Forum général.hors-sujets Astuces de référence pour le test antivirus pour Linux

Posté par (page perso) . Licence CC by-sa
Tags : aucun
1
17
jan.
2018

Amis,

Je sais qu'il y a très peu de malwares développés pour Linux par rapport à Windows.

Dernièrement, j'ai aidé de nombreux clients à adopter une distribution Linux, que ce soit pour sortir d'une version non officielle du système Microsoft ou pour en savoir plus sur les logiciels libres.

Ces mêmes clients me posent la question sur l'antivirus pour Linux, comme je ne l'ai jamais utilisé auparavant, je suis un peu douteux de la réponse.

Pouvez-vous vous référer à des sites de confiance pour certains tests?

Je maintiens même un site avec des tests mis à jour pour mes clients (https://melhorantiviruspago.com.br/), mais la grande majorité d'entre eux sont des antivirus exclusifs à Windows.

Merci!

  • # ClamAV

    Posté par . Évalué à 8.

    À ma connaissance l’antivirus qui fait référence sous GNU/Linux c’est ClamAV.

    L’antivirus n’est pas hyper utile en tant que tel. À moins de lancer n’importe quoi, on est effectivement moins exposé que sous Windows/IE/Outlook en utilisant une distribution Linux. ClamAV est principalement utilisé sur les serveurs de mail, pour scanner les mails qui y transitent, car ces mails peuvent être servis à des clients sous Windows.

    • [^] # Re: ClamAV

      Posté par . Évalué à 4.

      Je m'en sers pour désinfecter des Windows vérolés, de mon côté.
      C'est plus simple de passer par une distribution live et de lancer un scan avec clamAV que de composer avec la lenteur d'un Windows infecté et ses multiples "antivirus".

      • [^] # Re: ClamAV

        Posté par . Évalué à 6.

        Oui, clairement. D’ailleurs, si l’OS est infesté, les antivirus installés sur le poste peuvent avoir été neutralisés.

        Donc même si tu utilises Windows et un antivirus propriétaire il faudrait procéder de même : en bootant un système live pour scanner le disque.

        Me demandez pas ce qui est le mieux en système Windows live, je n’y connais rien. Je sais juste que ça existe parce que j’ai utilisé un truc du genre il y a quelques années, je crois que c’était Windows PE

        Enfin… si les gros antivirus ont des versions Linux faut être carrément masochiste pour utiliser Windows… Une des nombreuses limitation de Windows PE (j’en rigole tellement c’est ubuesque… ah… le proprio…) :

        Pour bloquer son utilisation en tant que système d’exploitation piraté, Windows PE cesse automatiquement d’exécuter l’interpréteur de commandes et redémarre après 72 heures d’utilisation continue. Cette durée n’est pas configurable.

        Il y a sûrement des versions non-officielles aux binaires patchés pour éviter cette limitation mais bon… si c’est pour installer une autre vérole :)

        Bon, je vais arrêter là les digressions parce que je commence à essayer d’imaginer un monde sans GNU/Linux, avec seulement Microsoft et Apple, ça fait peur ! /o\

  • # autres Antivirus

    Posté par (page perso) . Évalué à 10. Dernière modification le 17/01/18 à 16:16.

    Kaspersky, Bitdefender et F-prot existent sous Linux. Ce n'est pas inutile d'en avoir plusieurs. Et il ne faut pas oublier que même s'il y a peu de virus sous Linux, on peut être "porteur sain" d'un virus Windows par exemple.

    • [^] # Re: autres Antivirus

      Posté par . Évalué à 5. Dernière modification le 17/01/18 à 21:27.

      Ce n'est pas inutile d'en avoir plusieurs.

      C’est absolument vrai. Contrairement à ce que peut laisser entendre mon premier commentaire qui parle d’anti-virus de référence pour GNU/Linux.

