Antivirus

Antivirus, anti-malwares… Ces deux termes se rapportent aux logiciels de cybersécurité, mais que signifient-ils exactement, qu'est-ce qui les différencie, et comment répondent-ils aux menaces actuelles du monde numérique ?

Chez Malwarebytes, nous sommes pour la précision, notamment lorsqu'il s'agit de faire la distinction entre deux concepts de cybersécurité souvent confondus, les antivirus et les anti-malwares. Bien sûr, ces deux termes se rapportent aux logiciels de cybersécurité, mais que signifient-ils exactement, qu'est-ce qui les différencie, et sont-ils encore tous les deux adaptés à la lutte contre les menaces numériques actuelles ?

Observons un par un ces concepts et plongeons au cœur de la sémantique de la cybersécurité.

Quelle est la différence entre les logiciels antivirus et anti-malware ?

Les mots « antivirus » et « anti-malware » ont presque le même sens. Tous deux se réfèrent à un logiciel conçu pour détecter les logiciels malveillants, assurer la protection contre ces logiciels et les supprimer. Contrairement à ce que laisse penser son nom, le logiciel antivirus ne protège pas que des virus. En fait, ce nom descriptif est simplement un peu dépassé. Le logiciel anti-malware est lui aussi conçu pour assurer une protection contre les virus. L'anti-malware est simplement un terme plus moderne qui englobe toutes sortes de logiciels malveillants, dont les virus. Ceci dit, les anti-malwares sont capables de stopper la survenue d'une infection virale et de supprimer des fichiers infectés. En revanche, ils ne sont pas forcément conçus pour restaurer des fichiers qui ont été modifiés ou remplacés par un virus. Les termes « antivirus » et « anti-malware » sont regroupés sous le concept plus large de « cybersécurité ».

Qu'est-ce que la cybersécurité ?

La cybersécurité, ou sécurité informatique, est un mot fourre-tout qui désigne toute stratégie de protection d'un système contre des attaques malveillantes menées pour voler de l'argent, des informations personnelles, des ressources système (cryptojacking, botnets) et tout un ensemble d'autres actions nuisibles. L'attaque peut viser du matériel ou un logiciel, ou encore être perpétrée par le biais de l'ingénierie sociale.

À l'heure actuelle, les menaces de cybersécurité et leurs contre-mesures sont variées et tout en nuances, mais le marché tend naturellement à plus de simplicité lorsqu'il s'agit de s'adresser aux consommateurs. C'est pourquoi de nombreuses personnes continuent à croire que les « virus » représentent la plus grande menace pour leur ordinateur. En réalité, les virus constituent simplement un type de menace informatique, populaire à l'époque où les ordinateurs n'en étaient encore qu'à leurs balbutiements. Aujourd'hui, ils sont loin de représenter la menace la plus fréquente, mais le nom est resté. En fait, c'est un peu comme si on appelait toutes les maladies « rhume ».

« Les mots "antivirus" et "anti-malware" ont presque le même sens. Tous deux se réfèrent à un logiciel conçu pour détecter les logiciels malveillants, assurer la protection contre ces logiciels et les supprimer. »

Qu'est-ce qu'un virus informatique ?

Un virus informatique est un logiciel (généralement) néfaste qui se définit par ces deux caractéristiques :

  • Il doit être amorcé par un utilisateur qui ne se doute de rien. Le déclenchement d'un virus tient parfois seulement à l'ouverture d'une pièce jointe d'un e-mail malveillant (malspam) ou au lancement d'un programme infecté. Ensuite, le virus tente de se propager sur les autres systèmes du réseau d'ordinateurs ou dans la liste de contacts de l'utilisateur.
  • Il doit pouvoir s'autorépliquer. Si ce n'est pas le cas, alors le logiciel ne peut pas être qualifié de virus. Le processus d'autoréplication est obtenu par modification ou remplacement complet d'autres fichiers présents sur le système de l'utilisateur. Quelle que soit la méthode retenue, le fichier touché doit présenter le même comportement que le virus de départ.

Les virus informatiques existent depuis des décennies. En théorie, l'origine des « automates autoréplicatifs » (autrement dit, les virus) remonte à la publication d'un article par le mathématicien et physicien John von Neumann à la fin des années 1940. Les premiers virus sont apparus sur les ancêtres des plateformes informatiques dans les années 1970. Cependant, l'histoire des virus modernes débute avec un programme appelé Elk Cloner, qui a commencé à infecter les systèmes Apple II en 1982. Disséminé via des disquettes infectées, le virus en soi n'était pas dangereux, mais il se répandait sur tous les disques liés à un système. Il s'est diffusé si rapidement que la plupart des experts en cybersécurité considèrent cet événement comme la première infection par un virus informatique à grande échelle de l'histoire.

Les premiers virus comme Elk Cloner n'étaient au départ que des blagues. Leurs créateurs se livraient à ce petit jeu pour la notoriété que cela leur conférait. Mais au début des années 1990, ces bêtises d'adolescents ont pris une tournure plus inquiétante. Les utilisateurs de PC se sont retrouvés à la merci d'attaques par virus menées pour détruire des données, ralentir les ressources système et enregistrer la frappe sur le clavier (enregistreur de frappe). Le besoin grandissant de contre-mesures a mené au développement des premiers programmes logiciels antivirus.

Les tout premiers programmes antivirus étaient uniquement réactifs. Ils étaient en mesure de détecter les infections seulement après leur survenue. En outre, les premiers antivirus identifiaient les virus à l'aide de la technique relativement primitive qui consistait à observer les caractéristiques des signatures de virus. S'ils connaissaient par exemple un virus sous le nom de « PCdestroy », alors s'ils reconnaissaient ce nom, ils étaient capables de stopper la menace correspondante. Mais si le pirate modifiait le nom de fichier, alors l'antivirus pouvait se révéler moins efficace. Les premiers logiciels antivirus pouvaient également reconnaître des empreintes ou motifs numériques spécifiques, tels que des séquences de code dans du trafic réseau ou des séquences d'instructions nuisibles connues, mais au fond, ils devaient sans cesse rattraper leur retard.

Les premiers antivirus qui avaient recours à des stratégies basées sur des signatures pouvaient détecter facilement les virus connus, mais ils étaient en revanche incapables de détecter de nouvelles attaques. Tout nouveau virus devait être isolé et analysé pour identifier sa signature, avant d'être ajouté à la liste des virus connus. Les utilisateurs d'antivirus devaient régulièrement télécharger un fichier de base de données où finissaient par s'accumuler des centaines de milliers de signatures. Et même dans ce cas, les nouveaux virus qui parvenaient à prendre de l'avance sur les mises à jour des bases de données représentaient une menace pour un grand nombre d'ordinateurs. En conséquence se jouait une véritable course contre les menaces, à mesure que de nouveaux virus étaient créés et mis en circulation.

L'état actuel des virus informatiques et des programmes antivirus

Les virus pour PC représentent une menace du passé plus qu'un véritable risque actuel pour les utilisateurs d'ordinateurs. Ils existent depuis des décennies et n'ont pas beaucoup changé. En réalité, le dernier virus vraiment nouveau s'étant répliqué par le biais d'une interaction d'utilisateurs date de 2011 ou 2012.

Alors, si les virus informatiques ne sont plus au goût du jour, pourquoi continue-t-on à appeler les logiciels de protection contre les menaces des programmes antivirus ?

Tout simplement parce que le mot est passé dans l'usage courant. Les virus ont fait les gros titres dans les années 1990, et les sociétés de sécurité se sont mises à utiliser ce terme pour parler des cybermenaces en général. C'est ainsi que le terme « antivirus » est né. Des dizaines d'années plus tard, de nombreuses firmes de sécurité continuent à employer le mot « antivirus » pour commercialiser leurs produits. Un cercle vicieux s'est progressivement installé. Les consommateurs estimant que les mots « virus » et « menaces informatiques » sont synonymes, les entreprises nomment leurs produits de cybersécurité logiciels « antivirus », ce qui pousse les consommateurs à croire que les virus constituent toujours le problème.

Mais cela pose un problème. Bien que les termes « virus » et « antivirus » ne soient pas à proprement parler des anachronismes, les menaces informatiques modernes s'avèrent souvent bien pires que les virus qui les ont précédées. Elles se cachent plus profondément sur les systèmes informatiques et échappent plus facilement à la détection. Les petits virus d'hier ont laissé place à toute une armée de menaces avancées telles que spywares, rootkits, chevaux de Troie, exploits et ransomwares, entre autres.

Lorsque ces nouvelles catégories d'attaque ont émergé et dépassé en dangerosité les virus de départ, les éditeurs d'antivirus ont poursuivi leur mission de lutte contre ces nouvelles menaces. Cependant, ces éditeurs ne savaient pas vraiment comment catégoriser ces menaces. Devaient-ils continuer à commercialiser leurs produits sous le nom d'« antivirus », au risque de paraître réducteur ? Devaient-ils employer un autre terme « antimenace », par exemple « antispyware » ? Ou bien fallait-il plutôt adopter une approche tout-en-un, et tout combiner dans un produit unique destiné à lutter contre l'ensemble des menaces ? Chaque éditeur d'antivirus a apporté sa réponse.

Chez Malwarebytes, « cybersécurité » est le terme générique consacré. En toute logique, nous avons regroupé le fruit de notre travail contre les menaces sous une appellation unique, qui ne désigne pas seulement les virus. Ainsi, le terme que nous utilisons pour décrire la plupart de nos solutions est « anti-malware », qui est en quelque sorte le diminutif de « anti-logiciel malveillant ».

« Les consommateurs estimant que les mots "virus" et "menaces informatiques" sont synonymes, les entreprises nomment leurs produits de cybersécurité logiciels "antivirus", ce qui pousse les consommateurs à croire que les virus constituent toujours le problème. »

Si les virus ne sont plus une menace d'envergure, pourquoi ai-je besoin d'une solution de cybersécurité ?

Les virus représentent un type de malware. Ils existent encore, mais d'autres formes de malware ont pris le dessus. Voici par exemple quelques menaces courantes que Malwarebytes sait stopper :

  • Un adware est un logiciel indésirable conçu pour afficher des publicités intempestives sur l'écran, le plus souvent dans un navigateur web, mais aussi parfois dans des applications mobiles. Les adwares se font généralement passer pour des programmes légitimes ou se greffent sur d'autres programmes pour inciter les utilisateurs à les installer sur leur PC, tablette ou appareil mobile.
  • Un spyware est un malware qui observe discrètement les activités de l'utilisateur de l'ordinateur sans autorisation, puis en fait part à l'auteur du logiciel.
  • Un virus est un malware qui se greffe à un autre programme et qui, lorsqu'il est déclenché, se reproduit en modifiant d'autres programmes informatiques et en les infectant avec ses propres morceaux de code.
  • Les vers sont un type de malware semblable aux virus en ce sens où ils se diffusent, mais aucune interaction de l'utilisateur n'est nécessaire pour qu'ils s'exécutent.
  • Un cheval de Troie représente plus une méthode de distribution d'infections qu'une infection à proprement parler. Il se fait généralement passer pour un élément intéressant aux yeux d'un utilisateur dans le but d'amener ce dernier à l'ouvrir. Les attaques par cheval de Troie peuvent déposer toutes sortes de malwares, par exemple des virus, des spywares et des ransomwares.
  • Les ransomwares sont une forme de malware qui vous empêche d'accéder à votre appareil et/ou qui crypte vos fichiers, puis vous force à payer une rançon pour les récupérer. Le ransomware a été surnommé l'arme de choix des cybercriminels car il exige un paiement rapide et rentable en une cryptomonnaie difficilement traçable. Le code d'une attaque par ransomware est facile à obtenir sur des places de marché virtuelles illégales et s'en protéger est complexe.
  • Un rootkit est un malware qui fournit au cybercriminel des droits d'administration sur le système infecté et sait échapper à la vigilance d'un utilisateur lambda. Les rootkits ne sont pas non plus détectés par les autres logiciels présents sur le système, pas même par le système d'exploitation lui-même.
  • Un enregistreur de frappe est un malware qui enregistre toutes les frappes de l'utilisateur sur le clavier, généralement pour stocker les informations rassemblées et les envoyer au cybercriminel, qui cherche des informations sensibles comme les noms d'utilisateur et les mots de passe, ou les informations bancaires.
  • Le minage de cryptomonnaie malveillant, également appelé minage intempestif ou cryptojacking, constitue une forme de malware ou d'attaque basée sur navigateur de plus en plus répandue, qui est distribuée via diverses méthodes d'attaque, dont les malspams, les téléchargements intempestifs et les fausses applications et extensions. Il permet à quelqu'un d'autre d'utiliser le processeur CPU ou GPU de votre ordinateur pour miner une cryptomonnaie telle que le Bitcoin ou le Monero. Ainsi, au lieu de vous laisser récupérer l'argent sur votre ordinateur, les mineurs envoient les pièces collectées sur leur propre compte au lieu du vôtre. Ainsi, pour résumer, un cryptomineur vole les ressources de votre appareil pour gagner de l'argent.
  • Les exploits sont un type de menace qui utilise les bugs et les vulnérabilités d'un système pour permettre au créateur de l'exploit de distribuer un malware. Entre autres menaces, les exploits sont associés au malvertising, une attaque qui se sert de publicités malveillantes présentes sur des sites majoritairement légitimes pour distribuer des exploits. Il n'est même pas nécessaire de cliquer sur la publicité pour être touché ; les exploits et les malwares qui les accompagnent sont capables de s'installer tout seuls sur l'ordinateur par le biais d'un téléchargement intempestif. Il vous suffit de consulter un site de confiance un jour où vous n'auriez pas dû.

Comment fonctionnent les anti-malwares ?

La bonne vieille méthode de détection des menaces basée sur les signatures est efficace dans une certaine mesure, mais les anti-malwares modernes détectent aussi les menaces à l'aide de méthodes plus récentes qui recherchent les comportements malveillants. Autrement dit, la détection basée sur signature pourrait être comparée à la recherche d'empreintes sur une scène de crime. Cette méthode est efficace pour identifier une menace (ou un criminel), mais seulement si les empreintes sont déjà connues. Les anti-malwares modernes redéfinissent le concept de détection par leur capacité à identifier des menaces qu'ils n'ont encore jamais croisées. En analysant la structure et le comportement d'un programme, ils peuvent détecter des activités suspectes. Toujours par analogie, c'est un peu comme remarquer qu'une personne se promène toujours au même endroit, dans un lieu infesté de délinquants connus, avec un crochet de serrure dans la poche.    

Cette technologie de cybersécurité plus récente et plus efficace s'appelle l'analyse heuristique. « Heuristique » est un terme choisi par les chercheurs pour définir la stratégie qui consiste à détecter les menaces en analysant la structure d'un programme, son comportement et d'autres attributs.

Chaque fois qu'un programme anti-malware heuristique analyse un fichier exécutable, il passe en revue la structure globale du programme, sa logique de programmation et ses données. En même temps, il tente de détecter toute instruction inhabituelle ou du code indésirable. De cette manière, il évalue la probabilité que le programme contienne des malwares.

En outre, le grand avantage de l'approche heuristique réside dans sa capacité à détecter les malwares dans les fichiers et les enregistrements d'amorçage avant qu'un malware ait pu s'exécuter sur l'ordinateur et l'infecter. En d'autres termes, les anti-malwares heuristiques sont proactifs, plutôt que réactifs. Certains produits anti-malwares peuvent également exécuter le malware potentiel dans un sandbox, c'est-à-dire un environnement contrôlé, où le logiciel de sécurité peut déterminer si un programme peut être déployé en toute sécurité ou non. Grâce à l'exécution dans le sandbox, l'anti-malware peut observer ce que fait le logiciel, les actions qu'il réalise et s'il essaie de se cacher ou d'attaquer l'ordinateur.

L'analyse heuristique contribue aussi à protéger les utilisateurs en décortiquant les caractéristiques des pages Web afin d'identifier les sites risqués qui pourraient contenir des exploits. Si elle identifie un danger, elle bloque le site.

Pour résumer, les antivirus basés sur signature sont comme des videurs de boîte de nuit qui auraient sur eux un dossier épais rempli de photos d'identité de suspects et qui refuseraient l'entrée à toute personne qu'ils reconnaîtraient. L'analyse heuristique est plus comme un videur aux aguets, à la recherche de comportements suspects, procédant à des fouilles et renvoyant les individus portant une arme.

« "Heuristique" est un terme choisi par les chercheurs pour définir la stratégie qui consiste à détecter les virus en analysant la structure d'un programme, son comportement et d'autres attributs. »

La modernisation des programmes de cybersécurité

Deux formes de malwares relativement nouvelles ont permis de stimuler le développement de méthodes de détection sans signature : les exploits et les ransomwares. Bien que ces menaces ressemblent fortement aux autres sur bien des aspects, elles peuvent être beaucoup plus difficiles à détecter. En outre, une fois que l'infection s'est produite, elles peuvent être quasi impossibles à supprimer.

L'utilisation du terme « exploit » (mot anglais qui signifie « exploiter ») vient du fait que ces menaces exploitent littéralement les failles d'un système, d'un logiciel ou d'un navigateur Web afin d'installer du code malveillant de différentes manières. Des mesures anti-exploit ont été mises au point pour servir de bouclier contre cette méthode d'attaque et protéger les systèmes contre les exploits Flash et les faiblesses des navigateurs, y compris les nouveaux exploits n'ayant pas encore été identifiés ou les vulnérabilités n'ayant pas encore reçu de correctifs.

Les ransomwares ont fait une apparition très remarquée dans le monde des malwares en 2013. Avec leur méthode unique, les ransomwares ont gagné en notoriété : piratage et chiffrement des données informatiques, prise en otage des données et chantage au paiement, et menaces de suppression en cas de non-paiement dans les délais.

Ces deux types de menaces ont mené au développement de produits anti-exploit et anti-ransomware dédiés. En décembre 2016, Malwarebytes a incorporé une protection contre les sites Web malveillants et les exploits dans la version premium de Malwarebytes for Windows, et y a depuis ajouté un anti-ransomware pour encore plus de protection avancée contre les malwares.

Le futur des programmes de cybersécurité (qui est déjà là)

L'intelligence artificielle (IA) et le machine learning (ML) sont les derniers-nés de la technologie anti-malware.

L'IA permet aux machines de réaliser des tâches pour lesquelles elles ne sont pas spécifiquement programmées. Elle n'exécute pas aveuglément un ensemble de commandes limité. L'IA utilise au contraire son « intelligence » pour analyser une situation et agir dans un but donné, tel qu'identifier les signes d'une activité de ransomware.

Le ML se base sur la programmation pour reconnaître des motifs dans de nouvelles données, puis classer ces données de manière à « apprendre à la machine à apprendre ».

Autrement dit, l'IA vise à créer des machines intelligentes, tandis que le ML utilise des algorithmes qui permettent aux machines d'apprendre par expérience. Ces technologies se prêtent parfaitement au domaine de la cybersécurité, en particulier car le nombre et la variété des menaces découvertes chaque jour sont trop importants pour que des méthodes basées sur signature ou d'autres mesures manuelles soient suffisantes. L'IA et le ML sont toujours en phase de développement, mais s'avèrent extrêmement prometteurs.

Chez Malwarebytes, nous utilisons déjà une composante de machine learning qui détecte les malwares jamais vus auparavant en circulation, aussi appelés zero-day ou zero-hour. D'autres composantes de notre logiciel se chargent d'effectuer des détections heuristiques, basées sur les comportements, ce qui signifie qu'elles peuvent ne pas reconnaître un fragment de code comme étant malveillant, mais que, dans tous les cas, elles savent déterminer qu'un fichier ou site Web n'agit pas comme il le devrait. Cette technologie basée sur l'IA et le ML est disponible pour nos utilisateurs sous la forme de la protection en temps réel et de l'analyse à la demande.

Pour les professionnels de l'informatique qui doivent sécuriser de nombreux terminaux, l'approche heuristique est particulièrement importante. Il est impossible de prédire quelle sera la prochaine grande menace. L'heuristique joue ainsi un rôle important dans la solution Malwarebytes Endpoint Protection, tout comme l'IA et le ML. Ensemble, ces techniques créent une protection multicouche qui agit à toutes les étapes de la chaîne d'attaque contre les menaces connues et inconnues.

Mieux vaut prévenir que guérir

Ordinateurs de bureau ou portables, tablettes, smartphones…tous nos appareils sont vulnérables face aux malwares. Si le choix nous était donné, qui ne préférerait pas prévenir une infection plutôt que de devoir la gérer après coup ?

Les antivirus traditionnels seuls ne font plus l'affaire, comme l'a montré le flux constant des unes des médias couvrant les affaires de cyberattaques.

Alors, que faire pour se protéger ? Quel type de logiciel de cybersécurité (antivirus ou anti-malware) choisir pour lutter contre des menaces composées de virus anciens et de malwares émergents ?  

Le fait est que les antivirus traditionnels seuls ne font plus l'affaire, comme l'a montré le flux constant des unes des médias couvrant les affaires de cyberattaques. Ils ne sont pas adaptés aux menaces zero-day émergentes, laissent les ransomwares pirater les ordinateurs en toute impunité et ne suppriment pas correctement les malwares. Ce dont nous avons besoin, c'est un programme de cybersécurité avancé, assez flexible et intelligent pour anticiper les menaces de plus en plus complexes d'aujourd'hui.

Malwarebytes for Windows répond à cette exigence de sécurité informatique avancée (tout comme Malwarebytes for Mac, Malwarebytes for Android et les solutions Malwarebytes pour les entreprises). Les produits Malwarebytes assurent une protection contre les malwares, les piratages, les virus, les ransomwares et autres menaces en constante évolution pour garantir une expérience sécurisée en ligne. Notre technologie heuristique avec IA bloque les menaces là où les virus traditionnels n'y parviennent pas.

Les analystes du secteur ont cité le rôle de Malwarebytes for Windows dans le développement d'une approche multicouche, à même de fournir une protection fiable sans nuire aux performances des systèmes. La solution supprime toute trace de malware, bloque les nouvelles menaces et effectue rapidement des analyses.

Quelle que soit la solution de cybersécurité que vous choisissez, la première arme, c'est s'informer. Restez au fait des nouvelles menaces et des méthodes de protection en consultant régulièrement le blog Malwarebytes Labs.

L'essentiel de la cybersécurité

Vous souhaitez rester informé(e) des dernières actualités en matière de cybersécurité ? Inscrivez-vous à notre bulletin d'informations pour découvrir comment protéger votre ordinateur contre les menaces.

Sélectionnez votre langue