, je me permets de faire une pub pour mon cours vidéo dédié : https://cyberini.com/cours/nettoyage-pc-desinfection-securisation/
Nous utilisons par exemple des outils spécialisés et techniques de « hackers » pour :
- Détecter les connexions réseau suspectes (anti trojan)
- Détecter les processus suspects par analyse de leurs codes
- Détecter les changements dans l’historique du système
- Résoudre divers soucis et bugs
- Et bien d’autres !
13 Commentaires
Cliquez ici pour ajouter un commentaire
[…] https://www.leblogduhacker.fr/pourquoi-les-antivirus-ne-sont-pas-vos-amis/ […]
[…] l’a vu dans les articles précédents (Pourquoi les antivirus ne sont pas vos amis et « Un antivirus, ça sert à rien »), les antivirus ne détectent pas […]
Le lien NoVirusThanks n’est plus à jour.
http://www.novirusthanks.org/
Merci 😉
[…] pas tous, et…ce qui est sécurisé à 99% n’est pas sécurisé. La preuve est ici, ou là. D’où la nécessité de suivre une méthode […]
[…] Les antivirus sont nos amis ? […]
[…] Pourquoi les antivirus ne sont pas vos amis […]
[…] Ils peuvent être joins dans des e-mails, téléchargés via des sites de partages, se faire passer pour des faux antivirus, se propager via des failles dans les navigateurs et bien d’autres. Il n’y a donc pas de façons très spécifiques de se faire infecter, la seule chose qui peut vous faire éviter le pire et de réfléchir avant d’effectuer un double clic sur un programme suspect. Les antivirus les détectent également, mais pas toujours. […]
bonjours michel voici les nouvelles techniques utiliser par les pirates . très fort de leurs part ?
innovations des pirates qui testent leurs attaques sur des grandes entreprises avant sans de s’en doute
de s’en prendre aux particuliers.
leurs ingéniosité forcerait presque l’admiration si elle n’avait pas de grave conséquences.
prise de contrôle d’un aquarium ? piratage d’un objet connecté ou transformation d’un ordinateur
en usine à bitcoins.
l’objet connecté transformé en zombie offensif .
de manière innocente une enceinte bluetooth premier prix ou jouet connecté se connecte au réseau wi-fi
de l’entreprise sans le consentement de la sécurité informatique et sans contrôle préalable.
la porte s’ouvre alors pour les pirates car l’appareil n’est pas sécurisé. le pirate se l’approprie et lui
fait envoyer de vastes volumes de données vers des sites officiels. donc les serveurs tombent sous
le poids des requêtes . c’est la très connue attaque de déni de service à la sauce objet connecté.
le piratage des coordonnées bancaires par cheval de troie
un employé s’aventure sur un site et clique sur une publicité alléchante.
le logiciel malveillant un cheval de troie s’implante alors dans l’ordinateur avant de contaminer le système.
et ses 200 appareils sauf que ce malware nouvelle génération a été conçu pour récupérer les identifiant
bancaires et transférer les fond volé de manière automatique comment. ?
le logiciel enregistre pendant des jours ou des semaines les touches pressées key log
lors d’une connexion à un site bancaire et absorbe les mots de passe.
les victimes ne découvrent les dégâts qu’après les virements le code informatique
du virus est lui mis à jour quotidiennement pour rester indétectable.
l’aquarium connecté
qui se mue en mouchard un casino américain pensait divertir sa clientèle. avec son basin à poissons
tout automatisé. son service de sécurité informatique avait même pris soin.
d’isoler avec un vpn sa propre connexion wi-fi pour les clients.
mais c’était sans compter sur un pirate finlandais qui avait trouvé une faille.et a volé 10 go de données
en communicant avec touts les autres appareils. de l’établissent c’est une manière intelligente
de soutirer des informations sensibles comme des paiements. cela prouve l’imagination
sans limite des pirates.
et si la puissance de calcul de votre ordinateur et des serveur servaient à produire de l’argent
virtuel à votre insu. ?
plusieurs connexions suspectes à des serveur russes émanaient d’une compagnie
d’assurance américaine. suivies par des centaines de téléchargements anormaux .
les pirates étaient simplement en train de transformer le réseau d’entreprise en mime
à bitcoins. cette monnaie virtuelle prisée des hackeurs.
bonjour michel très bon comme sujet bien expliquer intéressant comme toujours. je fait des recherche sur les antivirus
et leur limite donc je donne l’analyse dans un commentaire à venir sur ceux bonne journée michel
bonne soirée michel petit sujet sur les antivirus et leurs limite . il est important de comprendre que l’antivirus .
terme qui désigne aussi bien la passerelle antivirus que le logiciel antivirus à proprement parler n’analyse pas
les paquets à la volée. pris en dehors de leur contexte applicatif. la première conséquence est que l’analyse induit
inévitablement une latence dans le cheminent des flux plus ou moins importante suivant la taille et le nombre de fichiers.
contenus dans une session. dans la plupart des cas notamment dans celui des échanges de messages.
