etude de marche : les antivirus
Transcription
etude de marche : les antivirus
ETUDE DE MARCHE : LES ANTIVIRUS SOMMAIRE 1. PROBLEMATIQUE 2. ETUDE FONCTIONNELLE 2.1. 2.2. LES FONCTIONNALITES ESSENTIELLES LES FONCTIONNALITES OPTIONNELLES 3. ETUDE TECHNIQUE 4. ETUDE COMPARATIVE 4.1. 4.2. 4.3. 4.4. SELECTION DES PRODUIT COMPARAISON FONCTIONNELLE COMPARAISON TECHNIQUE COMPARAISON ECONOMIQUE 5. SYNTHESE 1. PROBLEMATIQUE Qu’est-ce qu’un antivirus ? Il s’agit d’un logiciel capable de détecter et de détruire les virus contenus sur un disque. Le logiciel a pour charge de surveiller la présence de virus et éventuellement de nettoyer, supprimer ou mettre en quarantaine le ou les fichiers infectés. Ils surveillent tous les espaces dans lesquels un virus peut se loger, c'est à dire la mémoire et les unités de stockage qui peuvent être locales ou réseau. Quel serai aujourd’hui le produit le plus concurrentiel sur le marché des antivirus ? Tout comme aujourd’hui il ne viendrait plus à l’idée d’un motard d’enfourcher sa moto sans son casque, l’idée même de surfer sur le net sans au minimum un antivirus pour se protéger fait frémir lorsque l’on sait, d’après la SANS Institute (un organisme qui regroupe des professionnels de la sécurité), qu’un PC non protégé est quasi certain de se faire infecter en quelques minutes. Dès lors, la solution semble simple, il suffit d’installer un antivirus ou mieux une suite de sécurité Internet. Simple avez-vous dit ? Oui en apparence, car l’offre est particulièrement abondante dans ce secteur. Résultat, le néophyte a bien du mal à s’y retrouver. C’est en effet la finalité de cette étude de marché. Le but étant de rechercher à travers différent critères : - Prix Qualité Fonctionnalité Ergonomie Etc… Le produit offrant le meilleur rapport entre tous ces critères. 2. ETUDE FONCTIONNELLE 2.1 LES FONCTIONNALITES ESSENTIELLES L’Antivirus : - Supprime le virus dans le fichier infecté. - Supprime le fichier infecté, ce qui peut avoir des conséquences fâcheuses si par exemple il s'agit de votre boîte aux lettres, vous perdez les emails qu'elle contient. - Place le fichier infecté en quarantaine en attendant une version capable de le désinfecter : il est déplacé dans un conteneur que l'antivirus est seul à pouvoir ouvrir. Le scanner de l'antivirus examine (ou scan) votre ordinateur de manière automatique et également à la demande un fichier, un dossier ou tous les fichiers de votre disque. Un scan complet consomme beaucoup de ressources matérielles et de temps, mais il est conseillé de le faire de temps en temps. 2.2 LES FONCTIONNALITE OPTIONELLES Anti-spam : Un anti spam est un logiciel qui a pour fonction de protéger une boîte de réception contre les spams. Les spams sont généralement de la publicité diffusée automatiquement dans les boîtes aux lettres électroniques. Cet envoi, souvent massif et répété, n'est pas solicité par le destinataire du message ; de plus le destinataire n'a bien souvent eu aucun contact au préalable avec l'expéditeur. A partir de filtres qui vont analyser le titre, le contenu, l'adresse de l'expéditeur... le logiciel va déterminer si le message à un intérêt pour le destinataire. Certains logiciels ne bloquent pas totalement les spams, ils ne font que les déplacer dans un dossier à part. Un anti spam permet d'éviter les encombrements des boîtes e-mail par de trop nombreux messages publicitaires. L'utilisation des boites e-mail en est ainsi plus agréable. Antispyware : Utilitaire capable de rechercher et d'éliminer les espiogiciels. Il s'agit le plus souvent d'un scanner à la demande utilisant une analyse par signatures pour identifier les espiogiciels connus et les désinstaller. Un antispyware est utile pour s'assurer qu'aucun espiogiciel n'est présent sur un ordinateur, ou pour éliminer un espiogiciel récalcitrant lorsque l'utilisateur ne souhaite plus utiliser le logiciel associé. Par contre, l'utilisation de certains antispywares qui permettent de