L’analyse heuristique dans le filtrage anti-spam

La technologie de détection des virus et des malwares se sert de différents modules afin d’identifier les menaces en question. Cela vaut notamment pour les antivirus et autres logiciels de protection qui garantissent l’intégrité du système. Plusieurs produits, tels que les solutions numériques Kaspersky, intègrent l’analyse heuristique. En quoi consiste-t-elle ? Quels en sont les avantages pour les utilisateurs ?

Définition de l’analyse heuristique

Le principe d’une analyse heuristique repose sur une méthode de détection spécifique à de nouveaux virus ou des versions révisées. Cette protection se veut complémentaire à un scan classique qui, lui, pourrait ne pas repérer le virus informatique. Pour cela, la fonction heuristique du logiciel recherche les programmes suspects selon leurs comportements. Il n’y a donc pas une identification qui s’appuie sur une base de données référentielle. Il s’agit d’un processus qui analyse le code ciblé, afin de déterminer la gravité de la menace pour la sécurité du système. 

Cela s’applique aussi bien pour les virus, les malwares, les spams, que les tentatives de phishing. Certains modules sont gratuits (généralement à partir d’une période d’essai) ou payants. En complément de cette dernière offre, il est possible de bénéficier d’un contrôle en temps réel de l’ordinateur pour anticiper le risque de cyberattaques. Très pratique lorsqu’on souhaite surfer sur Internet en toute quiétude.

Qu’est-ce qu’un virus heuristique ?

Le terme de virus heuristique est employé pour définir un programme supposément malveillant. Ce n’est pas une catégorie à part entière, mais une dénomination qui permet de le recenser en dehors des bases de données logicielles habituelles. Autrement dit, il s’agit d’un programme dangereux, dont le comportement suspect est susceptible de constituer un risque de sécurité pour le système. Les méthodes de scan classiques des antivirus ne peuvent donc pas le repérer. On distingue deux formes d’analyses heuristiques : la recherche statistique et dynamique.

Analyse statistique

Dans le cadre d’une méthode heuristique, l’analyse statistique inspecte le code d’un ou de plusieurs programmes de manière globale ou fragmentaire. Cela passe, entre autres, par la recherche de commandes suspectes, telles que l’altération ou l’ajout de fichiers exécutables sans modification de la part de l’utilisateur. 

En fonction de la technologie de détection employée, le logiciel attribue une notation qui ne doit pas dépasser un seuil. Dans le cas contraire, il est reconnu comme potentiellement indésirable, et fait l’objet d’une alerte. Il vous faut alors déterminer s’il s’agit d’une menace avérée, d’un programme inoffensif ou d’un faux positif. 

Analyse dynamique

La méthode de détection heuristique peut également se servir d’une analyse dynamique. Il ne s’agit pas d’une recherche à proprement parler sur le code ou les signatures, mais plutôt d’une émulation du programme en question. Le système le lance dans un espace virtuel sécurisé et dédié à cet effet. Si le test est jugé non satisfaisant, l’utilisateur est averti. 

Il peut choisir de l’ignorer, le mettre en quarantaine ou le supprimer. Sauf intervention contraire, son fonctionnement est alors bloqué. En cas d’erreur ou de fausse manipulation, la quarantaine permet de restaurer le fichier isolé. Cette solution est donc recommandée pour anticiper d’éventuels faux positifs dont la suppression risque d’endommager le système.

Analyse heuristique : comment ça marche ?

La détection heuristique peut se faire depuis un antivirus ou un antimalware. Par exemple, Kaspersky EndPoint Security ou Kaspersky Total Security, téléchargeables sur Internet. Comme évoqué précédemment, elle se sert de l’analyse dynamique ou statistique pour entreprendre une recherche de virus et d’autres programmes malveillants. Cela passe par le scan du code ou l’exécution d’un script. Une autre méthode consiste à effectuer une décompilation pour examiner le code source.

Un lancement simultané de plusieurs processus, une altération ou une suppression intempestive de fichiers sont les symptômes les plus significatifs d’un système infecté. Il existe des machines virtuelles qui simulent une analyse heuristique sans avoir à disposer d’un logiciel spécialisé. En ce sens, certains produits Kaspersky intègrent un bureau virtuel pour la réaliser, et ainsi détecter virus, spams, malwares et autres menaces informatiques.

Découvrez Kaspersky Total Security