Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Ven 29 Mar 2024 - 02:40

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 5 messages ] 
Auteur Message
 Sujet du message: Bien choisir son antivirus
MessagePublié: Lun 19 Déc 2005 - 14:28 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Cette série de post a été écrite par Yeldrinor sur un autre forum en Avril 2005
Te lui ai demandé l'autorisation de la republier ici.
merci donc a toi Yeldrinor .
et aussi a Guardian qui m'a servi de porte parole. :wink:
:P

Je mets les messages, sans les balises citation, pour une meilleure lecture du texte.


Dernière édition par AgnesD le Lun 16 Jan 2006 - 00:14, édité 2 fois au total.

Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Lun 19 Déc 2005 - 14:31 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Tous les ans, c'est la même chose. Entre le mois de Septembre et celui de Décembre, des boites apparaissent dans les rayonnages des grandes surfaces et des magazins spécialisés portant la mention NOUVELLE VERSION suivie du numéro de l'année à suivre, et vantant des technologies améliorées, des nouveautés...

Et tous les ans on se demande quel antivirus choisir. Ce n'est pas qu'on ne soit pas content du sien, après tout on n'a eu aucun problème notable... Mais on voudrait bien s'assurer la meilleure protection possible. Alors, comment on fait? On attend le prochain comparatif de SVM? On fonce sur Clubic? On cherche ces tests fait par des Geeks collectionneurs de virus?



Et d'abord, pourquoi certains antivirus se vantent de ne pas avoir de mise à jour à effectuer?


Il faut savoir que les antivirus fonctionnent actuellement selon deux modèles différents, à savoir:


- Les antivirus à fichiers de signature de virus. Norton, McAfee, Kaspersky, Pc-Cillin, F-Secure, Bit Defender... bref l'écransante majorité des payants et la quasi-totalité des gratuits (notamment Avast).

En gros, le virus étant un programme informatique, il a donc un code informatique, qui permet à l'ordinateur de comprendre ce qu'il doit faire et dans quel ordre. Les chercheurs en antivirus vont donc décortiquer le virus pour trouver ses caractéristiques uniques: comment il fait appel à telle ou telle focntion, dans quel ordre, pour quel résultat, est-ce qu'il comporte une particularité flagrante...

Une fois le pannel de particularités identifié, on inscrit tout ça dans un fichier de signature, qui dit: "Telle façon de faire + telle commande + telle particularité = tel virus, tel variante".

Le gros défaut, c'est que si l'antivirus ne connait pas les particularités du virus, il ne peut pas l'identifier. Défaut auquel les éditeurs pallient en faisant participer tous leurs clients (professionels et particuliers) à la chasse au virus, grâce aux systèmes de soumission de fichiers contaminés, et également en s'échangeant les uns les autres les fichiers qui leur parviennent. Et en publiant le plus vite possible des mises à jour en cas d'alerte majeure.

Ce modèle est le plus répandu, car il permet aux utilisateurs, même sans trop de connaissances en informatique, de savoir comment réagir face à une infection, grâce aux messages clairs et bien documentés affichés par l'antivirus en cas d'infection.


- Les antivirus "comportementalistes". Pour ceux qui connaissent, c'est notamment ViGuard.

L'antivirus va cette fois identifier non pas des virus, mais des comportements suspects, un peu comme Hijack This, mais en temps réel.

Création de raccourcis dans le groupe Démarrage ou de clé de base de registre pour s'exécuter automatiquement au démarrage sans en aviser l'utilisateur, exploitation de failles connues pour s'auto-exécuter... Tout cela déclenche une alerte précisant le type d'action, le nom du fichier, et demandant à l'utilisateur de faire un choix.

Si on passe outre le fait qu'il faut quand même mettre à jour la base de données recensant les failles et les techniques exploitées par les virus, on tombe vite sur un pépin de taille: si l'utilisateur ne s'y connait pas, comment va-t'il savoir quoi autoriser et quoi interdire? Quand le programme s'appelle Word.exe, ça va, mais quand c'est wupdmgr, faut faire quoi? Et quand c'est wbmplay? Bref, mieux vaut réserver ça aux spécialistes, qui connaissent jusqu'au plus petit module executé sur leur machine (genre Guardian :lol: ).

Partons donc du principe qu'on va choisir un antivirus fonctionnant avec une base de données de signature de virus.

