etude de marche : les antivirus

ETUDE DE MARCHE :
LES ANTIVIRUS
SOMMAIRE
1. PROBLEMATIQUE
2. ETUDE FONCTIONNELLE
2.1.
2.2.
LES FONCTIONNALITES ESSENTIELLES
LES FONCTIONNALITES OPTIONNELLES
3. ETUDE TECHNIQUE
4. ETUDE COMPARATIVE
4.1.
4.2.
4.3.
4.4.
SELECTION DES PRODUIT
COMPARAISON FONCTIONNELLE
COMPARAISON TECHNIQUE
COMPARAISON ECONOMIQUE
5. SYNTHESE
1. PROBLEMATIQUE
Qu’est-ce qu’un antivirus ?
Il s’agit d’un logiciel capable de détecter et de détruire les virus
contenus sur un disque. Le logiciel a pour charge de surveiller la
présence de virus et éventuellement de nettoyer, supprimer ou
mettre en quarantaine le ou les fichiers infectés. Ils surveillent
tous les espaces dans lesquels un virus peut se loger, c'est à dire la
mémoire et les unités de stockage qui peuvent être locales ou
réseau.
Quel serai aujourd’hui le produit le plus
concurrentiel sur le marché des antivirus ?
Tout comme aujourd’hui il ne viendrait plus à l’idée d’un motard
d’enfourcher sa moto sans son casque, l’idée même de surfer sur
le net sans au minimum un antivirus pour se protéger fait frémir
lorsque l’on sait, d’après la SANS Institute (un organisme qui
regroupe des professionnels de la sécurité), qu’un PC non protégé
est quasi certain de se faire infecter en quelques minutes. Dès lors,
la solution semble simple, il suffit d’installer un antivirus ou mieux
une suite de sécurité Internet. Simple avez-vous dit ? Oui en
apparence, car l’offre est particulièrement abondante dans ce
secteur. Résultat, le néophyte a bien du mal à s’y retrouver.
C’est en effet la finalité de cette étude de marché. Le but étant de
rechercher à travers différent critères :
-
Prix
Qualité
Fonctionnalité
Ergonomie
Etc…
Le produit offrant le meilleur rapport entre tous ces critères.
2. ETUDE FONCTIONNELLE
2.1 LES FONCTIONNALITES ESSENTIELLES
L’Antivirus :
- Supprime le virus dans le fichier infecté.
- Supprime le fichier infecté, ce qui peut avoir des conséquences
fâcheuses si par exemple il s'agit de votre boîte aux lettres,
vous perdez les emails qu'elle contient.
- Place le fichier infecté en quarantaine en attendant une version
capable de le désinfecter : il est déplacé dans un conteneur que
l'antivirus est seul à pouvoir ouvrir.
Le scanner de l'antivirus examine (ou scan) votre ordinateur
de manière automatique et également à la demande un fichier, un
dossier ou tous les fichiers de votre disque.
Un scan complet consomme beaucoup de ressources
matérielles et de temps, mais il est conseillé de le faire de temps
en temps.
2.2 LES FONCTIONNALITE OPTIONELLES
Anti-spam :
Un anti spam est un logiciel qui a pour fonction de protéger une
boîte de réception contre les spams. Les spams sont généralement
de la publicité diffusée automatiquement dans les boîtes aux
lettres électroniques. Cet envoi, souvent massif et répété, n'est pas
solicité par le destinataire du message ; de plus le destinataire n'a
bien souvent eu aucun contact au préalable avec l'expéditeur. A
partir de filtres qui vont analyser le titre, le contenu, l'adresse de
l'expéditeur... le logiciel va déterminer si le message à un intérêt
pour le destinataire. Certains logiciels ne bloquent pas totalement
les spams, ils ne font que les déplacer dans un dossier à part. Un
anti spam permet d'éviter les encombrements des boîtes e-mail
par de trop nombreux messages publicitaires. L'utilisation des
boites e-mail en est ainsi plus agréable.
