Il y a beaucoup de débat quant à savoir si Linux a besoin d’un antivirus. Les partisans de Linux affirment que son héritage en tant que systèmes d’exploitation en réseau multi-utilisateurs signifie qu’il a été construit à partir de zéro avec une défense supérieure contre les logiciels malveillants. D’autres estiment que, bien que certains systèmes d’exploitation puissent être plus résistants aux logiciels malveillants, il n’existe tout simplement pas de système d’exploitation résistant aux virus. Le deuxième groupe est correct – Linux n’est pas imperméable aux virus, mais cela signifie-t-il que vous devez exécuter une application antivirus? Pour répondre à cela, nous devons creuser un peu dans le fonctionnement des programmes antivirus.
Comment fonctionnent les programmes antivirus?
Cela peut sembler une question stupide, mais il est important de comprendre ce que font réellement les logiciels malveillants et les applications antivirus. Il existe des centaines, voire des milliers, d’applications de prévention des logiciels malveillants sur le marché. Si la chasse et la détection de logiciels malveillants sont bien comprises, alors pourquoi tant d’applications font-elles la même chose de différentes manières?
La vérité est qu’il y a une grande population de méchants bien financés qui passent tout leur temps à réfléchir aux moyens de faire pénétrer des logiciels malveillants sur votre système.
Ils font cela depuis des décennies et il y a maintenant un très grand pool de vecteurs d’attaque connus, ainsi qu’un flux sans fin de nouveaux vecteurs d’attaque qui émergent chaque jour. Il n’est donc pas possible de détecter chaque variation d’attaque, les applications antivirus doivent donc essayer de déjouer les méchants. Différents fournisseurs ont des écoles de pensée différentes sur la meilleure façon de procéder, d’où les nombreuses variantes d’antivirus qui tentent toutes de faire le même travail – protéger votre ordinateur – mais de différentes manières.
Antivirus basé sur les signatures
Le type d’antivirus le plus courant est basé sur les signatures. Cela signifie que le programme antivirus sait à quoi ressemblent les attaques précédemment vues et examine votre système pour les signes révélateurs – appelé signatures – de ces attaques connues. Il s’agit d’une méthode réactive de protection antivirus car elle nécessite que le fournisseur de l’antivirus sache à quoi ressemble une attaque, ce qui laisse entendre que l’attaque est déjà utilisée dans la nature. Si votre machine est déjà infectée par ce virus, l’application peut le supprimer pour vous, mais elle ne pourra peut-être pas faire grand-chose pour les dommages que le malware a déjà causés..
La récente attaque de malware «Wannacry» a fait son apparition dans les hôpitaux du Royaume-Uni. Il s’est ensuite étendu à 150 pays au cours des prochains jours.
Malgré cette lacune, l’antivirus basé sur les signatures est toujours un élément très important de la détection des logiciels malveillants. Les virus n’apparaissent pas instantanément dans tous les coins d’Internet à la fois. Ils sont déployés à partir d’un emplacement d’attaque central et se frayent un chemin à travers Internet au fil du temps. Les sociétés antivirus surveillent les emplacements de déploiement d’attaques connus et détectent rapidement les nouveaux logiciels malveillants. Pour cette raison, les machines protégées par un antivirus basé sur les signatures bénéficient toujours d’un bon degré de protection tant que les signatures sont mises à jour avant que le virus ne se propage à leur encolure..
Antivirus heuristique
Pour lutter contre les lacunes de la protection basée sur les signatures, de nombreux fournisseurs intègrent également un composant de détection basé sur l’heuristique dans leurs produits. L’heuristique est un domaine d’étude intéressant qui cherche à détecter des programmes qui agissent comme des virus, même s’ils ne correspondent pas à une signature de virus connue. Contrairement à la protection basée sur les signatures, l’heuristique peut protéger une machine contre un virus dont personne ne sait qu’il existe encore. Il peut détecter de nouveaux virus inconnus en fonction d’un comportement qui semble malveillant, plutôt que d’exiger une certitude à 100% que ce programme est un virus connu qui a été vu auparavant dans la nature..
