Qu’est-ce qu’un moteur de détection de logiciels malveillants ?

Un moteur de détection de logiciels malveillants est la partie de votre logiciel antivirus qui identifie réellement les programmes malveillants.

Les premiers virus étaient des expériences créées par des chercheurs et des amateurs, dont certains ont également créé des programmes antivirus ciblés conçus pour rechercher un virus spécifique et le supprimer s’il est trouvé.

Les premiers outils de détection de virus à large spectre apparus en 1987 (respectivement fabriqués par G Data, John McAfee et les fondateurs de Set) recherchaient des chaînes de code uniques associées à des virus particuliers. Ils tenteraient également d' »immuniser » un ordinateur en modifiant des fichiers spécifiques pour donner aux virus l’impression que le système était déjà infecté.

Le nombre de virus a rapidement augmenté en complexité, beaucoup introduisant des contre-mesures conçues pour désactiver les outils antivirus. Le moteur de détection de logiciels malveillants a commencé à rechercher les fichiers cryptographiques signatures de hachage au lieu de chaînes de code spécifiques.

Si chaque fichier binaire a un hachage unique, il est possible de repérer un fichier malveillant, quel que soit son nom, tant qu’il contient les mêmes données que celles que vous avez utilisées pour créer le hachage. En pratique, en particulier avec les algorithmes de hachage plus anciens, vous pouvez obtenir le même hachage à partir de deux fichiers entièrement différents par pure coïncidence, ce qui conduit à ce que des fichiers soient identifiés à tort comme des virus – nous appelons cela un « faux positif ».

Des virus polymorphes conçus pour faire muter leur code lorsqu’ils se sont copiés, tout en conservant leur charge utile malveillante, sont apparus pour contrer cela. Les moteurs de détection ont ajouté des capacités d’«analyse heuristique» qui, plutôt qu’une signature de fichier globale, décompilent les fichiers binaires et recherchent le code connu des logiciels malveillants existants et les comportements malveillants connus, ce qui ressemble davantage à la détection de nouvelles variantes de logiciels malveillants.

La « protection en temps réel », plutôt que l’analyse à la demande, est devenue la norme, avec des outils antivirus sur Windows, en particulier, conçus pour analyser automatiquement les nouveaux fichiers, les installations, le stockage connecté, etc. Comme la plupart des PC sont désormais connectés en permanence à Internet, la détection des logiciels malveillants en temps réel est devenue beaucoup plus importante.

Les programmes antivirus renvoient chez eux des fichiers potentiellement malveillants pour une analyse plus approfondie, contribuant ainsi à l’exactitude des bases de données fournies à leurs utilisateurs – plus il y a d’utilisateurs, plus il y a d’échantillons. C’est l’une des raisons de l’amélioration spectaculaire de la précision de Microsoft Defender à l’ère de Windows 10.

« L’antivirus cloud » est en train d’émerger grâce à la prévalence des connexions Internet à haut débit et de la puissance massive des serveurs en ligne. L’analyse des logiciels malveillants est effectuée à distance, ce qui réduit la charge sur les appareils individuels, bien que vous trouviez quelques définitions différentes de ce qui constitue exactement un « antivirus cloud », selon qui essaie de vous vendre quoi.

À l’heure actuelle, le véritable cloud AV, avec une analyse en temps réel des fichiers suspects effectuée à distance, est le plus souvent une caractéristique de la protection commerciale des terminaux pour les entreprises, mais Virus Total, propriété de Google, fournit une analyse à la demande basée sur le cloud via de nombreux différents moteurs de détection, disponibles à la fois dans ses site Internet et ses plug-ins de navigateur, conçus pour compléter la configuration antivirus habituelle de votre ordinateur.