Les logiciels antivirus : leur qualité et leurs problèmes

Si nous regardons différentes solutions antivirus du point de vue des critères présentés dans la section « Choisir une solution antivirus », nous verrons qu’elles sont très inégales. Malheureusement, une protection antivirus dotée d’un niveau de sécurité adéquat n’est pas toujours ce qui est fourni ou garanti. Les solutions antivirus infaillibles contre toutes les menaces existantes n’existent pas. Le bras de fer entre les éditeurs d’antivirus et les cybercriminels ne cesse de s’intensifier chaque année. Cette situation peut d’ailleurs être décrite comme une crise au sein de l’industrie antivirus qui ne réussit pas à fournir un niveau de sécurité suffisamment fiable aux utilisateurs.

La détection des malwares

Il s’agit de l’aspect le plus important de la qualité de protection. Une solution antivirus doit être capable de détecter le plus grand nombre possible de programmes malveillants existants – c’est ce pour quoi elle a été conçue. Elle doit être capable de détecter les nouvelles versions de virus, de vers ou de chevaux de Troie connus, y compris ceux situés dans les fichiers compressés (des fichiers exécutables modifiés par des utilitaires permettant d’archiver ces derniers), et d’analiser le contenu des archives et des packs d’installation.

Quels sont donc les problèmes que pourraient rencontrer les logiciels antivirus à part l’habituelle compétition entre les produits ? Ça semble plutôt simple : il existe des virus informatiques, nous avons donc besoin d’antivirus pour les combattre. Les antivirus sont depuis longtemps une commodité populaire qui n’est pas très différente des autres produits commercialisés et ils sont vendus grâce à leur conception attrayante, à la publicité qui leur est faite et grâce à bien d’autres raisons non techniques. Les antivirus sont donc devenus une commodité comme une autre, un produit de grande consommation, tout comme le sont les produits d’entretien, les brosses à dents ou les voitures.

Néanmoins, les antivirus sont bien plus qu’une simple commodité et le choix de l’utilisateur se voit affecté par d’autres aspects que le design du produit, son prix ou sa publicité agressive. Le critère de base est celui des performances techniques du produit et plusieurs logiciels antivirus pourraient considérablement différer si nous les évaluions selon ce critère. Les premières questions à se poser sont donc les menaces contre lesquelles un produit spécifique pourra vous protéger et si la protection fournie dispose d’une qualité adéquate.

Un antivirus doit être capable de protéger l’utilisateur contre tous les types de malwares et mieux il fait son travail, plus confortable cela sera pour l’utilisateur et les administrateurs systèmes. Si quelqu’un venait à ignorer ce concept, la réalité le rattraperait vite avec des problèmes pratiques tels que le vol de leurs comptes bancaires, la réalisation d’appels non sollicités vers des numéros inconnus, ou une augmentation dramatique du trafic sortant sans raison particulière.

Étant donné que le logiciel antivirus X détecte 50% de tous les virus actifs sur Internet à un moment donné, que le produit Y en détecte 90% et le produit Z en détecte 99,9%, il est facile de calculer la probabilité que votre ordinateur reste intact après N attaques. Si votre ordinateur est attaqué 10 fois, il y a de grandes chances pour qu’il soit infecté dans le cas X (99,9%), plus que dans le cas Y (65%) et encore plus que dans le cas Z (1% seulement) où il restera certainement protégé.

Malheureusement, tous les antivirus disponibles sur le marché sont bien loin de fournir un niveau de protection se rapprochant des 100%. D’ailleurs, la plupart des produits peinent à fournir un niveau de sécurité s’élevant à 90% ! Il s’agit d’un problème majeur auquel font face les logiciels antivirus de nous jours.

Problème nº1. Le nombre et la diversité des malwares ne cessent d’augmenter chaque année. De nombreux éditeurs d’antivirus ne peuvent pas suivre ce rythme et perdent leur « bras de fer » contre les virus. Les utilisateurs de leurs produits ne sont donc pas complètement protégés contre toutes les menaces informatiques qui existent de nos jours. Malheureusement, tous les produits fabriqués par les compagnies antivirus ne peuvent pas être considérés comme des antivirus.

Des mises à jour régulières

Un antivirus doit être mis à jour régulièrement : les cybercriminels sont plus actifs chaque année et de nouveaux programmes malveillants apparaissent de plus en plus souvent et en plus grand nombre. Les solutions antivirus ne peuvent pas toujours stopper les nouveaux virus et chevaux de Troie en utilisant des méthodes proactives. C’est pourquoi un antivirus doit être capable de réagir rapidement face aux nouveaux malwares.