Antispyware :
Utilitaire capable de rechercher et d'éliminer les espiogiciels. Il
s'agit le plus souvent d'un scanner à la demande utilisant une
analyse par signatures pour identifier les espiogiciels connus et
les désinstaller. Un antispyware est utile pour s'assurer qu'aucun
espiogiciel n'est présent sur un ordinateur, ou pour éliminer un
espiogiciel récalcitrant lorsque l'utilisateur ne souhaite plus
utiliser le logiciel associé. Par contre, l'utilisation de certains
antispywares qui permettent de bloquer ou de neutraliser un
spyware tout en continuant à utiliser son logiciel associé est
assimilable à du piratage, les contrats de licence faisant
généralement du spyware une contrepartie obligatoire à
l'utilisation gratuite du logiciel associé.
Antiphishing :
Le phishing, , est une technique utilisée par des fraudeurs pour
obtenir des renseignements personnels dans le but de perpétrer
une usurpation d'identité. La technique consiste à faire croire à la
victime qu'elle s'adresse à un tiers de confiance — banque,
administration, etc. — afin de lui soutirer des renseignements
personnels : mot de passe, numéro de carte de crédit, date de
naissance, etc. C'est une forme d'attaque informatique reposant
sur l'ingénierie sociale. Elle peut se faire par courrier
électronique, par des sites web falsifiés ou autres moyens
électroniques
Cryptage de données :
Chiffrement de données informatiques intervenant dans les
transmissions de données entre deux utilisateurs mis en place afin
d'éviter l'interception de données par des tiers non autorisés.
Protection messagerie :
Filtrage de contenu du courrier électronique basé sur des
politiques prédéfinies, des expressions courantes, des critères liés
aux pièces jointes et l'identification du "true file type".
Blocage URL / web guard :
Tout d’abord, URL veut dire Uniform Resource Locator. En clair, il
s’agit tout simplement d’une adresse web. L'URL permet par
exemple de localiser une page d'information sur un serveur, elles
servent d’une façon générale à identifier des pages et des sites
Internet. Si l’on décide de bloquer l’accès à certains sites ou à
certaines pages on doit alors mettre en place un système de
filtrage d’URL. Certains antivirus permettent un blocage
automatique de certaines URL suspectes.
Par-feu bidirectionnel :
Un pare-feu ou Firewall est un système physique (matériel) ou
logique (logiciel) servant à filtrer les informations venant d’autres
ordinateurs qui sont reliés à Internet.
Votre IP est comme votre numéro de téléphone dans l’annuaire. Il
sert à vous identifier et à vous rendre visible sur le réseau. Un
pare-feu est comme une réceptionniste qui filtre vos appels pour
que vous ne soyez pas dérangés par des importuns. Mieux encore,
si vous ne désirez pas être dérangés chez vous, vous allez
demander que votre numéro de téléphone ne soit pas inscrit dans
l’annuaire, c’est le role du routeur.
On appel pare-feu bi-directionnel le firewall qui filtre le trafic
Internet entrant mais aussi sortant.
Sauvegarde en ligne :
Via un service de cloud computing, toute les données peuvent être
enregistré et sécurisé sur des serveurs appartenant au dit
développeur de logiciel anti-virus
3. ETUDE TECHNIQUE
LES METHODES DE DETECTIONS
Il existe 5 methodes, elles ont chacune leurs particularites et leurs
limites.
A l'exception du monitoring de programme, ces methodes peuvent
etre mise en œuvre « a la demande » de l'utilisateur ou s'activer
automatiquement « sur acces » a un fichier ou une ressource.
Ces modes sont aussi appeles statique et dynamique.
LA RECHERCHE PAR SIGNATURE
C'est l'une des premieres methodes utilisees, elle existe depuis
l’apparition des virus. C'est la technique du « scanner » basee sur
la recherche d'une chaîne de caracteres. Le procede est fiable mais
necessite des mises a jour frequentes. Face aux virus polymorphes
e aux fichiers compresses, il requiert souvent la mise en place
d’algorithme specifique, dont l’efficacite n'est pas toujours
prouvee.
LA RECHERCHE GENERIQUE
La recherche generique peut etre considerer comme une
recherche par signature que l'on qualifiera de « floue ».Pour une
meme famille de virus, il est generalement possible d'isoler des
sequences de code a la structure identique. Elles sont souvent
liees au processus d'infection ou de camouflage (cryptage,
polymorphie).
Un travail d'analyse permet d'isoler ces elements constants. Le
resultat se presente sous la forme d'une ou plusieurs chaîne
hexadecimales accompagnees, ou non, de jokers (tel que « * »).
