Rapport : Antivirus et Faux-Positifs

Rapport : Antivirus et Faux-Positifs
TILSAGHANI Mohamed
KITH Robert
Mai 2015
1
2
Introduction
Antivirus
Un Antivirus est tout simplement
un programme qui va permettre à un
utilisateur de détecter un intrusion de
virus, et ayant pour but, dans la limite du possible, de les supprimer du
système, voire même de réparer les
dégâts. On peut distinguer deux catégories d’antivirus. Les scanners, exécutés à la demande (On-Demand Scanners), et les moniteurs, toujours actifs
à l’arrière-plan (On-Access Scanners).
Dans les années 1980, le monde a découvert avec inquiétude la menace des
virus informatiques, qui sont en réalité des programmes développés dans
l’intention de nuire et qui se propagent
pendant les échanges de données. Certains virus sont simplement agaçants
mais il existe également des virus qui
peuvent endommager le système et effacer tout ou une partie des données
stockées. Par exemple, le virus “MichaelAngelo”, l’un des virus les plus
marquants de l’histoire de l’informatique, a touché des milliers de postes
à travers le monde alors qu’Internet
n’était presque pas utilisé à l’époque.
Depuis, des tout nouveaux logiciels ont
été développés pour permettre de se
défendre face à ces menaces informatiques : les antivirus.
2.1
2.1.1
La détection de virus :
Détection par signature :
C’est la méthode la plus ancienne. Il
faut savoir que chaque Virus a une signature unique, en tout cas pour les
Monomorphes ! L’Antivirus interroge
régulièrement sa base de données de
référence pour vérifier si les fichiers
analysés sont bien sans danger. Ainsi,
une mise à jour régulière est indispensable pour garantir une protection optimale vis-à-vis des nouvelles menaces.
Par contre, cette méthode s’avère inefficace face aux virus Polymorphes qui
changent justement de signature lorsqu’ils se copient, on les appelle les Polymorphes.
La révolution d’Internet a facilité le
travail des développeurs de virus puisqu’à travers la toile, un seul virus peut
infecter des millions d’autres machines
dans le monde. C’est pourquoi la première précaution à prendre pour surfer
sur Internet est de se procurer un logiciel antivirus, indispensable devant le
nombre de virus existants (plus de 60
000)
1
2.1.2
3
Détection par analyse de
comportement :
Les faux-positifs
Un "faux positif" est, en ce qui
Ce type de détection vérifie si les fi- concerne la sécurité informatique, la
chiers ont été modifiés depuis leur ins- qualification erronée de "parasite"
tallation, cela englobe :
d’un objet légitime par un outil de protection (antivirus, anti-trojans, anti La date de création ;
spywares, anti-spam ...).
la taille.
Néanmoins, les virus les plus récents
Intuitivement, et d’après la partie II,
ne modifient pas les dates d’accès des le signal de fausse alarme peut émafichiers, ou les rétablissent après avoir ner de plusieurs causes correspondant
les avoir infectés.
au fonctionnement de chaque antivirus, et ainsi, on aura des sensibilités
2.1.3 Détection par contrôle différentes pour chacun. (cf.partie IV).
d’intégrité :
Dans cette partie, on va faire l’invenDans la majorité des antivirus ac- taire des différentes causes permettant
tuels on trouve des contôlleurs d’inté- de classer un fichier comme un fauxgrité qui s’assurent si les fichiers de la positif.
machine n’ont pas été modifiés. Pour
ce faire un Checksum est calculé et sto- 3.1 Faux positif par signacké dans une base de données propre à
ture
l’antivirus.Dès lors, si une de ces caracLe hasard peut faire qu’un fichier intéristiques change pour un exécutable,
offensif
contienne une séquence de caelle facilement décelable.
ractères qui correspond à la signature
d’un objet dangereux, c’est une colli2.1.4 Détection par analyse heusion interne dans la base de données
ristique :
locale de l’antivirus, l’utilisateur doit
Cette analyse à la spécificité de dé- donc signaler cela à l’équipe de dévecouvrir des virus inconnus, dont la loppement. Même si ce type de fauxsignature n’est toujours pas connue positif reste rare, il est tout de même
ou bien qui change constamment. gênant pour un utilisateur lambda.
