Mais y'a une kyrielle de modules, et pas tous les mêmes, qu'on me vante derrière la boite. Je choisis comment?
Très bonne question! En fait il faut faire le distingo entre les modules indispensables (qui sont présents dans tous les antivirus, même gratuits), les modules optionnels, et les gadgets consommateurs de ressources.
Les modules indispensables.
- Le bouclier résident, encore appelé moteur d'analyse en temps réel ou module d'analyse résident. C'est la première ligne de défense de votre PC, celui qui contrôle tout ce qui est accédé sur le disque dur.
Les principales fonctions à rechercher pour ce bouclier sont:
> L'analyse des fichiers à la création. Quand un fichier est créé sur l'ordinateur, que ce soit un mail et sa pièce jointe rappatriés depuis le web ou un virus qui est passé par une faille our s'auto-copier sur votre disque dpeuis le web, cette fonction analyse les données à la création et bloque toute création de fichier contenant un code viral identifié dans l'attente d'une décision de votre part (ou de l'exécution automatique d'une décision réglée via les options).
> L'analyse des fichiers à l'accès. Entre deux mises à jour de votre antivirus, un virus peut réussir à s'infiltrer dans votre PC. Dans ce cas, dès la mise à jour qui va l'indentifier, cette fonction va empêcher le virus de se lancer au démarrage du PC, et donc protéger votre PC d'une extension de l'infection, en attendant une exécution d'une analyse généralisée pour éliminer toute copie du virus.
> L'analyse des fichiers à la modification. Notamment dans le cas d'un macro-virus qui va infecter des documents Word, cette fonction empêche les modifications en attendant qu'on identifie et nettie le fichier vecteur de l'infection.
> L'analyse des médias amovibles (disquette, CD, DVD, clé USB) à l'accès. Ce module vise surtout à empêcher l'infection par un virus de secteur de boot (qui n'infecte pas un fichier mais le secteur de démarrage, premier secteur du disque dur lu au démarrage du PC). Peu de virus de ce type circulent encore, notamment à cause de l'abandon progressif des disquettes, mais les ennuis qu'ils peuvent causer en infectant des systèmes récents pour lesquels ils n'ont pas été conçus font qu'il vaut mieux avoir cette fonction quand même. Ce module peut également éviter une infection via une auto-exécution de fichier infecté à l'insertion d'un CD ou DVD infecté.
> L'analyse heuristique. Cette technique d'analyse comportementale supplée parfois à l'absence de signature reconnue dans la base de signature de l'antivirus. Dans ce cas, des comportements suspects déclenchent une alerte signalant que le fichier en question est peut-être un virus, permettant à l'utilisateur d'annuler son exécution en attendant la prochaine mise à jour de son antivirus ou le résultat d'une analyse en ligne par des spécialistes.
- Le moteur d'analyse sur demande, qui doit effectuer une analyse exhaustive des fichiers des disques durs ou des répertoires indiqués.
Ce module supplée à l'analyse en temps réel en analysant tous les fichiers, accédés ou non, y compris les fichiers compressés. c'est également lui qui sera utilisé lors des analyses planifiées. Alors que l'analyse en temps réel est parfois réglée pour n'analyser que certains types de ficheirs plus susceptibles de contenir des virus et pas les fichiers compressés (pour économiser des ressources), l'analyse sur demande à pour but de passer, au plus une fois par semaine (fréquence moyenne des mises à jour d'antivirus), tous les fichiers (y compris les archives compressées) au crible. Cela demande un certain temps mais permet de s'assurer qu'aucun fichier téléchargé ou installé sans déclencher d'alerte ne contient un virus identifié depuis la dernière mise à jour.
- Le système de mise à jour automatique, qui doit contrôler la disponibilité de nouvelles signatures.
On ne va pas passer son temps à lancer le système de mise à jour pour rien ou à scruter le site de l'éditeur d'antivirus pour voir s'il n'y a pas une mise à jour exceptionnelle due à un virus qui se répand comme une trainée de poudre. Le module de mise à jour automatique se charge de vérifier, en général une fois par jour, mais jusqu'à une fois par heure pour les plus paranos, la présence de mise à jour du fichier de signature, et de le télécharger et de l'installer automatiquement, garantissant une protection optimale.
Vaut-il mieux configurer le moteur d'analyse résident pour analyser tous les fichiers ou seulement certains? Et les archives?
C'est une question de ressources plus qu'autre chose. L'analyse de tous les fichiers est plus sûre. On découvre que de plus en plus de fichiers peuvent abriter des virus: EXE, COM, mais aussi DLL, et désormais, à cause d'une faille d'un composant Microsoft, JPEG. Analyser tous les fichiers est donc plus sûr, mais seulement si cela ne nuit pas aux performances de votre PC (sauf si vous avez des comportements à risque, comme télécharger sur des sites pirates).