Actraizer avril 2005


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Lun 19 Déc 2005 - 14:31 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Mais y'a une kyrielle de modules, et pas tous les mêmes, qu'on me vante derrière la boite. Je choisis comment?


Très bonne question! En fait il faut faire le distingo entre les modules indispensables (qui sont présents dans tous les antivirus, même gratuits), les modules optionnels, et les gadgets consommateurs de ressources.


Les modules indispensables.

- Le bouclier résident, encore appelé moteur d'analyse en temps réel ou module d'analyse résident. C'est la première ligne de défense de votre PC, celui qui contrôle tout ce qui est accédé sur le disque dur.

Les principales fonctions à rechercher pour ce bouclier sont:

> L'analyse des fichiers à la création. Quand un fichier est créé sur l'ordinateur, que ce soit un mail et sa pièce jointe rappatriés depuis le web ou un virus qui est passé par une faille our s'auto-copier sur votre disque dpeuis le web, cette fonction analyse les données à la création et bloque toute création de fichier contenant un code viral identifié dans l'attente d'une décision de votre part (ou de l'exécution automatique d'une décision réglée via les options).

> L'analyse des fichiers à l'accès. Entre deux mises à jour de votre antivirus, un virus peut réussir à s'infiltrer dans votre PC. Dans ce cas, dès la mise à jour qui va l'indentifier, cette fonction va empêcher le virus de se lancer au démarrage du PC, et donc protéger votre PC d'une extension de l'infection, en attendant une exécution d'une analyse généralisée pour éliminer toute copie du virus.

> L'analyse des fichiers à la modification. Notamment dans le cas d'un macro-virus qui va infecter des documents Word, cette fonction empêche les modifications en attendant qu'on identifie et nettie le fichier vecteur de l'infection.

> L'analyse des médias amovibles (disquette, CD, DVD, clé USB) à l'accès. Ce module vise surtout à empêcher l'infection par un virus de secteur de boot (qui n'infecte pas un fichier mais le secteur de démarrage, premier secteur du disque dur lu au démarrage du PC). Peu de virus de ce type circulent encore, notamment à cause de l'abandon progressif des disquettes, mais les ennuis qu'ils peuvent causer en infectant des systèmes récents pour lesquels ils n'ont pas été conçus font qu'il vaut mieux avoir cette fonction quand même. Ce module peut également éviter une infection via une auto-exécution de fichier infecté à l'insertion d'un CD ou DVD infecté.

> L'analyse heuristique. Cette technique d'analyse comportementale supplée parfois à l'absence de signature reconnue dans la base de signature de l'antivirus. Dans ce cas, des comportements suspects déclenchent une alerte signalant que le fichier en question est peut-être un virus, permettant à l'utilisateur d'annuler son exécution en attendant la prochaine mise à jour de son antivirus ou le résultat d'une analyse en ligne par des spécialistes.

- Le moteur d'analyse sur demande, qui doit effectuer une analyse exhaustive des fichiers des disques durs ou des répertoires indiqués.

Ce module supplée à l'analyse en temps réel en analysant tous les fichiers, accédés ou non, y compris les fichiers compressés. c'est également lui qui sera utilisé lors des analyses planifiées. Alors que l'analyse en temps réel est parfois réglée pour n'analyser que certains types de ficheirs plus susceptibles de contenir des virus et pas les fichiers compressés (pour économiser des ressources), l'analyse sur demande à pour but de passer, au plus une fois par semaine (fréquence moyenne des mises à jour d'antivirus), tous les fichiers (y compris les archives compressées) au crible. Cela demande un certain temps mais permet de s'assurer qu'aucun fichier téléchargé ou installé sans déclencher d'alerte ne contient un virus identifié depuis la dernière mise à jour.

- Le système de mise à jour automatique, qui doit contrôler la disponibilité de nouvelles signatures.

On ne va pas passer son temps à lancer le système de mise à jour pour rien ou à scruter le site de l'éditeur d'antivirus pour voir s'il n'y a pas une mise à jour exceptionnelle due à un virus qui se répand comme une trainée de poudre. Le module de mise à jour automatique se charge de vérifier, en général une fois par jour, mais jusqu'à une fois par heure pour les plus paranos, la présence de mise à jour du fichier de signature, et de le télécharger et de l'installer automatiquement, garantissant une protection optimale.


Vaut-il mieux configurer le moteur d'analyse résident pour analyser tous les fichiers ou seulement certains? Et les archives?