Contrairement à la méthode de détection par signature, celle-ci est dy- 3.2 Faux positif par comnamique, en d’autres mots, l’antiviportement
rus cherche des instructions bien précises, par exemple des instructions viIl existe plusieurs niveaux de prosant à modifier des fichiers, ou l’accès tection au sein d’un software de proà des appels système, ou à des inter- tection pour détecter toutes les préruptions... Ainsi, on obtient une pro- sences d’objets néfastes. On citera par
tection plus intelligent, mais le point exemple l’une de ces technologies, qui
négatif réside dans le fait que ce der- consiste à exécuter le fichier en quesnier va par la suite produire plus de tion dans une machine virtuelle (sandfausses alarmes, ce qui reste un aspect box), dans le but d’estimer les éventrès gênant pour un utilisateur.
tuels dégâts provoqués par ce dernier
2
en observant son comportement. Ainsi, suffit de supprimer la machine et la rédans un environnemt extrême, l’outil installer.
aura une sensibilité assez élever pour
signaler la malveillance de ce fichier
Après avoir compris le fonctionnealors qu’il est bien sans danger.
ment des anti-virus, on va s’intéresser
maintenant à la génération de fauxpositifs par signature. Pour ce faire,
3.3 Faux positifs crapuleux nous avons pris ClamAV , car c’est un
Le marché des outils de sécurité est logiciel qui utilise une base de données
énorme et tente les crapules du Net. De virale avec la signature de tous les fivéritables gangs maffieux développent chiers suspects d’être dangereux.
des milliers de sites Internet bien référencés dans les moteurs de recherches
ClamAv est constitué de plusieurs
(par des techniques de spamdexing et modules, mais on ne va porter notre
de cybersquatting) ou vous conduisent attention que sur sigtool, qui permet
sur ces sites par des spam (courriels de générer la signature d’un fichier.
non sollicités). Vous tomberez, un jour
ou l’autre, sur l’un de ces sites piégés
La manipulation consiste à générer
qui tentera, par des manœuvres d’ingé- une signature d’un fichier sain. Pour ce
nierie sociale, de vous faire croire que faire, sigtool permet de générer pour
votre machine est infectée par des pa- un exécutable sa signature MD5 (sur
rasites. Un outil de sécurité crapuleux un terminal Windows : sigtool nomvous annoncera toute une liste de "faux Fichier.exe –md5»nomFichier.mdb).
positifs" pour vous inciter à acheter Il suffira par la suite de copier-coller
leur logiciel. Voir la liste de ces logiciels le ficier nomFichier.mdb dans le réde sécurité crapuleux dans la Crap- pértoire de la base virale de clamAV
thèque.
(C :Users\mohamedtilsaghani\AppData
3.4
\Roaming\.clamwin\db). En analysant l’exécutable en question, ClamAV
déclare qu’il s’agit d’un fichier infecté.
Contribution :Génération de faux-positifs
avec l’outil sigtool de
De plus, il est également possible
ClamAV
de détecter un fichier infecté en analy-
sant un fragment hexadécimal contenu
dans le corps du fichier. On peut alors
créer une signature basée sur des lignes
de code, des phrases... On peut par
exemple choisir que la détection d’un
fichier malicieux se base sur la phrase
"Je suis un méchant virus !" écrit dans
un fichier .txt. En analysant un fichier
.txt contenant clairement la phrase "Je
suis un méchant virus !", on remarque
que clamAV détecte ce fichier comme
étant un fichier malicieux. L’idée reste
ClamAV est un antivirus opensource dont les virus ciblés sont très
majoritairement des virus s’attaquant
au système d’exploitation Microsoft
Windows.