Celles-ci ne sont pas recherchees a un endroit precis mais au sein
d'un intervalle que le chercheur doit egalement definir. La seule
localisation de ces indices dans une zone adequate du fichier
indiquera la presence du virus. Il pourra alors d'air d'une variante
connue ou encore inconnue.
LE CONTROLE D’INTEGRITE.
Tout comme les methodes precedentes, le controle d’integrite est
un procede capable de fonctionner en mode statique ou
dynamique. Sachant que toute action virale s'accompagne d'une
modification (des fichiers sont modifies, ou d'autres sont crees) la
surveillance debute par l'etablissement d'une « photographie de
reference » (CRC: code de redondance cyclique). Celle-ci s’opere
dans un environnement repute sain. Les donnees sont ensuite
comparees au fil du temps. Si le resultat du CRC a change ou s’il est
absent, une alerte est emise.
Cette methode est en theorie infaillible. Des experiences ont
cependant montre qu'il etait possible d'automatiser la creation de
couples de fichier (avant et apres modification) repondant au
meme CRC.
Le procede a neanmoins ete frequemment utilise dans
l'environnement MS-DOS et son abandon n'a rien a voir avec une
eventuelle fragilite. Celui-ci peut etre durci par renforcement de
l'algorithme. Les raisons de la perte d’interet de la methode sont
multiples.
En premier lieu, la technique suppose que le poste de travail ne
soit pas infecte par l'initialisation de la base de reference ce qui
n'ai pas toujours le cas.
En second lieu, elle ne peut efficacement s'appliquer que sur des
equipements stabilises, exempts de modifications, d'ajouts et de
suppression frequente de logiciels. Si ce n'est pas le cas, seules les
zones systemes et quelques repertoires pourront beneficier de la
protection.
Les ordinateurs sont aujourd'hui interconnectes, leurs utilisateurs
telechargent chaque jour des dizaines de fichiers et installent de
frequentes mises a jour.
Tout cela explique le caractere obsolete de cette methode qui reste
toutefois utilise pour les fichiers systeme non modifies.
LA RECHERCHE HEURISTIQUE.
La recherche heuristique s’apparente a une recherche de
singularites au sein des fichiers analyses. Elle ne s'appuie pas sur
la connaissance particuliere de l'ensemble des variantes d'un
meme virus, mais sur la structure des fichiers analyses et sur la
presence en nombre plus ou moins consequent d'instructions
essentielles a l'ensemble d'une famille virale.
La methode est aujourd’hui fiable malgre quelques fausses alertes
qui continuent parfois d’apparaître. La parade consiste a
reconnaître ces programmes legitimes dont l’execution est
souhaitee ou normale pour eliminer d'office avant, apres ou
pendant l'analyse. Alors que la methode generique semble
suffisante pour la majorite des virus ecrits en langage interprete,
la recherche heuristique est particulierement utile face aux virus
programmes.
LE MONITORING DE PROGRAMMES
Il s'agit ici d'analyse comportementale. Elle repose sur l'analyse
dynamique des operations de lecture et d’ecriture en memoire ou
sur un support physique.
Par le passe cette methode etait parfois directement couplee a
l’antivirus. Son principal defaut etait le declenchement d'alertes
intempestives qu'un utilisateur non averti n'etait pas toujours a
meme d’interpreter.
Aujourd'hui ce procede est mis en œuvre au sein de produits
specifiques a ce mode de detection. La phase d'installation de ces
logiciels dedies debute par un apprentissage et une
reconnaissance des operations legitimes. La detection qui en
resulte depasse largement la sphere antivirale pour s'attacher a
prevenir tout type d'intrusion.
L'ERADICATION
Lorsqu'un virus a réussi à traverser les défenses placées sur son
chemin, l'entreprise contaminée doit avoir à sa disposition des
procédures efficaces pour contenir l'infection et restaurer les
équipements infectés pour rétablir leurs configurations d'origine
sans perte de données.
Face à une infection, et d'un point de vue théorique, un antivirus
doit savoir éliminer tous les virus qu'il rencontre.
Pour obtenir l’éradication l'antivirus doit lancer un processus
automatisé inverse. Le succès s'obtiendra après :





étude du corps viral,
comparaison des fichiers sains et infectés,
localisation des données déplacées et sauvegardées,
marquage des fichiers nouvellement créent,
recherche des modifications annexes induites sur le système.
