Definition

Anti-Malware

Qu'est-ce qu'un antimalware (anti-logiciels malveillants) ?

Un antimalware est un type de logiciel créé pour protéger les systèmes d'information (SI) et les ordinateurs individuels contre les logiciels malveillants. Les programmes antimalware analysent le système informatique pour prévenir, détecter et supprimer les logiciels malveillants.

Qu'est-ce qu'un logiciel malveillant ?

Malware est le termes anglais utilisé pour logiciel malveillant, c'est-à-dire un programme spécifiquement développé pour endommager des données ou un système informatique. Il s'agit d'un terme général désignant les logiciels utilisés pour perturber le fonctionnement d'un ordinateur, recueillir des informations sensibles ou accéder à des systèmes informatiques privés. Les logiciels malveillants se présentent généralement sous la forme d'un code mal intentionné caché dans les systèmes informatiques et sont souvent installés à l'insu ou sans le consentement du propriétaire de l'ordinateur. Les logiciels malveillants se propagent par courrier électronique, par les systèmes d'exploitation (OS), par les supports amovibles ou par l'internet. Les virus, les logiciels espions, les vers, les rootkits et les chevaux de Troie sont des exemples courants de Malware.

Les trois types de logiciels malveillants les plus courants mentionnés ci-dessus sont les virus, les vers et les chevaux de Troie. Un virus est un logiciel qui se duplique et se propage d'un ordinateur à l'autre. Un ver est similaire à un virus, sauf qu'il n'a pas besoin d'infecter d'autres programmes sur un ordinateur pour se propager. Un ver peut se propager de lui-même. Un cheval de Troie est un programme qui semble souvent être quelque chose de bénin, comme un jeu ou un économiseur d'écran, mais qui contient en réalité un code qui endommage l'ordinateur ou permet à l'auteur d'accéder aux données de l'utilisateur.

Comment fonctionne un logiciel anti-malware

Les logiciels antimalware utilisent trois stratégies pour protéger les systèmes contre les logiciels malveillants : la détection basée sur les signatures, la détection basée sur le comportement et le sandboxing.

1. Détection des logiciels malveillants basée sur la signature

La détection de malware basée sur les signatures utilise un ensemble de composants logiciels connus et leurs signatures numériques pour identifier les nouveaux logiciels malveillants. Les éditeurs de logiciels développent des signatures pour détecter des logiciels malveillants spécifiques. Les signatures sont utilisées pour identifier les logiciels malveillants du même type précédemment identifiés et pour signaler le nouveau logiciel comme étant un logiciel malveillant. Cette approche est utile pour les types courants de logiciels malveillants, tels que les enregistreurs de frappe et les logiciels publicitaires, qui partagent de nombreuses caractéristiques facilement identifiables.

2. Détection des logiciels malveillants basée sur le comportement

La détection de logiciels malveillants basée sur le comportement permet aux professionnels de la sécurité informatique d'identifier, de bloquer et d'éradiquer plus rapidement les logiciels malveillants en utilisant une approche active de l'analyse de malware. Ce type de détection permet d'identifier les logiciels malveillants en examinant leur comportement plutôt que leur apparence. La détection basée sur le comportement est conçue pour remplacer la détection basée sur les signatures. Elle s'appuie parfois sur des algorithmes d'apprentissage automatique.

3. Bac à sable

Le sandboxing est une fonction de sécurité qui peut être utilisée dans un logiciel anti-malware pour isoler les fichiers potentiellement malveillants du reste du système. Le bac à sable est souvent utilisé comme méthode pour filtrer les fichiers suspects et les supprimer avant qu'ils n'aient eu le temps de faire des dégâts.

Par exemple, lors de l'ouverture d'un fichier provenant d'une pièce jointe inconnue, le bac à sable exécute le fichier dans un environnement virtuel et ne lui donne accès qu'à un ensemble limité de ressources, telles qu'un dossier temporaire, l'Internet et un clavier virtuel. Si le fichier tente d'accéder à d'autres programmes ou paramètres, il est bloqué et le bac à sable peut y mettre fin.