      Les différents logiciels ou entreprises qui « font référence » ont chacun⋅e leurs avantages et inconvénients, et en pratique, ils « loupent » tous certains nouveaux malware, mais jamais les mêmes :)

      Par contre, les logiciels que tu cites ne sont à priori pas libre (j’ai juste été voir leur site web, flemme de chercher mais en général s’il faut chercher… le dernier est clairement non-libre). C’est un inconvénient majeur (quelque soit la, je pense : bonne, qualité technique des solutions propriétaires en question).

    • [^] # Re: autres Antivirus

      Posté par . Évalué à 4.

      Je suis allé faire un tour vite-fait sur les liens proposée pour les antivirus:

      • Kaspersky: linux non cité
      • F-prot : 1 antivirus en 32 bit (waou, on est en 2018, les gars)
      • BitDefender : Une liste de produits sans fin, avec des noms improbables (Gravity, Cloud…) et l'obligation de fournir l'acte de naissance de sa grand-mère pour télécharger quoi que ce soit…

      Bref, je vais rester à poil et faire attention à mon hygiène numérique.

      • [^] # Re: autres Antivirus

        Posté par . Évalué à 3.

        Tu n'es pas le seul à ne pas utiliser d'antivirus sous Linux. La plate-forme ciblée des logiciels malveillants reste Windows qui englobe 99,1 % de l'échantillon des logiciels malveillants. Loin derrière sont les scripts, les applets Java, les macros et les autres systèmes d'exploitation comme macOS, Android et Unix/Linux. (source Malware trends 2017)

        Existe-il une liste des virus connus sous Linux en tant que poste de travail ? J'en convient que notre plate-forme n'est pas attractive pour les développeurs de virus, Linux reste peu utilisé, et très fragmenté. Donc beaucoup de travail pour faire un virus qui marche partout et qui cible finalement que peu d'utilisateurs.

        • [^] # Re: autres Antivirus

          Posté par . Évalué à 6. Dernière modification le 18/01/18 à 00:55.

          Existe-il une liste des virus connus sous Linux en tant que poste de travail ?

          Tu peux regarder ce que fait checkrootkit, ça peut te donner une idée des menaces qui pèsent sur tout système de type Unix. Il n’y a pas que vers et virus…

          Wikipédia a une liste (évidemment) : https://fr.wikipedia.org/wiki/Liste_des_malwares_Linux

          Je ne sais pas faire mais il doit être possible de lister les définitions de la base de ClamAV… Celles-ci contiennent peut-être une information permettant de lister seulement les menaces concernant GNU/Linux ?

          J'en convient que notre plate-forme n'est pas attractive pour les développeurs de virus

          En tant que cible… Pas mal de créateurs de virus doivent utiliser GNU/Linux (et plus largement des logiciel libre) au quotidien ;)

          Linux reste peu utilisé, et très fragmenté. Donc beaucoup de travail pour faire un virus qui marche partout et qui cible finalement que peu d'utilisateurs.

          J’ai lu quelque part que les premiers virus informatiques étaient apparus avec Unix. C’est peut-être faux, j’ai la flemme de vérifier mais en tous cas je ne crois pas que techniquement cela soit plus dur à faire. Si un virus exploite une faille de Linux ou systemd, il y a des chances qu’il puisse se propager sur 80% des distributions */Linux sans nul besoin de miracle… Il pourrait aussi exploiter une faille de la JVM Oracle… bref…

          À part le fait que, comme tu l’écris, « Linux reste peu utilisé » (ndlr: sur le desktop bien sûr…) rien ne prouve que GNU/Linux ou FreeBSD soit plus à l’abri que Windows ou MacOS, techniquement parlant. L’ouverture du code est selon moi à double tranchant sur ce point car les failles sont davantage visibles autant pour les « défenseurs/correcteurs » que pour les « attaquants/exploiteurs » donc au final, bien malin celui que peut savoir, sans risque de se tromper, de quel côté penche la balance…