bloquer ou de neutraliser un spyware tout en continuant à utiliser son logiciel associé est assimilable à du piratage, les contrats de licence faisant généralement du spyware une contrepartie obligatoire à l'utilisation gratuite du logiciel associé. Antiphishing : Le phishing, , est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques Cryptage de données : Chiffrement de données informatiques intervenant dans les transmissions de données entre deux utilisateurs mis en place afin d'éviter l'interception de données par des tiers non autorisés. Protection messagerie : Filtrage de contenu du courrier électronique basé sur des politiques prédéfinies, des expressions courantes, des critères liés aux pièces jointes et l'identification du "true file type". Blocage URL / web guard : Tout d’abord, URL veut dire Uniform Resource Locator. En clair, il s’agit tout simplement d’une adresse web. L'URL permet par exemple de localiser une page d'information sur un serveur, elles servent d’une façon générale à identifier des pages et des sites Internet. Si l’on décide de bloquer l’accès à certains sites ou à certaines pages on doit alors mettre en place un système de filtrage d’URL. Certains antivirus permettent un blocage automatique de certaines URL suspectes. Par-feu bidirectionnel : Un pare-feu ou Firewall est un système physique (matériel) ou logique (logiciel) servant à filtrer les informations venant d’autres ordinateurs qui sont reliés à Internet. Votre IP est comme votre numéro de téléphone dans l’annuaire. Il sert à vous identifier et à vous rendre visible sur le réseau. Un pare-feu est comme une réceptionniste qui filtre vos appels pour que vous ne soyez pas dérangés par des importuns. Mieux encore, si vous ne désirez pas être dérangés chez vous, vous allez demander que votre numéro de téléphone ne soit pas inscrit dans l’annuaire, c’est le role du routeur. On appel pare-feu bi-directionnel le firewall qui filtre le trafic Internet entrant mais aussi sortant. Sauvegarde en ligne : Via un service de cloud computing, toute les données peuvent être enregistré et sécurisé sur des serveurs appartenant au dit développeur de logiciel anti-virus 3. ETUDE TECHNIQUE LES METHODES DE DETECTIONS Il existe 5 methodes, elles ont chacune leurs particularites et leurs limites. A l'exception du monitoring de programme, ces methodes peuvent etre mise en œuvre « a la demande » de l'utilisateur ou s'activer automatiquement « sur acces » a un fichier ou une ressource. Ces modes sont aussi appeles statique et dynamique. LA RECHERCHE PAR SIGNATURE C'est l'une des premieres methodes utilisees, elle existe depuis l’apparition des virus. C'est la technique du « scanner » basee sur la recherche d'une chaîne de caracteres. Le procede est fiable mais necessite des mises a jour frequentes. Face aux virus polymorphes e aux fichiers compresses, il requiert souvent la mise en place d’algorithme specifique, dont l’efficacite n'est pas toujours prouvee. LA RECHERCHE GENERIQUE La recherche generique peut etre considerer comme une recherche par signature que l'on qualifiera de « floue ».Pour une meme famille de virus, il est generalement possible d'isoler des sequences de code a la structure identique. Elles sont souvent liees au processus d'infection ou de camouflage (cryptage, polymorphie). Un travail d'analyse permet d'isoler ces elements constants. Le resultat se presente sous la forme d'une ou plusieurs chaîne hexadecimales accompagnees, ou non, de jokers (tel que « * »). Celles-ci ne sont pas recherchees a un endroit precis mais au sein d'un intervalle que le chercheur doit egalement definir. La seule localisation de ces indices dans une zone adequate du fichier indiquera la presence du virus. Il pourra alors d'air d'une variante connue ou encore inconnue. LE CONTROLE D’INTEGRITE. Tout comme les methodes precedentes, le controle d’integrite est un procede capable de fonctionner en mode statique ou dynamique. Sachant que