sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Les anti-virus

Objectifs d’un antivirus

L’objectif d’un antivirus est d’abord de détecter les virus par l'analyse des fichiers (disque dur, en mémoire, en pièce jointe... ) et les empêcher de nuire :

  • l'antivirus supprime le virus dans le fichier infecté,

  • ou supprime le fichier infecté,

  • ou déplace le fichier infecté en quarantaine pour qu'il ne puisse pas être ouvert.

Les mutations des virus

Plus de 90% des virus ont un mode d'infection facilement détectable par les antivirus. Ils s'attaquent par exemple aux exécutables de manière simpliste, souvent au même endroit, en début ou en fin de fichier, ce qui permet de les stopper aisément.

Mais certains virus sont polymorphes et utilisent des techniques de cryptage, ce qui oblige à scanner l'intégralité du fichier. Dès lors, scanner un "word.exe" par exemple qui fait 2 Mo prend 10 secondes au lieu d'une demi-seconde dans les cas classiques.

Anti virus

Outre cet allongement du temps de détection, ces virus sont d'autant plus difficiles à localiser que leur polymorphie et leur cryptage sont sophistiqués. Encore de belles années à venir pour les éditeurs d'antivirus !

 spacer

Les principales techniques de recherche de virus

Nous présenterons quatre techniques majoritairement utilisées par les logiciels pour localiser les virus. Il s'agit

  • Recherche par signature (ou par scanner)
    C'est la méthode la plus ancienne et la plus utilisée. Chaque virus possède une signature, le principe est de la rechercher une chaîne de caractères identifiée comme lui appartenant. Au préalable, il faut évidemment que cette signature soit connue, c’est à dire que le virus ait été analysé par l’éditeur d’anti-virus. Cette méthode ne permet pas de détecter les tous nouveaux virus ou les virus polymorphes (virus changeant de signature à chaque réplication.)

  • Méthode heuristique
    Cette méthode consiste à la recherche de codes « suspects » pouvant correspondre à des fonctions virales. L'analyse heuristique permet par exemple, pour les virus Polymorphes de chercher une routine de déchiffrement. En effet une routine de déchiffrement consiste à parcourir le code pour ensuite le modifier. Ainsi lors de l'analyse heuristique, l'antivirus essaie de rechercher non pas des séquences fixes d'instructions spécifiques au virus mais un type d'instructions présent sous quelque forme que ce soit. Pour en revenir à notre exemple de virus polymorphes, l'antivirus cherche une suite d'instructions de lecture suivie d'une suite d'instructions d'écriture.
    Cette méthode est donc plus intelligente que les autres : elle vise à analyser les fonctions et instructions les plus souvent présentes et que l'on retrouve dans la majorité des virus. Cette méthode permet ainsi de détecter des nouveaux virus dont la signature n'a pas été ajoutée à la base de données .

  • ou déplace le fichier infecté en quarantaine pour qu'il ne puisse pas être ouvert.

Ils n'existe pas de classement officiel des anti-virus, mais certains sites américains proposent des analyses comparatives sur la base d'un jeu d'essai normalisé à partir d'un banc d'essai de virus (exemple Wild List).

 

pix1 pix2 pix3 pix4