          Reste le facteur humain. Il faudrait savoir si de part leur nature, les OS modifient la faculté d’apprentissage et de compréhension de la chose informatique. Entre un OS libre qui incite au DIY, à l’implication dans le développement de l’OS (au sens large : traduction, documentation, formation, etc…) et un OS qui tente de mouler ses utilisateurs en consommateurs génériques, il est possible que les utilisateurs du premier soient plus prudents (éviter scam, faire màj, attention à sa e-réputation, etc…). Mais je n’en mettrai pas ma main à couper… Linux n’est peut-être pas mieux adapté que Windows à l’« allergie à l’informatique ». Adapté à un rapport irrationnel quelconque avec l’informatique, dont font parfois preuve les gens et qui est propice aux virus informatiques.

          La curiosité envers l’informatique et l’envie d’apprendre amènent irrémédiablement vers le logiciel libre, vers les systèmes ouverts. L’inverse, à savoir que le simple fait d’utiliser un OS libre rendrait curieux et faciliterait ainsi l’acquisition des bonnes pratiques, est-il aussi vrai ? Pas facile à dire.

          • [^] # Re: autres Antivirus

            Posté par (page perso) . Évalué à 4.

            Il existe des virus de code source (donc indépendant de la plate forme). J'en ai vu en C. (Mark A Ludwig)

            • [^] # Re: autres Antivirus

              Posté par . Évalué à 4. Dernière modification le 20/01/18 à 03:13.

              Je me souviens d’un rootkit qui n’était distribué que sous forme de code source. L’auteur expliquait que de part la nature « borderline » de ce genre de logiciel on ne pouvait pas faire confiance aux auteurs du rootkit, qui pouvaient très bien fournir un rootkit « lui-même piégé », si je puis dire. Il n’imaginait pas utiliser un rootkit déjà compilé donc il ne distribuait non plus pas le sien déjà compilé, pour cette unique raison…

              • [^] # Re: autres Antivirus

                Posté par (page perso) . Évalué à 4.

                Quelque chose dans ce genre ? http://wiki.c2.com/?TheKenThompsonHack

                * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

                • [^] # Re: autres Antivirus

                  Posté par . Évalué à 3.

                  Pas sûr. C’est très intéressant en tous cas.

                  The only way you're going to get a clean compiler executable now is to build your computer yourself out of TTL logic you salvage from some museum somewhere, then code up a set of basic binary tools sufficient to assemble assembler. Then bootstrap from the source of all the modern tools.
                  
                  This actually sounds like a worthy project until you realize that the only person who could possibly trust your clean compiler executable is you.
                  

                  ^^

                • [^] # Re: autres Antivirus

                  Posté par (page perso) . Évalué à 2.

                  Ce que j'ai vu n'est pas tout à fait ça : c'était un virus conçu pour se reproduire au sein des sources en C, Mark Ludwig Du Virux à l'Antivirus Editions Dunod chapitre 18.

                  • [^] # Re: autres Antivirus

                    Posté par . Évalué à 3.

                    C’est à dire que le code du virus s’ajoute aux sources des programmes et sont ainsi compilées en même temps que le programme lui-même ?

                    • [^] # Re: autres Antivirus

                      Posté par (page perso) . Évalué à 3.

                      Oui, c'est ça, sauf que le virus ne devient pas exécutable (mais ça pourrait je pense). Il se reproduit à la compilation dans les autres fichiers source. D'ailleurs ça pourrait se faire dans d'autres langages que le C, d'après Mark Ludwig.