toute action virale s'accompagne d'une modification (des fichiers sont modifies, ou d'autres sont crees) la surveillance debute par l'etablissement d'une « photographie de reference » (CRC: code de redondance cyclique). Celle-ci s’opere dans un environnement repute sain. Les donnees sont ensuite comparees au fil du temps. Si le resultat du CRC a change ou s’il est absent, une alerte est emise. Cette methode est en theorie infaillible. Des experiences ont cependant montre qu'il etait possible d'automatiser la creation de couples de fichier (avant et apres modification) repondant au meme CRC. Le procede a neanmoins ete frequemment utilise dans l'environnement MS-DOS et son abandon n'a rien a voir avec une eventuelle fragilite. Celui-ci peut etre durci par renforcement de l'algorithme. Les raisons de la perte d’interet de la methode sont multiples. En premier lieu, la technique suppose que le poste de travail ne soit pas infecte par l'initialisation de la base de reference ce qui n'ai pas toujours le cas. En second lieu, elle ne peut efficacement s'appliquer que sur des equipements stabilises, exempts de modifications, d'ajouts et de suppression frequente de logiciels. Si ce n'est pas le cas, seules les zones systemes et quelques repertoires pourront beneficier de la protection. Les ordinateurs sont aujourd'hui interconnectes, leurs utilisateurs telechargent chaque jour des dizaines de fichiers et installent de frequentes mises a jour. Tout cela explique le caractere obsolete de cette methode qui reste toutefois utilise pour les fichiers systeme non modifies. LA RECHERCHE HEURISTIQUE. La recherche heuristique s’apparente a une recherche de singularites au sein des fichiers analyses. Elle ne s'appuie pas sur la connaissance particuliere de l'ensemble des variantes d'un meme virus, mais sur la structure des fichiers analyses et sur la presence en nombre plus ou moins consequent d'instructions essentielles a l'ensemble d'une famille virale. La methode est aujourd’hui fiable malgre quelques fausses alertes qui continuent parfois d’apparaître. La parade consiste a reconnaître ces programmes legitimes dont l’execution est souhaitee ou normale pour eliminer d'office avant, apres ou pendant l'analyse. Alors que la methode generique semble suffisante pour la majorite des virus ecrits en langage interprete, la recherche heuristique est particulierement utile face aux virus programmes. LE MONITORING DE PROGRAMMES Il s'agit ici d'analyse comportementale. Elle repose sur l'analyse dynamique des operations de lecture et d’ecriture en memoire ou sur un support physique. Par le passe cette methode etait parfois directement couplee a l’antivirus. Son principal defaut etait le declenchement d'alertes intempestives qu'un utilisateur non averti n'etait pas toujours a meme d’interpreter. Aujourd'hui ce procede est mis en œuvre au sein de produits specifiques a ce mode de detection. La phase d'installation de ces logiciels dedies debute par un apprentissage et une reconnaissance des operations legitimes. La detection qui en resulte depasse largement la sphere antivirale pour s'attacher a prevenir tout type d'intrusion. L'ERADICATION Lorsqu'un virus a réussi à traverser les défenses placées sur son chemin, l'entreprise contaminée doit avoir à sa disposition des procédures efficaces pour contenir l'infection et restaurer les équipements infectés pour rétablir leurs configurations d'origine sans perte de données. Face à une infection, et d'un point de vue théorique, un antivirus doit savoir éliminer tous les virus qu'il rencontre. Pour obtenir l’éradication l'antivirus doit lancer un processus automatisé inverse. Le succès s'obtiendra après : étude du corps viral, comparaison des fichiers sains et infectés, localisation des données déplacées et sauvegardées, marquage des fichiers nouvellement créent, recherche des modifications annexes induites sur le système. En l'absence d'infection locale sur des fichiers