Comment fonctionne un antivirus ?

Un antivirus, on en a presque tous un et on a tous plus ou moins conscience que c’est utile pour la sécurité de notre ordinateur. Très bien, mais sait-on vraiment comment cela fonctionne ? C’est bien ce que je me disais ! Un petit éclaircissement s’imposait donc.

Le principe de base

Un antivirus est un logiciel ayant pour rôle de détecter, de neutraliser puis, si possible, de supprimer les virus présents dans votre ordinateur.

Un antivirus ne sert donc pas uniquement à analyser les fichiers du système car si l’un de ceux-ci se retrouve infecté, c’est que l’antivirus aura failli à sa première tâche en amont. En effet, le fonctionnement d’un antivirus implique une prévention de la cyberattaque à partir d’une détection de son comportement ; l’essentiel est bien là. Pour ce faire, un antivirus a recours à plusieurs techniques sur lesquelles nous allons rapidement nous pencher.

Détecter la signature

Parfois également nommée « scan », cette méthode consiste à analyser le disque dur à la recherche d’une signature de virus enregistrée dans la base de données de l’antivirus. En effet, grâce à ses nombreuses mises à jour (d’où l’impérieuse nécessité de les effectuer !) un antivirus établit une base de données des signatures de virus les plus répandus du moment, ainsi, le logiciel est facilement à même d’en reconnaître un lorsque celui-ci pointe le bout de son nez !

Contrôler l’intégrité

Le logiciel veille ici à contrôler que vos fichiers n’ont pas été modifiés ou altérés dernièrement, en observant différents critères, dont :

  • La taille
  • La date et heure de dernière modification
  • La somme de contrôle (CRC : code de redondance cyclique) éventuelle.

Lorsque votre antivirus effectue ce type de contrôle, il vérifie que ces paramètres n’ont pas été modifiés et vous informe en cas de détection d’une anomalie.

Effectuer une analyse heuristique

Cette méthode peut être considérée comme la plus puissante de l’antivirus car elle lui permet de détecter d’éventuels virus inconnus de sa base de données. La présence d’un éventuel malware se détecte ici en analysant le code d’un programme inconnu et en simulant son fonctionnement (seul bémol, cette méthode a tendance à susciter quelques fausses alertes !)

Après la détection

Lorsque votre antivirus a détecté un virus, trois cas de figure se présentent alors à vous :

  • L’antivirus se montre capable de réparer le fichier atteint (c’est loin d’être toujours le cas !)
  • L’antivirus n’est pas capable de supprimer le fichier, vous pouvez alors tenter de le faire manuellement.
  • L’antivirus place le fichier dans un dossier sûr du disque dur, « en quarantaine ». Si, plus tard, votre antivirus se montre capable de réparer le fichier, vous pourrez alors tenter d’extraire le fichier du dossier et le réparer