Le jeu des chiffres
Les méchants écrivent des logiciels malveillants dans un but. Ce but est généralement d’exfiltrer (voler) des données importantes de votre ordinateur telles que des informations bancaires et personnelles afin de voler de l’argent ou de voler des identités. Une autre raison très populaire pour déployer des logiciels malveillants est de recruter votre ordinateur dans un botnet qui peut être loué à une date ultérieure à des fins lucratives..
Les botnets sont des roBOT NETworks qui peuvent être commandés pour faire quelque chose. Certains logiciels malveillants infecteront votre machine en silence et resteront en veille jusqu’à ce qu’il soit appelé à fonctionner par l’auteur du logiciel malveillant. Dans le passé, c’était le principal moyen par lequel de grandes attaques DDoS étaient menées. Désormais, les appareils «Internet des objets» sont généralement mis en service pour ce type d’attaque..
En relation: Qu’est-ce qu’un botnet?
Les méchants sont soumis à l’économie tout comme le reste d’entre nous et veulent donc en avoir pour leur argent. Comme tous les autres éditeurs de logiciels, les méchants veulent écrire leur code une fois et le déployer autant de fois que possible afin de récolter la plus grande récompense possible. Dans cet esprit, il est logique d’écrire du code ciblant la plus grande base d’utilisateurs possible. Cela signifie généralement écrire pour le système d’exploitation de bureau Windows car, à peu près toutes les mesures, Windows est le système d’exploitation le plus populaire utilisé aujourd’hui.
Une autre plate-forme très attrayante est la plate-forme mobile, ce qui signifie essentiellement les systèmes d’exploitation mobiles iOS d’Apple et Android d’Alphabet. De ces deux, Android est connu pour être déployé avec des logiciels malveillants directement dans son système d’exploitation par des fournisseurs malveillants tels que Blu, ZTE et Huawei. En outre, le Google Play Store, qui est le seul endroit officiel pour obtenir des applications pour le La plate-forme Android est régulièrement découverte comme ayant des applications malveillantes se faisant passer pour des programmes légitimes. L’App Store d’Apple se porte un peu mieux en raison d’un contrôle d’accès plus rigoureux, mais il n’est pas non plus imperméable aux logiciels malveillants.
Un troisième vecteur d’attaque lucratif est le logiciel qui s’exécute sur tous les systèmes d’exploitation car il permet aux auteurs de logiciels malveillants d’infecter potentiellement chaque ordinateur. Ces types de virus multiplateformes sont généralement destinés aux navigateurs et aux technologies indépendantes du système d’exploitation telles que Java. Adobe Flash est un excellent exemple d’une application multiplateforme qui est attaquée sans relâche et ne peut tout simplement pas se défendre correctement. Étant donné son incapacité à repousser les attaques d’exécution à distance très graves, permettre à Flash de s’exécuter dans votre navigateur est fondamentalement une position de sécurité négligente.
Sur la base de ces informations, si j’étais un auteur de malware, j’écrirais mon malware pour cibler ces plateformes dans cette priorité:
- Microsoft Windows
- Android
- Éclat
Pourquoi vous avez besoin d’un antivirus sur vos machines Linux
Si un auteur de malware va suivre les priorités que j’ai énumérées dans la section précédente, pourquoi un utilisateur Linux doit-il se soucier de l’antivirus? Linux n’est même pas sur la liste des priorités et il a une part de marché de bureau absolument abyssale. Qui prend la peine d’écrire un virus ciblant Linux?
Ce n’est pas parce que les systèmes Linux présentent un risque moindre d’infection par des logiciels malveillants qu’il n’y a aucun risque. Les méchants essaieront d’infecter tous les ordinateurs et n’auront qu’à gagner parfois. Les défenseurs doivent gagner à chaque fois.
À première vue, cet argument a du mérite, mais en fait, les trois systèmes d’exploitation prioritaires sont liés à Linux. Dans l’industrie, l’un des Linux est principalement utilisé comme serveur de fichiers ou serveur de messagerie pour une large population d’utilisateurs Windows. Par conséquent, le déploiement d’un virus Windows sur un fichier Linux ou un serveur de messagerie est un bon vecteur d’attaque pour accéder aux bureaux Windows connectés.. Android est Linux, il vient d’être modifié pour fonctionner sur des appareils mobiles plutôt que sur des ordinateurs de bureau, mais la simplicité de Linux de celui-ci survit et le gardiennage relativement laxiste du Google Play Store en fait une cible attrayante. Flash fonctionne dans les navigateurs et est donc multiplateforme. Un exploit ou un malware dans Flash a une chance égale d’affecter tous les systèmes d’exploitation, Linux inclus.