C'est une question de ressources plus qu'autre chose. L'analyse de tous les fichiers est plus sûre. On découvre que de plus en plus de fichiers peuvent abriter des virus: EXE, COM, mais aussi DLL, et désormais, à cause d'une faille d'un composant Microsoft, JPEG. Analyser tous les fichiers est donc plus sûr, mais seulement si cela ne nuit pas aux performances de votre PC (sauf si vous avez des comportements à risque, comme télécharger sur des sites pirates).

Pour ce qui est des archives, il en existe deux types:
Les fichiers compressés en interne, qui apparaissent comme des EXE. Ils sont automatiquement et systématiquement analysés par l'antivirus, quelque soient les réglages.
Les fichiers d'archives compressés, ZIP, RAR, TAR, GZIP, ACE, CAB... Ceux là ne sont analysés que si vous activez la fonction adéquate. Le problème étant que ça consomme une quantité de ressources importante pour pas grand chose: en effet, quand ces fichiers sont décompressés, que ce soit manuellement ou par appel d'un programme (par exemple les RAR utilisés par Wolfenstein: Enemy Territory), les fichiers contenus sont décompressés et créés temporairement sur le disque dur... où ils subissent une analyse à la création. Le risque d'infection est donc très faible même sans activer cette fonction qui peut ralentir le PC de façon impressionnante.


Les modules optionnels

- Le bloqueur de scripts suspects

Depuis les virus en VBS (Visual Basic Script, type Anna Kournikova et ILoveYou), les antivirus incluent un petit module qui bloque par défaut l'exécution de chaque script VBS en demandant à l'utilisateur de confirmer leur exécution. En théorie, ce module bloque les virus VBS inconnus, à condition que l'utilisateur ne clique pas sur Autoriser l'exécution. Du fait de la diminuition du nombre de virus de ce type, et de la présence de scripts dans Windows XP qui sont eux aussi bloqués par cet outil, il ne sert plus à grand chose, mais sans être un gadget... Sa présence n'est pas un moins, mais n'entre pas vraiment en ligne de compte dans l'évaluation de la fiabilité de votre antivirus, les virus en VBS étant au final comme les autres ajoutés à la base de signatures, et l'analyse heuristique étant censée contrer l'infection par des VBS suspects.

- La quarantaine.

Censée isoler les virus dans un espace crypté du disque dur om ils deviennent innaccessibles, la quarantaine n'a pas de réelle utilité. C'est certes plus pratique que d'ouvrir un répertoire où l'antivirus a déplacé les fichiers suspects après les avoir renommés et changés d'extension, mais la seule réelle utilité de la quarantaine, c'est la fonction "Envoyer le fichier à l'éditeur d'antivirus pour analyse". Il vaut mieux alors que le fichier soit crypté, afin d'éviter une désinfection partielle par un antivirus de serveur (ce qui empêche l'analyse par l'éditeur et donc la production rapide d'un fichier de signature).


Les gadgets consommateurs de ressources

- Le module d'analyse des emails en entrée/sortie, qui analyse les emails entrants et sortants à la rehcerche de virus.

Le problème, c'est que le bouclier résident effectue déjà l'analyse de tous les mails entrants au moment où ils sont rappatriés et créés sur le disque dur local, et analyse toutes les pièces jointes lonrsqu'on les attache à un email. Et vu que les deux modules utilisent les mêmes signatures, les deux analyses donneront le même résultat. Bref, ce module consomme des ressources pour rien.

Pire encore, ce module propose d'envoyer automatiquement un avertissement aux emetteur de mails comportant des pièces jointes infectées, alors que les adresses sont usurpées ou imaginaires dans 99% des cas, générant ainsi un trafic de mail inutile supplémentaire.

- Le bloqueur de vers inconnus.

Cet outil est censé détecter les émissions de mails ayant le même objet, ou envoyés à un intervalle de temps régulier, bref détecter un ver qui tente de se propager depuis votre PC alors que votre antivirus n'a pas pu le repérer autrement.

Mais cela ne fonctionne que si le ver s'expédie via votre logiciel de messagerie, alors que la majorité des vers embarquent leur propre logiciel de messagerie à l'heure actuelle... Bref, ce module ne sert qu'à vos alerter quand vous répondez à une suite de mails ayant tous pour titre "Re: Ciné ce soir?" dans un court laps de temps. Totalement inutile.