En l'absence d'infection locale sur des fichiers préexistants,
l'éradication se limite à la destruction du processus en mémoire,
l'effacement des fichiers superflus et la suppression des clés de
lancement automatique.
Le travail se complique lorsque des fichiers sains ont été modifiés
pour accueillir le code viral. Si ces fichiers sont encore
opérationnels une fois infectés, il est bon de répéter que
l'éradication est toujours techniquement possible. Elle est
directement liée à la compétence du chercheur qui doit mettre au
point la parade.
De nombreux virus endommagent des fichiers sans pour autant se
propager correctement. Les collections virales contiennent des
milliers de codes de ce type. Leur exécution entraîne parfois une
erreur système qui stoppe l'infection avant qu'elle n'aboutisse. Le
système rend généralement la main et rien d'anormal ne semble
s’être produit. En anglais, ces virus sont qualifiés d'intented.
Si les premières étapes de l'infection virale ont lieu, les fichiers
atteints sont généralement corrompus et le retour en arrière par
éradication devient impossible
4. ETUDE COMPARATIVE
4.1 SELECTION DES PRODUITS
Pour cette étude comparative, nous avons choisi de sélectionner
les antivirus les plus populaires que l’on trouve sur le marché. On
a pris le parti de ne pas exclure les logiciels gratuits car il propose
tout de même une gamme de fonctionnalités intéressantes.
Nous avons donc sélectionné les produits suivants :
-
Mcaffe
Bit deffender
Kapersky
AVG
Avast
Symantec
4.2 COMPARAISON FONCTIONNELLE
Dans l’optique de proposé une comparaison simple et clair des
différentes fonctionnalités proposés pas les anti-virus
sélectionnés, nous avons créé le tableau ci-dessous.
Nous avons listé dans la première colonne les anti-virus et dans la
première ligne les fonctionnalités, une couleur foncée indiquera
que le produit aura la fonctionnalité associée.
On peut constater que l’antivirus offrant le plus de fonctionnalités
intéressante est Bitdeffender.
4.3 COMPARAISON TECHNIQUE
Le tableau ci-dessous nous montre les pourcentages de détection
de fichiers malfaisants et d’URL.
On constate que l’antivirus Bitdeffender surclasse la concurrence
avec des résultats de détection supérieure à certain antivirus.
4.4 COMPARAISON ECONOMIQUE
Toujours dans l’optique d’offrir une comparaison clair, nous avons
décidé d’opter pour un graphique de comparaison.
Comme on pouvait s’y attendre, le produit le plus couteux est
aussi le plus performant. En effet Bitdeffender, est plus cher que
tous ses concurrents.
SYNTHESE
Le meilleur produit que nous propose actuellement le marché des
antivirus est Bitdefender. En effet celui-ci propose une gamme de
fonctionnalité beaucoup plus exhaustive que ses concurrents
(antispyware, antiphishing, pare-feu bidirectionnel, sauvegarde
de données cryptage de fichier). Son prix reste toutefois
légèrement supérieur à ses homologues, mais celui-ci reste
abordable. Enfin, d’un point de vue plus technique, il est encore
une fois supérieur aux autres antivirus avec 75% d’url malicieuses
bloquées et un scan de 71 % et 96% de détections de fichiers
corrompus respectivement sur 3 et 15 jours.
Références bibliographiques :









http://www.linternaute.com/dictionnaire/fr/definition/homologue/
http://bitdefender.entelechargement.com/antivirus/bitdefender-totalsecurity.html
http://kaspersky.telechargement.fr/acheter-telecharger-anti-virus-pckaspersky-anti-virus-736416.html#block2
http://kaspersky.telechargement.fr/acheter-telecharger-anti-virus-pckaspersky-anti-virus-736416.html#block2
http://www.avast.com/fr-fr/internetsecurity?cha=ppc&sen=google&ste=avast&var=7839796752&omcid=FR_Search_
Brand&gclid=CKeA8_fX3K0CFVGKfAodwwn8oA
http://www.avast.com/fr-fr/internetsecurity?cha=ppc&sen=google&ste=avast&var=7839796752&omcid=FR_Search_
Brand&gclid=CKeA8_fX3K0CFVGKfAodwwn8oA
http://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Accueil_principal
http://www.infos-du-net.com/actualite/dossiers/102-comparatif-antivirus2010.html
www.actuvirus.com