Pour cette manipulation, on a choisi
d’installer une machine virtuelle, de la
sorte les fichiers du système d’origine
ne seront pas infectés par une éventuelle intrusion virale. Dans ce cas, il
3
entièrement la même, il suffit de choisir les bonnes options de la commande
sigtool : Dans un terminal Windows :
> echo "le string qui va declancher l’antivirus"|sigtool –hex-dump
>On obtient le hash correspondant
>echo test :0 :* :hash obtenu précedemnt»test.hdb
4
Cependant, pour évaluer la qualité
de détection d’un antivirus, il faut
aussi prendre en compte les fauxpositifs. Les faux-positifs peuvent parfois causer autant de problème qu’un
virus. C’est pourquoi le taux de détection de faux-positifs doit également est
pris en compte lors du choix d’un antivirus. Ces tests ont été réalisés sur
des fichiers “clean” et on peut voir que
certains antivirus considèrent quand
même des fichiers comme des menaces.
Comparaison des antivirus
Microsoft : 0
Différents antivirus ont été comparés
et testés sur Windows 7 SP1 64-bits.
La qualité d’un antivirus se reconnaît
évidemment avec un bon taux de détection, qui est sûrement l’un des arguments les plus importants et déterminants lors du choix d’un antivirus,
cependant certains antivirus peuvent
bloquer directement un malware en
cours d’exécution alors que d’autres
échouent. Taux de détection des différents antivirus testés :
ESET, Trend Micro : 1
Panda : 3
Fortinet : 6
Sophos, TEncent : 8
Bitdefender, Kaspersky Lab : 9
5
Conclusion
On s’est focalisé tout au long de
cette recherche sur le fonctionnement
des antivirus. et on a constater que
F-Secure : 99.9%
comprendre ce qui génère une fausse
Bitdefender, BullGuard, eScan, alerte permet d’améliorer l’efficacité
Lavasoft, McAfee, Qihoo, Quick d’un software de protection. D’autre
part, le monde "des vrais virus" est
Heal : 99.7%
encore plus fascinant, car il existe touEmsisoft, Fortinet : 99.6%
jours des moyen de détourner les patterns d’un antivirus.
Avast : 99.4%
AVIRA, Kaspersky Lab : 99.9%
ThreatTrack Vipre : 98.9%
Si, aujourd’hui, Windows est le système d’exploitation majoritairement
touché, il est à craindre qu’avec l’explosion de Linux, et son arrivée imminente
dans un plus grand nombre de foyers,
fasse augmenter les attaques tournées
vers ce système. Surtout si des utilisateurs moins expérimentés viennent
à l’utiliser. Il a cependant une bonne
ESET, Baidu : 98.6%
Sophos, AVG : 98.1%
Tencent, Panda : 98.4%
Trend Micro : 95.1%
Microsoft : 86.3%
4
marge d’avance, puisque le nombre de soire par rapport à ceux pour l’OS de
virus en activité sous Linux est déri- Microsoft.
Références
[1] http ://assiste.com.free.fr/p/virus/virusf auxpositif s.html.F auxpositif s −
f aussesalertes − f aussesalarmes.
[2] http ://blog.clamav.net/2011/02/how-to-create-custom-signatures for.html.
How to create custom signatures for immunet 3.0, powered by clamav, 2015.
[3] http ://igm.univ-mlv.fr/ duris/NTREZO/20032004/Charpentier MontignyRousseau-VirusAntivirus.pdf. Etienne DURIS nouvelles technologies réseaux
- cours université de marne-la-vallée, 2004.
[4] http ://www.fsl.cs.sunysb.edu/docs/avfs security04/. Yevgeniy Miretskiy, Abhijith Das, Charles P. Wright, and Erez Zadok avfs : An on-access anti-virus file
system, 2005.
[3] [4] [1] [2]
5