Et le module d'analyse et d'élimination des spywares alors?

La majorité des antivirus qui vantent ce type de module intègrent en fait dans leur base de signature celles de spywares connus pour utiliser des méthodes de type virales pour s'installer automatiquement. Ce n'est donc pas un module à part entière qui gère les spywares, mais les modules d'analyse résidente et/ou manuelle. Exception notable, F-Secure, qui intègre une version personnalisée d'AdAware.

A l'heure actuelle, tous les antivirus disposent de modules d'analyse résidente, d'analyse manuelle et de mise à jour automatique. Les autres modules étant plus ou moins utiles, le choix va donc se baser sur d'uatres critères que la kyrielle de modules vantés derrière les boites.

Actraizer avril 2005


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Lun 19 Déc 2005 - 14:32 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Les tests d'antivirus sacrent Kaspersky et Norton! Lequel je prends?


Selon les sources, ce sont effectivement Kaspersky et Norton qui arrivent le plus souvent en tête avec des taux de détection proche de 100%. Dans d'autres tests, Panda et Sophos l'emportent. Comment choisir?

Il faut déjà distinguer les différents types de tests, il convient donc de lire les explications concernant la procédure de test, pour savoir si on a fait:

-Des tests avec des émulateurs de virus, où on simule de multiples infections par des virus réels pour voir comment réagit l'antivirus. Certains antivirus stoppent tout, d'autres rien. Ce genre de test n'est pas apprécié, vu qu'il n'y a en fait aucune infection réelle. Détecter une infection dans ce cas de figure, c'est détecter quelque chose qui n'existe pas. Qui voudrait d'un antivirus qui risque de lui afficher des alertes fictives (ou faux-positifs) sans arrêt?

- Des tests standards, où on infecte un PC avec un nombre connu de virus, parmis lesquels on choisit des virus classiques, des virus très récents, des virus rares et des virus anciens. Et là les problèmes commencent. Si les virus classiques sont tous correctement détectés, pour le reste...

> Les virus anciens posent déjà un problème. Pas toujours bien choisis, certains d'entre eux sont incapables d'infecter un système récent, parce qu'ils utilisaient des fonctions présentes dans une ancienne version de Windows par exemple. Dans ce cas, si l'antivirus les détecte, est-ce un bien ou un mal? Vu que le virus est incapable d'infecter le PC, il ne constitue pas une menace. Et pourtant, si un antivirus ne le détecte pas, sa note baissera.

> Les virus très récents posent le problème des mises à jour. Selon leur expansion et la fréquence des mises à jour, un antivirus peut les rater le jour du test et les repérer le lendemain... Dommage pour lui.

> Les virus rares sont un autre pépin. Parfois, devant la faible distribution du virus, l'éditeur se contente de publier un avis et de laisser la détection heuristique ou générique avertir les utilisateurs d'un danger. Le PC est donc protégé en attendant la prochaine mise à jour hebdomadaire, mais la note du logiciel est réduite, car il ne pet pas réparer l'infection par un virus de ce type.

Bref, ce genre de test est extrèmement aléatoire. Rares sont ceux qui sont infectés par des bestioles rarissimes ou antédiluviennes. A ce jeu là, plus les mises à jour sont fréquentes, et plus la note sera élevée. Kaspersky ,avec sa mise à jour quotidienne, obtient donc toujours d'excellents résultats, ce qui n'est possible que parce que le produit est de bonne qualité, mais ne signifie pas que les autres antivirus, qui ont 3 ou 4% de moins, sont plus mauvais. De même sachez qu'un éditeur antivirus sérieux épinglé dans les tests corrige généralement le tir via des patches et mises à jour du moteur d'analyse.

