Antivirus (AV)
Qu'est-ce que Antivirus (AV) ?
Antivirus (AV)Logiciel d'endpoint qui detecte et supprime les fichiers malveillants au moyen de bases de signatures, d'analyses fichier et d'heuristiques basiques ; base historique de la securite endpoint.
L'antivirus (AV) est la categorie historique du logiciel de securite endpoint. Il fut introduit a la fin des annees 1980 avec la routine de Bernd Fix contre le virus Vienna, le VirusScan de John McAfee et l'AVP d'Eugene Kaspersky ; l'AV est apparu en reponse aux premiers virus PC tels que Brain (1986). Il analyse les fichiers sur disque, en memoire et en transit, en les comparant a une base de signatures continuellement mise a jour (historiquement des empreintes MD5/SHA et des motifs d'octets) et en appliquant des heuristiques. Les agents AV s'accrochent au systeme d'exploitation via des mini-filter drivers du systeme de fichiers, des callbacks d'analyse on-access et des passerelles de courrier et web, mettant en quarantaine ou supprimant les correspondances.
Le modele par signatures excelle contre les malwares de masse repandus, mais reste aveugle face aux menaces inedites, polymorphes, packees et fileless : une modification minime d'un binaire change son empreinte et dejoue la detection par correspondance exacte, et les attaquants testent systematiquement leurs charges utiles contre les moteurs avant diffusion. Les laboratoires independants (AV-TEST, AV-Comparatives) et les evaluations MITRE ATT&CK Enterprise montrent de maniere constante que les moteurs reposant uniquement sur les signatures passent a cote du comportement des adversaires modernes.
Deux reponses ont suivi. Les editeurs ont fait evoluer l'AV vers l'antivirus de nouvelle generation (NGAV) et la detection et reponse sur les endpoints (EDR/XDR), qui ajoutent des classifieurs de machine learning, de la prevention d'exploits et une telemetrie comportementale tracant des arbres de processus plutot que des fichiers. Sous Windows, Microsoft Defender Antivirus s'integre a l'Antimalware Scan Interface (AMSI) pour inspecter le contenu des scripts (PowerShell, VBA, JScript) a l'execution, comblant la lacune fileless. L'AV classique demeure neanmoins un controle de base impose par des referentiels comme PCI DSS et par de nombreuses polices de cyber-assurance.
flowchart TD
F[Fichier ecrit ouvert ou telecharge] --> H[Hook on-access minifilter]
H --> SIG{Correspond a la base de signatures?}
SIG -->|Oui| Q[Quarantaine suppression ou alerte]
SIG -->|Non| HEU{Marqueur heuristique ou ML?}
HEU -->|Oui| Q
HEU -->|Non| ALLOW[Autoriser execution]
U[Mises a jour signatures et moteur] --> SIG● Exemples
- 01
ClamAV analysant les pieces jointes entrantes au niveau d'une passerelle SMTP.
- 02
Microsoft Defender Antivirus place en quarantaine un executable telecharge correspondant a une signature WannaCry.
● Questions fréquentes
Qu'est-ce que Antivirus (AV) ?
Logiciel d'endpoint qui detecte et supprime les fichiers malveillants au moyen de bases de signatures, d'analyses fichier et d'heuristiques basiques ; base historique de la securite endpoint. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Antivirus (AV) ?
Logiciel d'endpoint qui detecte et supprime les fichiers malveillants au moyen de bases de signatures, d'analyses fichier et d'heuristiques basiques ; base historique de la securite endpoint.
Comment se défendre contre Antivirus (AV) ?
Les défenses contre Antivirus (AV) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Antivirus (AV) ?
Noms alternatifs courants : AV, Anti-virus, Antivirus par signatures.