électroniques cette latence n’a qu’une faible importance compte tenu du caractère asynchrone . des échange entre utilisateurs.
mais dans d’autres cas notamment dans celui des flux http cette latence peut être pénalisante. et constituer un point faible
apparent aux yeux de l’utilisateur et donc une tentation pour ce dernier d’échapper à la passerelle.
la seconde conséquence est que l’antivirus doit savoir comment interpréter des flux réseau pour les remettre dans un
contexte applicatif.
deux cas de figure. l’antivirus utilise des fonctions de décodage embarquées dans son code.
l’avantage que présente cette option est de rendre l’antivirus autonome.
l’inconvénient est d’en alourdir le code et d’en multiplier les fonctions internes. et par voie de conséquence le nombre
potentiel de bogues.
la maintenance et la mise à jours du code devient également problématique puisqu’il doit prendre en compte les évolutions
de chaque protocole. supporté et la correction de chaque faiblesse pour chacun d’eux.
il fait appel à des programmes externes chargés de reconstruire le contexte applicatif. exemple le serveur mandataire
squid peut être utilisé pour traiter les flux http ou ftp. l’antivirus agit comme redirecteur . l’analyse est donc pilotée
par le serveur squid dont la configuration peut alors comporter des failles qui permettront à l’attaquant de contourner
l’antivirus. une fois reconstitué le contexte applicatif. l’antivirus doit identifier les fichiers contenus dans la session.
les extraire et les analyser un par un. cette seconde étape suit un processus classique qui n’est pas à proprement parler
spécifique au mode de fonctionnement de la passerelle. les étapes 1 et 2 peuvent être successives à savoir q’une
archive peut être compressée et sera donc décompressée avant d’en extraire les fichiers contenus ou optionnelles.
si le fichier n’est ni une archive ni compressé. dans certains cas la dernière étape peut être complétée par un nettoyage
du fichier quand le logiciel utilisé apporte cette fonctionnalité. pour la première étape là encore l’antivirus peut
s’appuyer sur des fonctionnalité. de décompression et de désarchivage internes ou bien sur les utilitaires.
du système sur lequel il est installé.
bonne soirée michel je sait pas si tu à vue les commentaire que j’ai fait sur les antivirus et leurs limite.
très intéressant pour pas mal de gens. je donne la suite ici . dans le cas d’une passerelle smtp; cela revient
à interrompre ou générer une exception dans le dialogue smtp. le client c’est à dire l’attaquant initialise une connexion
normale avec le serveur. l’adresse envoyée par l’attaquant lors de la commande mail from est usurpée mais valide.
la phase d’envoi des données data est volontairement mal terminée afin que le serveur renvoi à l’expéditeur apparent.
du message un avis d’erreur. très souvent cet avis est accompagné du message d’origine. pièces jointes incluses.
l’expéditeur dont l’adresse a été usurpée se voit donc remettre un message contenant neuf fois sur dix un virus
le tout comble de l’ironie en provenance de la passerelle antivirus.
cette méthode permet ainsi des attaques par rebonds ou par réflexion. format du vecteur les attaques de cette seconde
classe ont pour objectif la session étant reconstruite d’empêcher la détection ou l’extraction des fichiers
qu’elle contient. en résumé il s’agit pour l’attaquant de cacher à l’antivirus la présence de fichiers pour que la
session soit déclarée correcte et sans danger puis transmise à son destinataire final.
l’une des méthodes les plus répandues consiste à jouer avec l’encodage mime. cette méthode présente également
l’intérêt d’être multi-protocoles. elle peut servir à contourner autant que faire se peut les méthodes de filtrage
anti spam et anti phishing fondées sur la détection d’url. smtp dans le cas d’un message électronique cela peut
consister à utiliser un type d’encodage mime. volontairement biaisé ou obfusqué. une technique très simple consiste
à jouer sur la casse utilisée pour les champs des en-têtes et varier par exemple lettres majuscules et minuscules.
de nombreuses passerelles ne savaient alors plus traiter les messages ainsi formatés. il existe d’autres techniques
fondées sur l’encodage mime. il est ainsi possible de modifier le type associé à une pièce jointe. l’attaquant
déclare un fichier exécutable comme étant un fichier son content type audio/x-wav dans certains cas le logiciel
client adaptera son comportement au type du fichier joint. alors que l’antivirus aura fait confiance au type déclaré.
autre variante la déclaration du bon type de document mais sans indication du nom du fichier joint.
bonjours michel pour en finir avec les antivirus et leurs limite. sujet très intéressant pour pas mal de monde.
j’ai fait pas mal de petit commentaire sur le sujet. je sait pas si tu les sa vue donc ici je donne la suite.
l’usage veut que dans pareil cas se soit le client de messagerie qui décide de la façon d’ouvrir ce document sans nom.
malheureusement de nombreuses passerelles antivirus. ignoraient tout simplement ces pièces et ne les analysaient pas.
des attaques plus précises existent enfin qui se fondent sur des particularités de microsoft outlook comme celle qui
consiste à utiliser la syntaxe clsid. comme extension du fichier joint. cette syntaxe se caractérise par l’emploi
d’accolades dans l’extension du fichier. accolades qui pouvaient tromper les passerelles sur le type réel du fichier transmis.
là encore l’objectif de l’attaquant est d’échapper à l’analyse. http des techniques similaires sont aussi utilisées pour
passer outre les règles de filtrage des flux http. il existe même des outils qui automatisent les transformations et les
opérations de camouflage d’url citons à titre d’exemple phproxy http ://ice. citizenlab . org /projects/phproxy/.
une transformation des plus aisées consiste à encoder les données en base 64 format que la plupart des outils
de filtrage antivirus inclus.ne traitent pas systématiquement autre exemple valable pour le serveur mandataire.
http squid l’insertion d’une chaîne de caractères dans une url permettait avec des versions 2.4 de cet outil d’échapper
à certaines acl. notamment celles responsables de la redirection des flux vers un antivirus.