Pour ce qui est des archives, il en existe deux types:
Les fichiers compressés en interne, qui apparaissent comme des EXE. Ils sont automatiquement et systématiquement analysés par l'antivirus, quelque soient les réglages.
Les fichiers d'archives compressés, ZIP, RAR, TAR, GZIP, ACE, CAB... Ceux là ne sont analysés que si vous activez la fonction adéquate. Le problème étant que ça consomme une quantité de ressources importante pour pas grand chose: en effet, quand ces fichiers sont décompressés, que ce soit manuellement ou par appel d'un programme (par exemple les RAR utilisés par Wolfenstein: Enemy Territory), les fichiers contenus sont décompressés et créés temporairement sur le disque dur... où ils subissent une analyse à la création. Le risque d'infection est donc très faible même sans activer cette fonction qui peut ralentir le PC de façon impressionnante.
Les modules optionnels
- Le bloqueur de scripts suspects
Depuis les virus en VBS (Visual Basic Script, type Anna Kournikova et ILoveYou), les antivirus incluent un petit module qui bloque par défaut l'exécution de chaque script VBS en demandant à l'utilisateur de confirmer leur exécution. En théorie, ce module bloque les virus VBS inconnus, à condition que l'utilisateur ne clique pas sur Autoriser l'exécution. Du fait de la diminuition du nombre de virus de ce type, et de la présence de scripts dans Windows XP qui sont eux aussi bloqués par cet outil, il ne sert plus à grand chose, mais sans être un gadget... Sa présence n'est pas un moins, mais n'entre pas vraiment en ligne de compte dans l'évaluation de la fiabilité de votre antivirus, les virus en VBS étant au final comme les autres ajoutés à la base de signatures, et l'analyse heuristique étant censée contrer l'infection par des VBS suspects.
- La quarantaine.
Censée isoler les virus dans un espace crypté du disque dur om ils deviennent innaccessibles, la quarantaine n'a pas de réelle utilité. C'est certes plus pratique que d'ouvrir un répertoire où l'antivirus a déplacé les fichiers suspects après les avoir renommés et changés d'extension, mais la seule réelle utilité de la quarantaine, c'est la fonction "Envoyer le fichier à l'éditeur d'antivirus pour analyse". Il vaut mieux alors que le fichier soit crypté, afin d'éviter une désinfection partielle par un antivirus de serveur (ce qui empêche l'analyse par l'éditeur et donc la production rapide d'un fichier de signature).
Les gadgets consommateurs de ressources
- Le module d'analyse des emails en entrée/sortie, qui analyse les emails entrants et sortants à la rehcerche de virus.
Le problème, c'est que le bouclier résident effectue déjà l'analyse de tous les mails entrants au moment où ils sont rappatriés et créés sur le disque dur local, et analyse toutes les pièces jointes lonrsqu'on les attache à un email. Et vu que les deux modules utilisent les mêmes signatures, les deux analyses donneront le même résultat. Bref, ce module consomme des ressources pour rien.
Pire encore, ce module propose d'envoyer automatiquement un avertissement aux emetteur de mails comportant des pièces jointes infectées, alors que les adresses sont usurpées ou imaginaires dans 99% des cas, générant ainsi un trafic de mail inutile supplémentaire.
- Le bloqueur de vers inconnus.
Cet outil est censé détecter les émissions de mails ayant le même objet, ou envoyés à un intervalle de temps régulier, bref détecter un ver qui tente de se propager depuis votre PC alors que votre antivirus n'a pas pu le repérer autrement.
Mais cela ne fonctionne que si le ver s'expédie via votre logiciel de messagerie, alors que la majorité des vers embarquent leur propre logiciel de messagerie à l'heure actuelle... Bref, ce module ne sert qu'à vos alerter quand vous répondez à une suite de mails ayant tous pour titre "Re: Ciné ce soir?" dans un court laps de temps. Totalement inutile.
Et le module d'analyse et d'élimination des spywares alors?
La majorité des antivirus qui vantent ce type de module intègrent en fait dans leur base de signature celles de spywares connus pour utiliser des méthodes de type virales pour s'installer automatiquement. Ce n'est donc pas un module à part entière qui gère les spywares, mais les modules d'analyse résidente et/ou manuelle. Exception notable, F-Secure, qui intègre une version personnalisée d'AdAware.
A l'heure actuelle, tous les antivirus disposent de modules d'analyse résidente, d'analyse manuelle et de mise à jour automatique. Les autres modules étant plus ou moins utiles, le choix va donc se baser sur d'uatres critères que la kyrielle de modules vantés derrière les boites.
Actraizer avril 2005
|