“Bienvenue à l’AntiVirus Academy !”. Voici les premiers mots que j’ai entendu en arrivant dans cette noble institution. Le sergent poursuivait : “Ici vous apprendrez à protéger les systèmes où vous serez envoyez et à éliminer tous les maliciels qui chercheront à s’infiltrer.”. Protéger et servir. Telle était ma destinée. Gamin, au jeu du gendarme et du voleur, je ne voulais que le premier rôle. Mon rêve allait s’accomplir.
Mais avant cela, il me fallait connaître les bases de la protection des systèmes informatiques. Comme le nom l’indique, notre principal adversaire sont les virus, ces programmes auto-répliquants dont le seul objectif est d’envahir les ordinateurs. Pour cela, nos instructeurs nous expliquaient les bases de tout antivirus. Il existe 4 fonctions principales.
Fonction n°1 : la détection de signature. Chaque programme peut être identifié par une signature unique. L’équivalent d’une plaque d’immatriculation. Un bon antivirus connaît les signatures de tous les programmes autorisés par le système, et les laisse travailler tranquillement. Il connaît aussi la liste de la plupart des logiciels malveillants. S’il les détecte, il les arrête immédiatement. En contact avec sa base, il met à jour sa liste de signatures.
Fonction n°2 : la détection par comportement. Il existe un troisième cas de signatures. L’antivirus ne la connaît pas. Dans ce cas, il va alerter l’utilisateur du système du risque et observer le comportement du programme. Si ce dernier a un comportement dangereux (modification ou suppression de fichiers non liés au programme, création aléatoires de répertoires, …), l’antivirus va l’arrêter et prévenir sa base.
Fonction n°3 : la détection par le contrôle de l’intégrité. Un programme honnête n’a pas de raison de changer. Si c’est le cas, il s’agit peut être d’un virus. Un bon antivirus se doit de vérifier que les programmes du système ne changent pas. Sinon, c’est peut être qu’ils cherchent à modifier leur signature pour tromper la fonction n°1.
Fonction n°4 : la détection par l’analyse heuristique. Il s’agit de voir tout nouveau programme comme une boîte noire. Le programmes est isolé dans une zone protégée et l’antivirus lui soumet des entrées. Le programme retourne des sorties. Un bon antivirus connaît les sorties ‘dangereuses’ pour le système. Par expérience, il reconnaît les comportement de virus. Toutefois, cette fonction peut parfois confondre un honnête programme avec un dangereux virus.
Chaque fonction permet de détecter les virus et de les mettre en ‘quarantaine’ (en prison) jusqu’au jugement de l’utilisateur. Il faut savoir que les virus se cachent parfois chez les honnêtes programmes et les corrompt. Dans ce cas, l’antivirus détecte (F3 et F4) le programme et le met en quarantaine. La base enverra plus tard les instructions pour réparer l’honnête programme et le remettre en circulation sur le système.
Je vous parle de cette fameuse base avec laquelle l’antivirus échange son retour d’expérience sur le terrain. Il s’agit de son affectation. Le poste de police auquel il est affecté. Chaque poste à son emplacement sur Internet et échange avec ses agents la liste de signature des honnêtes citoyens et des criminels. Chaque base a été créé par d’anciens élèves de l’AntiVirus Academy.
Alors que nous traversons le Hall du bâtiment principal, nous admirons les statues de ces anciens élèves, devenus commandants de base. Parmi ces héros de la lutte contre les maliciels nous reconnaissons :
- McAfee, l’un des pionniers de la défense des systèmes. Sa grande gueule ferait peur aussi bien aux virus qu’aux honnêtes programmes.
- Kaspersky, le russe. Il est considéré comme l’un des meilleurs depuis le début. Il faut dire que le front russe est l’un des plus dangereux.
- Symantec, le dépressif. Il était un excellent élément jusqu’à ce qu’il fasse une grave dépression.
- Avast, le gratuit. On dit souvent que si c’est gratuit, c’est vous le produit. Dans son cas, c’est une autre stratégie que nous aborderons plus tard.
Il existe bien d’autres anciens élèves de l’Academy qui ont créé leur base avec plus ou moins de succès : AVG, Avira, BitDefender, Dr.Web, F-Secure, GData, Microsoft AV, Nod 32, Norton, Sophos, Safe ‘N’ Sec, Panda, Trend Micro, … Tous ne sont pas présents dans le Hall of Fame, mais tous assument leur rôle avec sérieux.
Alors que nous arrivons à nos quartier, une voix puissante se fait entendre : ‘La base virale VPS a été mise à jour’. Apparement, la lutte contre les maliciels a fait des victimes dans nos rangs.