Même si vous avez choisi de ne pas faire attention aux relations périphériques ici, il est difficile d’ignorer qu’il existe en effet une bonne quantité de logiciels malveillants ciblant spécifiquement Linux..
Enfin, certains programmes antivirus hautement respectés pour Linux sont gratuits, à la fois comme «sans frais» et comme «open source». Il n’y a tout simplement aucune raison de ne pas installer d’antivirus sur votre bureau Linux autre que hubris.
Où obtenez-vous l’antivirus Linux?
Dans Le guide ultime de la sécurité Linux de bureau, j’écris sur ce sujet même. Le meilleur choix pour toute application Linux est celui qui est disponible dans le référentiel d’applications de cette distribution. Bien que le référentiel de votre distribution ne dispose pas de la version la plus récente d’une application, l’application a au moins été vérifiée et peut-être modifiée pour fonctionner correctement sur votre système. Parfois, cette stabilité vaut la perte d’une ou deux versions. En cas de malware, la mise à jour des signatures de virus est généralement plus préoccupante que la version de l’application antivirus elle-même.
ClamAV est une solution antivirus mature et bien prise en charge pour les ordinateurs de bureau et les serveurs Linux. Ubuntu et Fedora – les deux principales distributions Debian et RPM, respectivement – ont une belle interface graphique pour ClamAV qui le rend facile à utiliser.
Un rapide coup d’œil aux référentiels Ubuntu montre qu’il existe également de nombreux programmes antivirus et plugins ClamAV qui aident à protéger les serveurs de messagerie, les serveurs Web et les fichiers compressés. en plus, ClamAV peut détecter les virus dans les types de fichiers multiplateformes tels que les archives PDF, Flash et de fichiers tels que ZIP et RAR, ainsi que les fichiers exécutables ELF basés sur Unix.
J’ai écrit des instructions assez détaillées sur la façon d’installer et de configurer ClamAV pour Ubuntu ici.
D’autres programmes antivirus sont disponibles pour Linux. F-Prot, Comodo et Avast fournissent également des programmes antivirus Linux pour postes de travail. Je ne connais aucune raison de choisir un antivirus commercial plutôt qu’un open source facilement disponible, mais la situation de chacun est légèrement différente, vous pouvez donc considérer l’ensemble des fonctionnalités de chacun et prendre votre propre décision.
Image: TuxDroid de Sunny Ripert sous licence CC BY-SA 2.0
Vous aimerez peut-être aussiAntivirusQu’est-ce qu’un pare-feu et pourquoi en avez-vous besoin sur votre réseau domestique? appareils basés sur
ent également des fonctionnalités heuristiques dans leurs applications antivirus. Les antivirus heuristiques utilisent des algorithmes pour détecter les comportements suspects des programmes et des fichiers, même sils ne correspondent pas à une signature connue de logiciel malveillant. Cette méthode est plus proactive que la protection basée sur les signatures, car elle peut détecter les nouvelles variantes de logiciels malveillants avant quelles ne soient largement répandues. Cependant, cette méthode peut également entraîner des faux positifs, cest-à-dire quelle peut identifier à tort un programme légitime comme étant malveillant.
En fin de compte, il est recommandé dutiliser un antivirus sur vos machines Linux, même si certains affirment que Linux est plus résistant aux logiciels malveillants que dautres systèmes dexploitation. Les attaques de logiciels malveillants sont de plus en plus sophistiquées et il est important de se protéger contre les nouvelles variantes qui émergent chaque jour. Les antivirus basés sur les signatures et heuristiques peuvent fournir une protection efficace contre les logiciels malveillants connus et inconnus. Il est également important de garder votre antivirus à jour pour vous protéger contre les nouvelles menaces qui émergent régulièrement.