Les antivirus Flashcards
Un code ou logiciel malveillant
Un code ou logiciel malveillant (malware) est un code développé dans
le but de nuire à un SI.
Les éditeurs d’antivirus, doivent faire face :
- La pertinence
- Les formats de fichiers
- La décompression
- La rapidité de mutation des virus
La pertinence**
Détecter la menace réelle, éviter les faux positifs.
Les formats de fichiers
La multitude des formats de fichiers peut être quelque peu complexe, d’où la difficulté des antivirus à traiter
tous ces formats d’une manière appropriée.
La décompression**
La plupart des vulnérabilités des antivirus sont présentes dans deux composants :
- Décompression d’exécutables
- Décompression de données
Ainsi les antivirus doivent décompresser les exécutables et les données afin de les analyser. Mais ce traitement est complexe, ce qui peut être source de vulnérabilités.
La rapidité de mutation des virus
Les codes malveillants mutent
de manière très rapide, laissant peu de chance aux antivirus de s’adapter.
Les 3 mode de fonctionnement d’un AV **:
- Analyse statique
- Analyse dynamique
- Analyse en cloud
L’Analyse statique **:
- Scan des signatures (Suite continue d’octets qui est commune pour un certain échantillon de code malveillant).
- Heuristique (Est la recherche de codes correspondant à des fonctions virales, ont l’art de la supposition, de l’hypothèse, de l’incertitude…).
- Heuristique Vérification (d’intégrité Analyse la modification des fichiers et codes exécutables critiques d’un SI, Est que ça va modifier mon SI ?).
Erreurs possibles **
- Faux positif
- Faux négatif
L’Analyse dynamique: **
Exécuter le fichier dans un environnement contrôlé par l’antivirus afin de détecter un comportement malicieux.
Attaque : rallonge le code pour que l’AV n’est pas le temps de l’analyser.
L’Analyse en cloud: **
Soumet un échantillon de fichiers aux serveurs de l’éditeur qui statue sur ce fichier.
Avantage du cloud:
- Mise à jour en temps réel.
- Allège le client antivirus.
- File Réputation (taux d’utilisation).
- Machine Learning (Auto-apprentissage, IA)
Inconvénient du cloud:
- Besoin d’une connexion Internet
- Confidentialité des données
les 2 techniques de virus :**
- Passives
- Active
Techniques passives :**
- Furtivité
- Polymorphisme
- Blindag
Furtivité
- Installation de rootkit pour dissimuler l’activité·
- fileless.
Polymorphisme
- Modification du code par recopie de tout élément fixe pouvant être exploité pour identifier le virus.
Blindag
Retarder le plus possible son analyse :
* Obfuscation
* Chiffrement
Techniques active :
Attaque des logiciels antivirus
◦ neutralisation de l’antivirus.
◦ contournement de l’antivirus.
◦ exploitation du moteur d’analyse.
◦ exploitation des modules de décompression.
DARMA**
Défense Antivirale et Résilience contre les codes MAlveillants
DARMA
PSSIA
RSO 02 Politique antivirale :
La stratégie de défense, repose sur l’usage de 3 antivirus
différents déployés pour qu’un fichier, hors situation de mobilité, soit vérifié
par au moins 2 antivirus différents s’il doit transiter sur deux réseaux
différents.
Maj ANTIVIRUS (récupérer les mise à jours avent l’OPEX)
http://decos-ln.intradef.gouv.fr/maj_antivirus/
INTRADEF DARMA
https://portail-ct-mvl.intradef.gofuv.r/sites/DCDIRISISDSSIDARMA/SitePages/Accueil.aspx