Analyse heuristique

L’analyse heuristique est une méthode utilisée dans l'algorithme A* et par les logiciels antivirus pour détecter les nouveaux virus, ainsi que les nouvelles variantes d’un virus déjà connu. L’analyse heuristique est une méthode basée sur le comportement supposé d'un programme afin de déterminer si ce dernier est ou non un virus. Cette méthode se différencie de l’analyse statistique qui se base quant à elle sur des comparaisons du programme avec des virus connus référencés dans une bibliothèque du logiciel antivirus.

Fonctionnement

Les logiciels antivirus exécutent le code ou le script de fichier à analyser dans un environnement virtuel, tout en analysant les instructions du programme. Cela permet de connaître le comportement du programme tout en isolant le code du fichier suspect de la machine réelle. Si l’antivirus détecte des instructions suspectes comme la suppression de fichiers ou le lancement de processus multiples, le fichier sera reconnu comme un virus et l’utilisateur sera alerté. Une autre technique consiste à décompiler le programme en question et analyser son code source. Le code est comparé aux codes d’autres virus connus. Si une grande partie du code se retrouve dans d’autres virus, le programme sera reconnu comme une menace. L’utilisateur peut lui-même faire une analyse heuristique, sans avoir recours à un antivirus, en simulant le fonctionnement de celui-ci. Cela consiste à lancer le fichier dans une machine virtuelle pour voir le comportement du programme et l’état de la machine. Par exemple, Deep Freeze protège la configuration de l’ordinateur tout en permettant à l’utilisateur de faire tout ce qu’il veut. Les dernières versions de Kaspersky intègrent un bureau virtuel, l'utilisateur peut lancer les applications suspectes en toute sécurité. Le premier anti-virus connu à avoir implémenté une méthode d'analyse à base d'heuristiques est « Kill Them All » sur plate-forme Atari ST. Cet anti-virus a été diffusé en complément du magazine ST MAG N°74 en 1993[1]^,[2].

Inconvénient

Bien que l’analyse heuristique permette de détecter de nouveaux virus et les nouvelles variantes de virus préexistants, l’efficacité est vraiment faible au regard du nombre de faux positifs. C’est parce que les virus informatiques, tout comme les virus biologiques, changent constamment et évoluent. Comme l’analyse heuristique repose sur la comparaison du fichier suspect avec les autres virus déjà connus, il est fréquent qu’elle rate certains virus qui contiennent de nouveaux codes ou de nouvelles méthodes de fonctionnement.

Cas notables

En juillet 2009, iTunes a été reconnu comme un cheval de Troie par AVG Anti-Virus, il s’agissait d’un faux positif[3].
En décembre 2010, c’est Google Chrome qui a été reconnu cette fois-ci comme un cheval de Troie par AVG Anti-Virus[4].

Références

Portail de la sécurité informatique

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[1] Disquette ST MAG N°74

[2] Exemple d'analyse heuristique de l'antivirus Kill Them All

[3] Tunes est un cheval de troie!

[4] Pour AVG, Google Chrome est un cheval de troie