| Les principales techniques de recherche de virus (suite)
Le contrôle
d'intégrité va construire un fichier
contenant les noms de tous les fichiers présents sur le disque
dur auxquels lui sont associés des caractéristiques
(taille, date et l'heure de la dernière modification ou encore
un checksum (somme de contrôle)). Un algorithme spécifique
pourra détecter toute modification ou altération de
ces fichiers à chaque démarrage de l'ordinateur ou dès
qu'un fichier exécutable est ouvert par un programme.
Méthode
comportementale
Cette méthode a pour fondement d'observer l'ordinateur à
la recherche de toute activité anormale de type virale, et
dans ce cas de prévenir l'utilisateur. Elle n’est plus
vraiment utilisée car elle génère trop de fausses
alertes.
Les critères de choix d'un antivirus
Si l'efficacité première d'un antivirus est évidemment sa capacité à détecter les
virus (ceux connus et ceux inconnus), ceci ne doit pas être le seul critère de choix.
Les autres fonctions que doit assurer un éditeur d'anti-virus dans un architecture sont :
La qualité
du support de l'éditeur : ce critère
est évidemment majeur, notamment pour les anti-virus installés
sur les passerelles de messagerie.
Dans le cas d'anti-virus installés sur les postes de travail :
La facilité d'installation à distance de l'anti-virus.
La simplicité de gestion du parc es paramètres à distance : mise à jour des bases de signatures, automatisation des analyses du poste, mise à jour des moteurs ....
Il existe également des plates-formes de test standardisée
pour vérifier l'efficacité des anti-virus (par exemple la "wild list"),
mais ces plates-formes ne s'intéressent qu'à la partie efficacité des
moteurs et pas sur les partie liées à la gestion d'une politique antivirale
|
 |
|
|
Les limites des antivirus
Les créateurs d’anti-virus ont encore du pain sur la planche, liée à la « créativité » des développeurs de virus.
Par exemple, on évoque l’arrivée de virus de type "dropper" : c'est un virus qui contient un autre virus. Le premier fait le travail d'un rétro-virus : il désactive le firewall, empêche l'antivirus de fonctionner, et lance ensuite le deuxième qui peut agir en toute liberté.
Le cas de Slammer est également intéressant car il ne copie aucun fichier dans la machine qu'il attaque : son code malicieux reste dans la mémoire. Or, un antivirus ne peut pas scanner efficacement toute la mémoire en temps réel car c’est une tâche trop lourde. Ajoutez cela au fait que Slammer se répandait de façon aléatoire, vous avez une vitesse de propagation (et une saturation du réseau) exponentielle (même si il n’était pas très bien codé et qu’il envoyait des attaques à des machines déjà infectées et donc perdait en efficacité).
Certains vont jusqu'à dire que les anti-virus "classiques" sont dépassés, car les vers informatiques se propagent trop rapidement par rapport au temps requis pour l'application des mises à jour des anti-virus .
Un chercheur anglais (Matthew Williamson) a démontré par simulation que si les vers informatiques se propagent suffisamment rapidement (comme les vers Blaster et Sobig.F), les temps de mises à jour (patchs) des serveurs ou postes de travail sont trop longues pour protéger efficacement les utilisateurs.
On se rappellera qu'en janvier 2003, le ver SQL Slammer a été le ver qui s'est propagé le plus rapidement dans l'histoire d'Internet: le nombre d'ordinateurs infectés a doublé toutes les 8,5 secondes, donc après 10 minutes près de 90% des systèmes vulnérables étaient contaminés.
En savoir plus sur les virus :
Il existe des sites dédiés aux anti-virus en France :
http://www.topvirus.com
Un article paru dans MISC de février 2003 : Virus, mythes et réalités
|
Domaines sécurité
