Protection Proactive: le futur de l'antivirus?

La protection proactive apparait dans bien des antivirus récents. Comment cette protection fonctionne-t-elle? Qu'apporte-t-elle réellement?

Rappel des autres types de protection:

Avant d'évoquer la protection proactive elle même, il faut tout d'abord rappeler comment fonctionnent les 2 autres types de protection les plus utilisés par les antivirus actuels:

- La base de signatures:
Cette méthode est basée sur la comparaison des fichiers présents sur l'ordinateur avec une bases de "signatures" virales. C'est la méthode la plus répandue de détection de virus. Si cette méthode se montre efficace pour les virus "classiques", elle l'est moins pour les virus capables de changer de signatures lorsqu'ils se reproduisent, ou dont le code est crypté. S'ajoute aussi le fait que cette base de signatures doit impérativement être mise à jour régulièrement. Sans quoi l'efficacité de la détection risque d'être sérieusement compromise.

- La méthode heuristique:
La protection heuristique, elle, n'est pas basée sur une base de signature, mais sur une analyse comportementale pour détecter les virus. Les actions d'un programme sur le système sont vérifiées, la "ressemblance" avec des programmes typiquement indésirables (code crypté, actions douteuse sur le système de fichier par exemple) également. Cette protection combinée à la base de signatures offre une très bonne protection lorsque la protection heuristique est bien conçue (c'est par exemple le cas sur l'antivirus Nod32.). La protection heuristique à bien moins besoin d'être mise à jour (uniquement pour les nouveaux types de virus - de macro par exemple - )

Ces 2 méthodes de détection offrent, lorsqu'elles sont combinées, une très bonne protection antivirale. pourtant un troisième type de protection existe (inspiré de la méthode heuristique.).

La protection dite "proactive":

La protection proactive est une sorte de "super heuristique". Cette protection n'est absolument pas basée sur l'analyse d'une base de signature, mais sur l'analyse comportementale de bas niveau des applications. (accès à la base de registres Windows, détection de processus créés etc...)
Cette protection, lorsqu'elle est proposée par un antivirus est la plupart du temps réglable par l'utilisateur. (c'est par exemple le cas dans l'antivirus Kaspersky 6, c'est d'ailleurs sur ce produite que mon analyse se base en particulier.)

La protection proactive permet de détecter toute application potentiellement nuisible au système: étant donnée qu'elle se base sur le comportement des applications, elle permet donc de détecter tous types de programmes nuisibles et non plus seulement les virus ou apparentés. Un spywares qui voudrait se lancer au démarrage de Windows en utilisant la base de registres de Windows se verrait détecté lorsque justement il voudrait s'enregistrer dans la base de registres à la section concernant le lancement des applications au démarrage. Ce type de protection est donc bien adaptée aux programmes nuisible, qui sont de plus en plus nombreux et de plus en plus diversifiés.
Bien entendu, tout application qui souhaite s'exécuter au démarrage n'est pas forcément nuisible. Il est donc très important que le module de protection proactive permette à l'utilisateur de choisir si telle ou telle application doit continuer telle action.

Les limites de la protection proactive

Cette protection, très performante, se heurte toutefois à une limite, qui n'est pas technique, mais humaine: vu que ce type de protection fait beaucoup intervenir l'utilisateur (au début du moins, le temps que la module "apprenne" quelles applications autoriser à faire telle ou telle action), il est demandé à l'utilisateur d'être attentif lorsque le module de protection lui demande quoi faire.Et dans ce domaine c'est toujours la même histoire, si l'utilisateur ne veut pas s'interresser un minimum à ce qui est écrit à l'écran (car souvent il suffit de lire...) il reste facile d'autoriser ou d'interdire n'importe quoi. Certes il faut donc faire un effort les premiers temps pour configurer cette protection au mieux, mais le jeu en vaut vraiment la chandelle, un module efficace de protection proactive permet en effet de bien maitriser les risques potentiels lors du lancement d'une application qui semble peu recommandable ...

La protection idéale ... pour l'utilisateur avancé?

Cette protection fait intervenir l'utilisateur, ce qui nécessite donc de "s'y mettre" un peu (en fait les messages, dans le cas de Kav 6 sont clairs), en fait de s'y mettre il suffit juste d'avoir les yeux ouverts et de réfléchir un minimum lorsqu'une application veut se lancer au démarrage (par exemple). Personnellement, je suis convaincu par ce type de protection qui permet véritablement d'avoir un filet de protection supplémentaire (lorsqu'elle est correctement configurée ...) permettant de signaler une application potentiellement dangereuse lorsque les modules basés sur une base de signatures (si on n'a pas mis à jour l'antivirus depuis un moment par exemple) et heuristiques n'ont rien vus (ça arrive...).

Regler une protection proactive prend un peu de temps pour éviter les fausses alertes (lorsqu'un programme reconnu veut effectuer une action "dangereuse" par exemple.) et nécessite de réfléchir un peu ... Ce que ne font pas ceux qui chopent régulièrement des virus et qui entrent dans la catégorie des "cliqueurs fous"!
Pour tous les autres utilisateurs, même débutants la protection proactive est un excellent rempart supplémentaire contres les virus et autres applications indésirables.