Accueil / Technologie / Comment fonctionne un antivirus ?

Comment fonctionne un antivirus ?

C’est l’ange-gardien de votre ordinateur : il veille à sa santé, le protège des virus et répare les dégâts en cas d’infection. Un antivirus est aujourd’hui indispensable. Mais comment détecte-t-il et élimine-t-il les virus ? Pourquoi faut-il le mettre à jour ? Est-ce qu’il peut réparer tous les fichiers infectés ? Zoom sur cet outil primordial.

 

Plusieurs moyens de protection
Sur demande expresse ou de façon discrète : l’antivirus utilise plusieurs moyens pour vous protéger. Parmi les plus connus, le scan complet de l’ordinateur. Lancé à la demande de l’utilisateur ou déclenché régulièrement, le scan permet d’analyser l’ensemble des fichiers un par un et de vérifier la présence d’un virus. Il est surtout efficace quand vous soupçonnez une contamination. Vous pouvez choisir d’analyser l’intégralité ou une partie de vos fichiers ou encore rechercher des virus uniquement sur une disquette.
Pendant le scan, l’antivirus cherche les traces d’un virus à l’aide de sa base de signatures. Comme tout programme exécutable, les virus sont composés des codes. A chaque nouvelle découverte de virus, les éditeurs d’antivirus enregistrent ces codes appelés « signatures » et les intègrent dans la base de données de leur logiciel. La signature est composée d’une série de caractères incompréhensibles aux yeux de l’utilisateur, mais lisible par l’ordinateur.
Exemple : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Si vous copiez ces lignes dans un fichier texte et vous l’enregistrez en tant qu’exécutable avec une extension .com, votre antivirus le détectera comme un virus, car ces codes sont enregistrés dans sa base.

Surveillance en temps réel
Le scan permet d’avoir une photo de votre système à un moment donné. Pour une protection en temps réel et en permanence, les antivirus utilisent un autre moyen : la surveillance en tâche de fond. Appelé aussi « moniteur« , cet outil de l’antivirus fonctionne en permanence, sans que vous vous rendiez compte. Il surveille tous les fichiers entrants et sortants de l’ordinateur, analyse chaque nouveau document introduit par une disquette, téléchargé ou envoyé par e-mail. Cette surveillance en continue permet à l’antivirus de bloquer tout fichier considéré comme suspect.
Comme le scan, le moniteur se sert aussi de la base de signatures. S’il n’est pas mis à jour, l’antivirus ne peut pas détecter les dernières menaces. Mais beaucoup d’utilisateurs négligent la mise à jour ou ne la font pas assez souvent. Or un retard peut être parfois fatal : trois virus du niveau 3 et 4 sont apparus en une semaine à la fin du mois d’août. Autre souci : l’apparition des virus polymorphes, qui changent de signature à chaque infection. Ce type de virus est difficilement détectable à l’aide des signatures.

 

Pour résoudre ces problèmes, les éditeurs ont développé le système de recherche heuristique. Indépendant des signatures, ce système détecte les virus grâce à l’intelligence artificielle. Il reconnaît les comportements considérés comme anormaux pour une application saine.
Exemple : lorsqu’on démarre un programme normal, il commence à chercher la ligne de commande des options. Or les virus affichent un autre comportement : ils cherchent des fichiers exécutables pour se multiplier, essayent d’écrire directement sur le disque ou déchiffrent leur code qui était crypté à l’origine (dans le cas des virus polymorphes) etc.. Si l’antivirus détecte une application qui montre plusieurs anomalies (contenir un code permettant de formater le disque dur, par exemple), il déclenchera une alerte virus. Avec cette méthode, un antivirus peut stopper les virus encore inconnus ou qui ne sont pas dans sa base de signatures. Le risque de fausses alertes inhérent à la méthode (l’antivirus peut prendre un outil de formatage pour un virus, par exemple) est minimisé grâce à son utilisation simultanée avec d’autres outils, dont le contrôleur d’intégrité. Cet outil vérifie régulièrement certains éléments invariables des logiciels (comme la taille, la date de création etc..). La modification de ces données est le signe de la présence d’un virus.

Réparation express
Lorsqu’il détecte un fichier infecté, un antivirus le met d’abord en quarantaine pour empêcher la propagation. Il essaye ensuite de le nettoyer en effaçant le code du virus et en réparant les parties endommagées. Cette action est possible lorsque le virus s’est propagé en ajoutant son code au code de l’application. Mais certains virus contaminent l’intégralité des fichiers, il est alors impossible de les récupérer.

 

 

L’antivirus mettra ce fichier en quarantaine et proposera à l’utilisateur de le supprimer.

Burçin Gerçek

Commentaires

A lire aussi

ok

Une clé USB pour détecter le VIH

21 minutes. C’est le temps moyen qu’il faut à un dispositif électronique qui fonctionne comme ...