VIRUS INFORMATIQUE

Les antivirus

Les logiciels antivirus sont des logiciels résidents en mémoire, exécutés dès l'initialisation du système. Ils visent à transformer un système non immunisé en un système de confiance qui est capable de détecter les virus, mettre en quarantaine les fichiers suspects et enfin désinfecter les fichiers contaminés ou les détruire pour les plus virulents. Les antivirus sont mis à jour quotidiennement, au moyen d'Internet, selon des procédures extrêmement sophistiquées propres à chaque fournisseur d'antivirus.

Les antivirus ont la difficile tâche de garantir le bon fonctionnement des applications et de ne pas pénaliser l'utilisateur, en le faisant patienter à chaque fois qu'une action potentiellement dangereuse est effectuée par celui-ci. De nombreux algorithmes sont mis en œuvre dans ce but : la reconnaissance de signature de virus (suite caractéristique d'octets), la surveillance des commandes sensibles touchant aux fichiers du système d'exploitation (droits d'exécution, accès en lecture et écriture aux ressources matérielles, au réseau, l'analyse probabiliste ou heuristique des instructions suspectes d'une application).

La recherche de signature est la technique la plus utilisée par les antivirus. Elle permet d'identifier un virus avant que l'application contaminée soit chargée en mémoire. Le disque dur est parcouru par le logiciel antivirus à la recherche de toute suite d'octets référencée comme appartenant à un virus. Cette recherche n'est intéressante que si la base de données des signatures est mise à jour quotidiennement.

Comme la taille en octets des applications n'est pas censée varier, les logiciels antivirus gèrent des bases de données contenant la taille d'une application, ses paramètres nominaux de fonctionnement et sa date de création. Les modifications d'écriture dans une application sont très anormales et un antivirus préviendra toujours l'utilisateur lors d'une telle modification.

Une méthode encore plus efficace pour détecter la présence d'un virus (spécialement si celui-ci est polymorphe ou métamorphe) consiste à suivre attentivement les instructions des programmes exécutés par le processeur et à calculer en permanence les fréquences d'apparition de séquences d'instructions privilégiées (instructions qui permettent d'accéder à n'importe quelle partie du système) dont l'exécution a des conséquences importantes sur l'intégrité du système d'exploitation. Dans un système sain, ces fréquences restent basses alors que dans un système infecté elles peuvent être anormalement hautes. Quand il s'agit d'écrire dans le secteur d'initialisation du disque principal du système, un antivirus prend le temps d'examiner très scrupuleusement qui demande cette opération et dans quelles conditions.

La suppression d'un virus demande aussi au logiciel antivirus une précision de chirurgien. Recouvrer un programme dans son état sain initial est chose quasi impossible, surtout dans le cas des virus de recouvrement qui altèrent les logiciels en remplaçant les instructions initiales par les leurs. Le contenu original est irrémédiablement perdu et le fichier purement et simplement détruit. Pour des virus moins virulents, une récupération partielle des fichiers peut être effectuée, mais cette opération demande de connaître le mode opératoire du virus avec précision, de savoir où le chercher et comment l'extraire des données valides. Pour cela, les logiciels antivirus doivent maintenir à jour une base de données de tous les virus connus. Comme de nouveaux virus apparaissent tous les jours, cette mise à jour est délicate et doit être effectuée le plus souvent possible. Les logiciels antivirus l'effectuent sur demande de l'utilisateur ou de manière automatisée lorsqu'une période d'inactivité a été détectée[...]