  • # l'education de l'utilisateur plutot que l'antivirus

    Posté par . Évalué à 5. Dernière modification le 18/01/18 à 09:28.

    j'ai longtemps géré des parcs informatiques, y compris des windows en milieu scolaire (2002 à 2007), etc
    je n'ai JAMAIS mis d'antivirus,
    et pour autant les machines ont tres rarement été contaminées, tout au plus 1 contamination, via un fichier word contaminé, echangé par disquette…

    pourquoi ?
    parce que les utilisateurs avaient été eduqués :

    • on ne telecharge rien en dehors du site officiel, tu cherches gimp ou libreoffice sur internet, ben tu le prend sur libreoffice.org ou gimp.org plutot que 01.net, softpedia, etc qui sont des nids à virus
    • on LIT ce que le logiciel nous propose quand on l'installe, cela evite d'installer les petits malwares et logiciels non sollicités qui sont fournit avec le logiciel officiel que tu veux installer.
  • # Léger HS (virus Bliss).

    Posté par . Évalué à 3.

    En lisant la page Wiki des virus sous Linux, je suis tombé sur Bliss (https://fr.wikipedia.org/wiki/Bliss_(virus)).

    Cela dit que Debian y est toujours sensible. Étrange, non ?

    • [^] # Re: Léger HS (virus Bliss).

      Posté par . Évalué à 5.

      Cela dit que Debian y est toujours sensible. Étrange, non ?

      Ils veulent juste dire que le bulletin d'alerte est toujours valable.
      Comme précisé dans le bulletin en question : il faut être root donc il n'y a pas de vulnérabilité à proprement parler, c'est déjà open bar à ce stade mais cela sert de rappel sur le fait qu'il faut travailler le moins possible en root et précise la méthode de détection ainsi que la commande à utiliser pour désinfecter ses fichiers.

  • # Commentaire supprimé

    Posté par . Évalué à -2. Dernière modification le 22/01/18 à 18:18.

    Ce commentaire a été supprimé par l'équipe de modération.

    • [^] # Re: antivirus de referencement

      Posté par (page perso) . Évalué à 6.

      Il y a eu par le passé pas mal de failles exploitables à distance, et je vois mal ce qui empêche que cela se reproduise. C'est pas comme si depuis quelques semaines on savait qu'une page web (via JavaScript) permet de lire le contenu de la mémoire de ta machine.

      Même avec ta super science de la sécurité, tu es à poil devant un code malicieux qui se trouve dans un PDF envoyé par un collègue, ou devant n'importe quoi qui détourne n'importe quelle application.

      Cela dit, je n'ai pas d'anti-virus non plus sous Linux. Et sous Windows j'ai celui de base installé par Microsoft (qui repère à peu près zéro virus avant qu'ils n'agissent).

  • # Quelques points à considérer...

    Posté par . Évalué à 2.

    Personnellement, je trouve que les antivirus commerciaux sont généralement un problème de sécurité en sois et doivent être intégrés avec beaucoup d'attention ou carrément ignorés en faveur d'antivirus libres dans un contexte plus ciblé.

    Quelques problèmes en vrac observés avec les antivirus privateurs non spécialisés…

    • Ils tournent au niveau du noyau
    • de ce fait ils peuvent parfois retarder la mise en place de mises à jour du noyau et laisser des systèmes vulnérables
    • ils augmentent également la surface d'attaque du noyau car en cas de faille dans les fonctions de scan, c'est l'ensemble du noyau (et donc du système) qui est en péril.
    • Ils sont peu audités par des tiers
    • Ils sont développés dans l'urgence, ce qui peut mener à des problèmes de qualité => impact sur la stabilité et la sécurité
    • ils ont souvent des protocoles de commande avec des processus écoutant en tant que root sur le réseau.
    • certains demandent même de désactiver des modules de sécurité noyau comme SElinux…
    • les antivirus en général sont de moins en moins efficaces.

    Face à cela, je préfère sécuriser correctement les OS clients/serveurs et garder SElinux actif, et mettre en place des antivirus libres ou éventuellement proprio, mais uniquement sur les chemins critiques comme le proxy, les serveurs mails, les serveurs de fichiers samba, et de préférence des solutions s'intégrant à la couche service (samba, smtp, …) plutôt qu'au kernel.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.