Utilisations de l'antimalware

La valeur des applications antimalware est reconnue au-delà de la simple recherche de virus dans les fichiers. Les logiciels antimalware peuvent contribuer à prévenir les attaques de logiciels malveillants en analysant toutes les données entrantes afin d'empêcher l'installation de logiciels malveillants et l'infection d'un ordinateur. Les programmes antimalwares peuvent également détecter des formes avancées de logiciels malveillants et offrir une protection contre les attaques de ransomwares.

Les programmes antimalware peuvent vous aider de la manière suivante :

  • empêcher les utilisateurs de visiter des sites web connus pour contenir des logiciels malveillants ;
  • empêcher les logiciels malveillants de se propager aux autres ordinateurs d'un système informatique ;
  • fournir des informations sur le nombre d'infections et le temps nécessaire à leur élimination ; et
  • fournir des informations sur la manière dont le logiciel malveillant a compromis l'appareil ou le réseau.

Ces logiciels sont utiles pour garder un ordinateur exempt de logiciels malveillants, et l'exécution régulière d'un programme anti-malware peut aider à maintenir un ordinateur personnel (PC) en bon état de fonctionnement et en toute sécurité. Le meilleur type d'anti-malware capture la plupart des menaces et nécessite le moins de mises à jour possible, ce qui signifie qu'il peut fonctionner en arrière-plan sans ralentir l'ordinateur. Il existe de nombreux logiciels gratuits qui peuvent protéger un ordinateur contre les infections par des programmes malveillants.

Différences entre antimalware et antivirus

Si les termes "logiciel malveillant" et "virus" sont souvent utilisés de manière interchangeable, historiquement, ils ne désignent pas toujours la même chose. Un virus est un type de logiciel malveillant, mais toutes les formes de logiciels malveillants ne sont pas des virus. Les virus sont certes les malware les plus courants ; il s'agit d'un type de code malveillant utilisé pour accéder à un ordinateur ou à un réseau de données afin de causer des dommages. Les virus étaient considérés comme des menaces plus anciennes et plus connues, telles que les chevaux de Troie, les virus, les enregistreurs de frappe et les vers. Un virus est un programme capable de se reproduire, tandis qu'un logiciel malveillant est un programme qui tente d'atteindre un objectif donné, mais qui ne se reproduit pas nécessairement. Les malware sont devenus un terme utilisé pour décrire des menaces plus récentes et de plus en plus dangereuses diffusées par des publicités malveillantes (malvertising) et des exploits de type "zero-day".

Types de logiciels malveillants
Les logiciels malveillants englobent de nombreux types de menaces pour la sécurité, y compris les virus.

De même, les termes "antivirus" et "antimalware" sont souvent utilisés de manière interchangeable, alors qu'ils désignaient initialement des types différents de logiciels de sécurité. Bien qu'ils aient tous deux été conçus pour lutter contre les virus, ils ont à l'origine évolué sur des approches différentes et ciblé des menaces variées. Aujourd'hui, les logiciels antimalware et antivirus remplissent cependant des fonctions identiques ou similaires.

Qu'est-ce qu'un exécutable de service antimalware (AMSE) ?

AMSE est un service fonctionnant en arrière-plan, utilisé pour assurer la protection contre les logiciels malveillants et les logiciels espions sur les ordinateurs équipés de Microsoft Defender Antivirus. Également connu sous le nom de Windows Defender, le logiciel sert de niveau de protection par défaut pour les ordinateurs utilisant des systèmes d'exploitation Microsoft. L'AMSE vérifie chaque programme qui s'exécute sur un ordinateur et envoie un rapport à l'administrateur pour identifier les programmes susceptibles de contenir des logiciels malveillants.

Les fichiers AMSE sont les fichiers utilisés pour exécuter les tâches d'un service antimalware. Il existe deux types de fichiers AMSE : ceux qui agissent en tant qu'hôtes, qui sont utilisés pour permettre aux logiciels malveillants de s'exécuter sur l'ordinateur afin qu'ils puissent être analysés, et ceux qui sont utilisés pour empêcher les malware d'infecter l'ordinateur. Le processus AMSE est normalement lancé par le programme antimalware au démarrage de l'ordinateur. Il s'agit d'un programme exécutable autonome qui reste résident dans la mémoire.

Cette définition a été mise à jour en octobre 2016

Pour approfondir sur Protection du terminal et EDR