Toutefois, une colonne qui a une certaine importance dans un test normal, est celle concernant
La capacité de l'antivirus à nettoyer une infection:
Souvent méprisée parce qu'on veut que l'antivirus empêche les infections au lieu de les nettoyer, cette capacité est néamoins importante. Les antivirus reposant sur des mises à jour, il est toujours possible de se faire infecter avant que l'antivirus ne soit capable de repérer la menace. Dans ce cas, il va falloir nettoyer.
Et c'est là que le bât blesse: la majorité des antivirus sont incapables de décharger un virus informatique chargé en mémoire, et imposent de rebooter en mode sans échec pour pouvoir supprimer les fichiers infectés. Pire, nombre d'antivirus laissent la base de registre une bordée de clés de base de registre se référant au virus. Et c'est encore pire quand le virus en question est un virus assez rare et pas un des virus courants dont on reçoit 5 copies par jour.
La capacité à nettoyer est à prendre en compte lors de l'achat d'un antivirus, surtout en fonction de son niveau en informatique. Plus on est débutant, plus on court le risque de se faire infecter parce qu'on a malencontreusement cliqué au mauvais endroit , et mieux vaut donc avoir un antivirus capable de faire le ménage sans qu'on aie à faire une multitude de manipulations.
Ce doit être une des colonnes les plus importantes lors de la lecture d'un test antivirus. Le taux moyen de désinfection est d'envrion 40%, mais certains logiciels sont plus efficaces que d'autres.

De manière générale, on peut considérer que tous les antivirus ayant une note supérieure à 90% de détection sont de qualité équivalente. C'est ensuite une question de ressources informatiques et de compétences.

Actraizer Avril 2005


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Lun 19 Déc 2005 - 14:34 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Tous les antivirus ne sont pas égaux face aux utilisateurs

Une fois un pannel de bons antivirus soumis au choix, reste à voir les ressources nécessaires pour les faire fonctionner, les réglages par défaut, la fréquence des mises à jour et le niveau nécessaire pour les utiliser.

Kaspersky 5: Pour les expérimentés qui se sentent menacés
Les +:
Très efficace
Mis à jour tous les jours (sauf peut-être le week-end, sauf bien sûr arrivée d'un virus particulièrement nocif)
Très puissant
Hautement paramétrable
Les -:
Mal configuré, il transforme le PC en trotinette (attention à l'analyse en temps réel des objets complexes, des bases de données Outlook ezt des archives!!!)
Une interface jadis un peu brouillone, mais ça s'améliore
Nécessite de s'y connaitre pour en tirer le meilleur parti.

McAfee 9: Pour les débutants, en toute tranquilité
Les +:
Paramètres par défaut excellents, fait (presque) tout tout seul en n'oubliant pas d'aviser son utilisateur
Détection très correcte
Mises à jour hebdomadaires, voire quotidiennes en cas d'affluence de bestioles virulentes
Les -:
Un peu trop simple à paramétrer du goût de certains
La correction d'éventules bugs n'est pas la priorité de McAfee, surtout en version Française.

Norton 2005: Pour les gens naturellement prudents
Les +:
Détection très correcte
Les -:
Lent et gourmand en ressource
Incapable de désinfecter un PC sans redémarrer en mode sans échec
Du coup, paramètres par défaut mal réglés (nettoyer par défaut quand on ne fait que demander de rebooter en mode sans échec...)
Réactivité de l'éditeur maintes fois mise en cause dans des infections

F-Secure antivirus 2005: Trois moteurs d'analyse
Les +:
Trois moteurs d'analyse donc en théorie plus de chances de repérer un virus "furtif".
Mises à jour totalement transparentes et sans redémarrage. Aucun message ne s'affiche sauf si un virus est détecté.
Paramétrages par défaut très efficaces.
Les -:
L'action par défaut c'est nettoyer, et quand c'est pas nettoyable, c'est renommé et laissé sur place. Ce n'est plus dangereux, mais on aimerait mieux ne pas avoir à rechercher et retirer manuellement le fichier infecté...
L'analyse est monstrueusement lente, surtout quand il y a des fichiers compressés dans le lot.

Autres antivirus de qualité: PC-Cillin, Bit Defender. je n'ai pas d'informations sur ces logiciels, si vous avez un avis, faites-moi signe!

Voilà, ce n'est que mon avis, les explications sont de mon cru (enfin bon, avec ce que j'ai compris de diverses documentations prises dans les modes d'emploi d'antivirus et les sites Internet où j'ai surfés, d'où sans doute certaines erreurs vu que je ne comprends pas tout! N'hésitez pas à me les signaler en réponse et je corrigerai).

Si vous avez des avis divergents sur les antivirus cités ou des avis sur ceux que je n'ai pas évalués, n'hésitez pas (enfin évitez quand même le classique "J'ai jamais rien choppé avec cet antivirus jamais vu une alerte en un an" ;) )

Actraizer Avril 2005
merci a toi :P


Haut
 Profil Envoyer un e-mail  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 5 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr