Samedi sécurité : les antivirus
Le terme virus n'est plus approprié, dans la plupart des cas on a affaire à des malwares, logiciels malfaisants, reçus au travers du navigateur, une extension à celui-ci, via un logiciel téléchargé ou échangé, un email reçu, mais qui n'ont plus pour fonctionnalité commune de se dupliquer et se reproduire en se transmettant d'un appareil ou d'un support à l'autre.
Les antivirus servent essentiellement à repérer ces logiciels malfaisants, dans leur transport par email, sur un support amovible, lors de leur téléchargement, leur présence sur nos SSD ou HD ainsi qu'en mémoire. Mais aussi identifier les nouvelles menaces via leurs actions.
Les listes
La façon de repérer les logiciels malveillants la plus commune sont des listes de signatures, tant des fichiers les comprenant que lorsqu'en mémoire de nos ordinateurs.
Il y a des listes communes et chaque acteur a aussi sa petite tambouille avec des signatures spécifiques.
Il y a aussi un autre type de liste: la liste des signatures des logiciels acceptés.
Elle sert normalement à éviter de bloquer des MàJ de logiciels courants comme Microsoft Office, donc les faux positifs lors de détection de logiciels malveillant.
Elle sert aussi à autoriser et ne pas surveiller des logiciels tels que demandés par les autorités, ce qui explique en partie pourquoi seulement Kapersky a identifié les logiciels espions de la NSA et non aucun antivirus d'origine Américaine...
Les comportements
Les logiciels malveillants sont classés différemment suivant leurs comportement.
Certains veulent accéder à vos mot-de-passe ou comptes bancaires, d'autres veulent accéder à vos cryptomonnaies, ou miner celles-ci sur votre ordinateur à vos dépends, chiffrer vos données et vous demander une rançon, ou plus simplement effacer vos fichiers pour vous faire du tort gratuitement. La liste est infinie de mauvaises actions.
Les bons logiciels de sécurité essayent d'identifier les comportements des logiciels s'exécutant dans votre ordinateur, hors logiciels whitelistés qui ont plus de droits ou de latitude, afin de détecter les menaces nouvelles ou inconnues en temps-réel et avant que le mal ne soit fait.
Les limites des listes
Les limites c'est d'abord et avant tout que les logiciels doivent être connus et identifiés.
Et si chaque jour ces listes sont mises-à-jours, il y a tellement de nouveaux virus ou de virus mutés ou polymorphes, qu'il en reste plus de 10 000 nouveaux à tout instant non identifiés ainsi.
Les limites de l'analyse comportementale
Ça a été rencontré cette semaine avec les nouveaux "AI PC" à base de Qualcomm Snapdragon Elite, c'est quand un logiciel n'est pas dans une liste mais a un comportement douteux, où l'antivirus agit alors en le bloquant, un faux positif.
Et ça touche nombre de petits logiciels peu diffusés, notamment des utilitaires systèmes, ou dans le cas évoqué, même des outils Microsoft!
L'Antivirus, obligatoire ou inutile?
Vous n'avez en fait pas le choix, Defender est inclus dans Windows, Gatekeeper dans macOS, ils sont présents et une première ligne de défense grossière mais indispensable.
Dans notre cas sous macOS, je recommanderais de télécharger principalement depuis l'App Store Apple et sinon toujours depuis le site de l'éditeur s'il est connu et reconnu. S'abstenir sinon.
Ça résout 99% des problèmes.
Il reste les logiciels inconnus ou de provenance dont on ne peut être sûr, et là vous pouvez avoir besoin d'un antivirus ou d'une suite de sécurité, utiliser une VM pour le faire s'exécuter dans un environnement plus ou moins contrôlé ou les deux (!!!).
Il faut se souvenir que quelque-soit l'antivirus choisi, plus de 10 000 logiciels malfaisants récents ne sont pas identifiés, ce qui signifie que si il y a un apport en terme de sécurité, le premier problème est généralement entre la chaise et le clavier. Comme toujours.