Quelles sont les principales fonctionnalités d’un antivirus ?

Quelles sont les principales fonctionnalités d’un antivirus ? Comment un logiciel antivirus désinfecte un fichier ? Qu’est-ce qu’un scanner, un moniteur, une signature de virus ? Quelles sont ses méthodes de détection ? Un bloqueur est-il aussi efficace ? Après avoir vu la définition d’un logiciel antivirus, on passe maintenant à l’examen des fonctionnalités d’un logiciel antivirus. Cet article créé en 2008 avait besoin d’être actualisé en 2021.

Les principales fonctionnalités d’un antivirus sont la détection de virus ou autre programme malveillant, le blocage de cette malveillance et la désinfection de fichier infecté. Avant cela voyons les composants d’un logiciel antivirus.

Composants d’un logiciel antivirus

Un logiciel antivirus propose trois composants essentiels : le scanner à la demande, le moniteur temps réel et la base de signature de virus.

Scanner à la demande

Le scanner examine (scan) votre ordinateur ou mobile à la demande : un fichier, un dossier ou tous les fichiers de votre disque. Un scan complet consomme beaucoup de ressources matérielles et de temps, mais il est conseillé de le faire de temps en temps.

Moniteur temps réel

Le moniteur analyse en temps réel les fichiers auxquels vous accédez au cours de votre utilisation normale. Il identifie rapidement et stoppe immédiatement une exécution virale. Il est composé de plusieurs modules dont le nom change suivant les logiciels. Par exemple McAfee VirusScan en a quatre, chacun dédié à une tâche : email, Web, téléchargement, système.

En fonction de sa configuration et de la puissance de votre ordinateur, il ralentit plus ou moins vos applications.

Base de signature virale

Une signature est une chaîne de caractères binaires identifiant un virus ou autre programme malveillant, un peu comme une empreinte digitale humaine. Si un fichier contient cette signature alors il est infecté par ce programme malveillant. Les signatures de virus et autres programmes malveillants sont enregistrées dans une base de données : la base de signature virale.

Il y a des années, cette base de signature virale ne contenait que des virus. Aujourd’hui elle contient aussi d’autres types de programme malveillant ou malware.

Elle devait être mise à jour souvent car des programmes malveillants sont créés tous les jours. Aujourd’hui les antivirus utilisent aussi d’autres méthodes de détection virale complémentaires, qui rendent les mises à jour moins fréquentes. C’est ce que vous allez voir maintenant.

Les trois principales fonctionnalités d’un antivirus

Méthodes de détection virale

Parmi les principales fonctionnalités d’un antivirus, la détection de programme malveillant est la plus importante. Sans elle rien n’est possible.

La base de signature virale

Quand il analyse un ordi ou un mobile, l’antivirus parcourt le disque dur et la mémoire centrale et compare chaque fichier à sa base de signature virale. S’il trouve une signature virale présente dans le fichier alors ce fichier est infecté par un virus ou autre programme malveillant.

Cette méthode de détection virale est combinée aujourd’hui avec d’autres.

L’analyse heuristique

L’analyse heuristique recherche un comportement viral dans un programme actif sur l’ordi ou le mobile, permettant de détecter des programmes malveillants inconnus de sa base de signature virale. Elle recherche des actions dangereuses ou suspectes et compare la structure de son code à ceux déjà identifiés. Elle analyse chaque fichier individuellement, par différence avec la méthode suivante.

L’examen comportemental

L’examen comportemental surveille le comportement de l’ensemble des logiciels actifs sur l’ordi et le mobile. Il recherche des actions malveillantes ou suspectes à travers les accès aux fichiers, à la mémoire centrale et au réseau.

Suivez ce lien pour une autre présentation de la différence entre l’analyse heuristique et l’examen comportemental.

Le contrôle d’intégrité

Le contrôle d’intégrité permet de détecter les modifications illégitimes de fichiers sur le disque. On crée une signature numérique pour chaque fichier au préalable. On recrée cette signature et on la compare à l’ancienne. Si elle différente alors le fichier a été modifié.

La détection générique multi-niveaux

La détection générique multi-niveaux recherche les virus polymorphes.

Blocage d’un programme malveillant

Une fois le malware identifié, l’antivirus bloque son exécution ou son accès et propose trois choix à l’utilisateur :

  • mettre le fichier en quarantaine : le fichier infecté est déplacé dans un dossier accessible à l’antivirus et inaccessible au reste du système; cela permet de pouvoir le récupérer et le désinfecter par la suite
  • supprimer le fichier : il faut être sûr que ce fichier n’est pas utile, c’est à l’utilisateur de décider
  • désinfecter le fichier : il supprime le virus ou malware dans le fichier infecté.

La première proposition est la plus fréquente. La désinfection est parfois proposée.

Désinfection d’un fichier par un antivirus

L’une des principales fonctionnalités d’un antivirus est la désinfection de fichier. Un fichier a été infecté par un programme malveillant. Ce dernier a été identifié par l’antivirus qui se charge de le supprimer du fichier. Il rend le fichier à nouveau sain en le remettant à son état d’origine.

Cliquez ici pour en savoir plus sur la désinfection de fichier.

Conclusion sur les fonctionnalités d’un antivirus

Avant de passer à la conclusion, voyons ce qu’est un bloqueur, prétendant remplacer un antivirus.

Bloqueur VS antivirus

Un bloqueur bloque l’utilisation des CD, DVD, disquettes et supprime les pièces jointes des emails. La diffusion d’un nouveau fichier est contrôlé par l’administrateur qui l’analyse avec un anti-virus ( un bloqueur n’est pas un antivirus ).

Dans une politique ultra-sécuritaire, cette défense est insuffisante et trop chère : mieux vaut un parc de machines sans aucun lecteur CD, DVD, disquette ( ceux des serveurs sont accessibles sous contrôle ), supprimer les pièces jointes automatiquement sur le serveur et interdire l’accès à Internet.

En 2021 cette fonctionnalité a complétement disparu du marché.

Conclusion

Malgré une mise à jour fréquente de la base de signatures et toutes les méthodes de détection, un nouveau virus ou programme malveillant peut quand même passer inaperçu. Il a été démontré qu’aucun antivirus n’est parfait. Alors ne lui faîtes donc pas confiance aveuglément. En effet un anti-virus ne peut pas forcément pallier une faille de votre système d’exploitation non mis à jour, votre négligence ou un logiciel Internet non sécurisé.

Sujets complémentaires

Laisser un commentaire

A hacker easily removes your link spam or thanks you for your contribution.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *