MSSENon, ce document ne vous dira pas quel est le meilleur des antivirus (question fréquemment posée sur les forums et qui fait bien rire les habitués –et en met d’autres en colère-) mais se destine à en souligner quelques points importants, juste pour ne pas se tromper et tuer quelques idées reçues.

  • “AV” = AV+AT+AS = AM – Au début étaient les virus qui altéraient des exécutables en ajoutant quelques routines au sein du code augmentant sa taille. La méthode a été rapidement contrée et, de toutes façons, des moyens plus rentables ont été mis au point : les chevaux de Troie, les keyloggers, le spam, les spywares, adwares et que-sais-je-encore. Si dans un premier temps, les différentes catégories étaient traitées par des programmes spécifiques et même des éditeurs différents (ce qui faisait bien l’affaire des chapeaux noirs), les éditeurs ont ensuite intégré les catégories dans des suites assez lourdes et plus ou moins compatibles entre elles (ce qui faisait encore bien rire), les programmes ont finalement bénéficié de nouvelles fonctionnalités. Le nom malware a été créé pour recouvrir tout ce qui est nuisible mais le mot antivirus est plus ou moins resté (les gens de marketing veulent impressionner en les nommant antimalwares). Donc, ne soyez pas trop inquiet si un programme est qualifié d’antivirus mais regardez-en plutôt les fonctionnalités réelles.
  • Analyse comportementale et faux positifs et méfiance – Lorsqu’un nouveau malware était diffusé, il devait être repéré (par ses conséquences), signalé à l’éditeur, analysé, un antidote devait être développé, diffusé, etc. le nuisible avait du temps pour faire quelques dégâts. Il convenait de réduire ce délai et travailler plus en amont (du cycle de vie), d’où des techniques d’analyse heuristique, d’analyse comportementale, de recherche de vulnérabilités, etc. La surveillance étroite de tous les programmes a fait que, pour ne pas laisser des faux négatifs (des nuisibles non détectés), ce sont des faux positifs (des programmes légitimes signalés à tort) qui sont apparus en nombre avec parfois, de jolis ratés qui ont abouti à la mise en quarantaine de programmes nécessaires au fonctionnement du système et donc, au blocage de l’ordinateur (à cela s’est ajouté, dans certains cas, le vidage immédiat de la quarantaine par l’utilisateur) ! Une zone de quarantaine est faite pour assurer une sécurité de manière à ce que les fichiers écartés du système puissent être remis en place ; cette zone est soigneusement isolée du système pour éviter toute interaction - s’il vous plaît, ne videz pas la quarantaine immédiatement mais seulement après avoir validé le bon fonctionnement de votre ordinateur. Soyez maître de votre système, ne laissez pas le programme antivirus décider pour vous (c’est vous qui connaissez votre système, c’est vous le maître, pas un programme qui n’est qu’un conseiller bien auxiliaire) : méfiez-vous, essayez de vérifier et demandez conseil sur les forums en cas de doute.
  • Un seul AV résident – Sans doute avez-vous déjà lu ce conseil quelque part : un seul programme antivirus résident à la fois ! La raison en est que, vu l’analyse de comportement de tous les programmes en mémoire par votre antivirus, on a vu 2 tels programmes se signalant voire se détruisant l’un l’autre car chacun repère un autre programme utilisant des fonctions ayant trait à des zones mémoire spécialisées dénonçant classiquement un comportement viral/antiviral. Résident signifie que le programme reste en permanence en mémoire (actif) pour surveiller ce qu’il se passe sur l’ordinateur.
    Un seul programme actif à la fois donc (sauf si vous êtes conscient des conséquences) mais ceci n’interdit pas de garder sous le coude quelques autres utilitaires précieux pour les lancer à la demande.
  • Freeware – Les éditeurs antivirus proposent souvent des versions gratuites de leurs programmes. Ceci sert leur image, permet de prouver leur efficacité et de convaincre les professionnels d’acquérir une version plus complète. Ces programmes gratuits sont aussi efficaces ; les éditeurs –un exemple est AVAST- ajoutent des fonctions spécifiques aux sociétés (par exemple, travail en réseau) et tablent sur le fait qu’un professionnel ne peut pas prendre un outil gratuit, ne serait-ce qu’en cas de souci, il ne pourrait pas avoir de recours et donc, il ne peut pas mettre toute son activité entre les mains du hasard et de la chance. Si vous optez pour un freeware, choisissez un nom de confiance : Microsoft Security Essentials est tout indiqué !
  • Scan en ligne ou AV sur clé USB – Un tel programme, souvent proposé par les éditeurs des meilleurs AV, présente l’avantage qu’il n’a pas eu à subir les effets d’une infection. Lors des infections les plus sévères, le malware a pu prendre le contrôle total de votre système et, en particulier, démolir vos protections. Un AV en ligne a les dernières définitions et un programme non altéré mais souvenez-vous que l’OS peut ne plus vous montrer la réalité (masquer ce qu’il y a réellement sur votre ordinateur).
  • AV sur un support avec OS externe – Il existe des programmes de nettoyage qui sont sur un support comportant un système complètement indépendant du système infecté. Ceci est précieux puisque le système est alors parfaitement sain et pourra analyser votre disque malade ; il faut alors soigneusement prendre la toute dernière version du programme de nettoyage. L’inconvénient d’un tel système externe est que votre base de registre n’est pas en mémoire, que -sauf si l’AV connaît parfaitement votre système (c’est à dire s’il a été conçu pour ce nettoyage)- il aura des difficultés à tout découvrir et analyser et nettoyer. Cette méthode est généralement utilisée lorsque votre ordinateur ne démarre plus correctement. Le traitement “externe” effectue alors un premier nettoyage et doit être suivi d’un traitement par un AV normal sur le système réel.
    Des alternatives à la description ci-dessus sont le disque malade monté en esclave sur un ordinateur sain (méthode maintenant peu efficace), un “Rescue CD” ou un fonctionnement à partir d’une machine virtuelle (AVAST).
    C’est ce que fait Microsoft Standalone System Sweeper dont a parlé pascals dans son article “Quand l’antivirus ne suffit pas” ; PascalS y parle bien d’un “antivirus offline” et dit bien : “utile pour les cas les plus graves…”

Gérard Mélone, MS-MVP Consumer Security