préexistants, l'éradication se limite à la destruction du processus en mémoire, l'effacement des fichiers superflus et la suppression des clés de lancement automatique. Le travail se complique lorsque des fichiers sains ont été modifiés pour accueillir le code viral. Si ces fichiers sont encore opérationnels une fois infectés, il est bon de répéter que l'éradication est toujours techniquement possible. Elle est directement liée à la compétence du chercheur qui doit mettre au point la parade. De nombreux virus endommagent des fichiers sans pour autant se propager correctement. Les collections virales contiennent des milliers de codes de ce type. Leur exécution entraîne parfois une erreur système qui stoppe l'infection avant qu'elle n'aboutisse. Le système rend généralement la main et rien d'anormal ne semble s’être produit. En anglais, ces virus sont qualifiés d'intented. Si les premières étapes de l'infection virale ont lieu, les fichiers atteints sont généralement corrompus et le retour en arrière par éradication devient impossible 4. ETUDE COMPARATIVE 4.1 SELECTION DES PRODUITS Pour cette étude comparative, nous avons choisi de sélectionner les antivirus les plus populaires que l’on trouve sur le marché. On a pris le parti de ne pas exclure les logiciels gratuits car il propose tout de même une gamme de fonctionnalités intéressantes. Nous avons donc sélectionné les produits suivants : - Mcaffe Bit deffender Kapersky AVG Avast Symantec 4.2 COMPARAISON FONCTIONNELLE Dans l’optique de proposé une comparaison simple et clair des différentes fonctionnalités proposés pas les anti-virus sélectionnés, nous avons créé le tableau ci-dessous. Nous avons listé dans la première colonne les anti-virus et dans la première ligne les fonctionnalités, une couleur foncée indiquera que le produit aura la fonctionnalité associée. On peut constater que l’antivirus offrant le plus de fonctionnalités intéressante est Bitdeffender. 4.3 COMPARAISON TECHNIQUE Le tableau ci-dessous nous montre les pourcentages de détection de fichiers malfaisants et d’URL. On constate que l’antivirus Bitdeffender surclasse la concurrence avec des résultats de détection supérieure à certain antivirus. 4.4 COMPARAISON ECONOMIQUE Toujours dans l’optique d’offrir une comparaison clair, nous avons décidé d’opter pour un graphique de comparaison. Comme on pouvait s’y attendre, le produit le plus couteux est aussi le plus performant. En effet Bitdeffender, est plus cher que tous ses concurrents. SYNTHESE Le meilleur produit que nous propose actuellement le marché des antivirus est Bitdefender. En effet celui-ci propose une gamme de fonctionnalité beaucoup plus exhaustive que ses concurrents (antispyware, antiphishing, pare-feu bidirectionnel, sauvegarde de données cryptage de fichier). Son prix reste toutefois légèrement supérieur à ses homologues, mais celui-ci reste abordable. Enfin, d’un point de vue plus technique, il est encore une fois supérieur aux autres antivirus avec 75% d’url malicieuses bloquées et un scan de 71 % et 96% de détections de fichiers corrompus respectivement sur 3 et 15 jours. Références bibliographiques : http://www.linternaute.com/dictionnaire/fr/definition/homologue/ http://bitdefender.entelechargement.com/antivirus/bitdefender-totalsecurity.html http://kaspersky.telechargement.fr/acheter-telecharger-anti-virus-pckaspersky-anti-virus-736416.html#block2 http://kaspersky.telechargement.fr/acheter-telecharger-anti-virus-pckaspersky-anti-virus-736416.html#block2 http://www.avast.com/fr-fr/internetsecurity?cha=ppc&sen=google&ste=avast&var=7839796752&omcid=FR_Search_ Brand&gclid=CKeA8_fX3K0CFVGKfAodwwn8oA http://www.avast.com/fr-fr/internetsecurity?cha=ppc&sen=google&ste=avast&var=7839796752&omcid=FR_Search_ Brand&gclid=CKeA8_fX3K0CFVGKfAodwwn8oA http://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Accueil_principal http://www.infos-du-net.com/actualite/dossiers/102-comparatif-antivirus2010.html www.actuvirus.com