Il y a 5 ou 10 ans, il était possible de dire que les protections n’avaient pas besoin de protéger contre tous les nouveaux virus et chevaux de Troie car la plupart d’entre eux étaient créés par des adolescents rebelles afin de remonter leur estime d’eux-mêmes ou simplement de satisfaire leur curiosité et ils n’infectaient pas les ordinateurs des utilisateurs. Une protection contre les quelques virus qui réussissaient à infecter les ordinateurs était donc suffisante. Néanmoins, ce n’est désormais plus le cas de nos jours. Selon Kaspersky Lab, 75% des logiciels malveillants sont de nos jours crées par des cybercriminels souterrains afin d’infecter un grand nombre d’ordinateurs et de nouveaux virus et chevaux de Troie apparaissent par centaines chaque jour.

Cela signifie que la probabilité d’être infecté par un malware « criminel » alors que vous naviguez sur le Web est bien plus élevée que zéro et il est très probable que des centaines ou des milliers d’utilisateurs infectés se baladent sur le Web. Si le nouveau malware est un ver, le nombre de victimes pourraient être compté en millions. Internet est un environnement très rapide et les éditeurs d’antivirus doivent constamment créer des mises à jour afin d’éradiquer les nouveaux virus et chevaux de Troie. C’est là que repose le deuxième problème.

Problème nº2. De nos jours, les malwares se répandent très rapidement, forçant les fournisseurs d’antivirus à sortir des mises à jour de protection aussi fréquemment que possible afin de protéger les utilisateurs de toutes les menaces informatiques. Malheureusement, certains éditeurs d’antivirus ne réussissent pas à fournir une protection efficace assez rapidement et les mises à jour de cette dernière arrivent aux utilisateurs bien trop tard.

Supprimer les codes malveillants

Supposons, néanmoins, qu’un virus a tout de même réussi à passer toutes les barrières et à s’infiltrer sur l’ordinateur d’un utilisateur, et que l’antivirus n’a pas réussi à le détecter. Au encore, supposons que l’utilisateur ou l’administrateur systèmes n’a pas téléchargé la dernière mise à jour de la base de données antivirus. Les mises à jour finiront par arriver sur l’ordinateur et le virus sera alors détecté. Néanmoins, il a besoin d’être supprimé du système avec précaution avant que l’utilisateur ne puisse crier victoire. Le mot clé ici est « supprimer avec précision » et c’est là que notre logiciel antivirus fait face à un nouveau problème.

Problème nº3. Supprimer le code malveillant détecté du système infecté. Les virus et les chevaux de Troie prennent souvent des mesures spéciales afin de dissimuler leur présence au sein du système ou de s’intégrer si profond dans le système qu’il sera extrêmement compliqué de le supprimer. Malheureusement, les logiciels antivirus peuvent parfois être incapables de supprimer un code malveillant de manière précise afin que le système fonctionne à nouveau normalement.

Performances vs. protection

Tous les logiciels utilisent des ressources de l’ordinateur et les antivirus ne font pas exception à la règle. Pour protéger votre ordinateur, votre logiciel antivirus doit réaliser certaines activités telles qu’ouvrir des fichiers, lire les données de ces fichiers, décompresser des archives afin de les analyser, etc. Plus l’analyse est exhaustive, plus l’antivirus utilisera des ressources du CPU. Il est possible d’utiliser la métaphore du rideau de fer : plus il est lourd, mieux il protègera et plus il sera difficile de l’ouvrir et de le fermer. Nous faisons donc face à un nouveau problème : comment trouver un équilibre entre la sécurité et les performances de l’ordinateur.

Problème nº4. Utiliser les ressources du CPU de manière appropriée. Il n’existe pas de solution idéale. L’expérience nous montre que les logiciels antivirus les plus rapides ne fournissent pas une protection efficace et ne bloquent pas les malwares. Néanmoins, la solution opposée n’est pas non plus correcte : un antivirus lent ne fournit pas nécessairement une protection adéquate.

Utiliser plusieurs logiciels antivirus

Pour analyser des fichiers en temps réel et protéger un ordinateur, un logiciel antivirus doit pénétrer relativement profondément dans le noyau du système. Techniquement parlant, un antivirus installe des intercepteurs d’événements au fond du système protégé et passe les données interceptées au moteur antivirus afin d’analyser les fichiers, les paquets de réseau et autres données critiques.

Malheureusement, deux solutions antivirus ne valent pas toujours mieux qu’une. Si deux logiciels antivirus fonctionnent sur un même ordinateur, ils essaieront d’installer deux intercepteurs dans la même zone du noyau du système. Cela créera donc des conflits entre les solutions antivirus. L’un des deux logiciels antivirus ne réussira pas à intercepter les événements du système ou essaiera d’installer un intercepteur parallèle ce qui fera crasher tout le système. Il s’agit là du dernier problème avec les protections antivirus.

Problème nº5. Deux logiciels antivirus ne peuvent pas fonctionner simultanément sur un même ordinateur. Dans la plupart des cas, il est techniquement impossible d’installer deux programmes antivirus sur la même machine afin de lui donner une double protection – les deux ne peuvent tout simplement pas fonctionner ensemble.