Installer un antivirus sous Linux ? Pas si simple…

Twitter Facebook Google Plus Linkedin email

J’ai lu avec grand intérêt l’article de Denis sur l’utilité d’un antivirus sous Linux, en particulier les postes de travail, et je vous invite à en faire de même avant de continuer à me lire si ce n’est pas déjà fait. Je me suis attardé sur la liste qu’il propose, et tenté de voir si l’installation allait se révéler simple. Mais si seulement ça ne concernait que l’installation…

Disclaimer : Je n’ai installé aucun des antivirus, principalement par manque de temps, donc pour certains, je ne peux pas aller au fond des choses. Pour certains j’évoque l’age des fichiers de l’archive, mais on parle bien de l’installation, pas des mises à jour qui sont nécessaires à ce type de produit.

Tout le monde parle de ClamAV mais…

Le principal problème de ClamAV, ce n’est pas tant son efficacité toute relative que le fait qu’il ne fonctionne qu’à la demande. C’est un composant de choix pour un serveur de mail, puisqu’on l’appelle à chaque message reçu sans problème, mais il n’opère aucune surveillance du système de fichiers en lui-même.

Et un peu à l’image des ressources allouées à OpenSSL, celles qui sont penchées sur clamav n’ont pas grand chose de comparable avec les outils de sociétés commerciales. Même si dans cet article de 2015, il arrive à tenir la dragée à certains (dont McAfee) sur les menaces spécifiques à Linux.

F-Prot, euh, allo 64bit ?

C’est vite plié, la page que propose Denis ne présente que l’antivirus en version 32 bit. Une ouverture de l’archive montre des fichiers datant de 2012. Charger un module vieux de 4 ans, bon courage, je tenterais pas perso. Au moins l’archive est agnostique. Et je n’ai pas trouvé sur le site comment récupérer une version 64bit.

Comodo, mieux ?

En tout cas le soft est dispo pour 32 et 64bit, mais seulement au format DEB et RPM. Vous me direz c’est pas si grave, la majorité des utilisateurs réels étant sous Ubuntu (et on est même pas vendredi, notez), mais bon. Le contenu de l’archive date de 2013, là encore, c’est pas super confiant. Je n’ai pas trouvé comment il s’intégrait au système, mais j’ai au moins trouvé un numéro de version : 5.0.163652.1142.

Qu’en penser dès lors ? Ben joker. Mais pareil, un soft qui a trois ans qui doit s’intégrer à une Ubuntu 16.04, ça me semble pas super comme idée, mais je peux me tromper. D’autant qu’il embarque ses propres versions des libssl 0.9.8 (juste ça supporte pas TLS 1.2 hein).

ESET NOD32, qu’en dire ?

Pas grand chose, on a le choix de la version 32 ou 64 bit, si les distribs sont mentionnées, c’est surtout pour donner un guide pour les gens, puisque le paquet récupéré est un gros ELF qui fait tout le boulot j’imagine, ce qui semble un peu plus inquiétant là encore, c’est la doc qui est marquée en 2011.

Ah oui, il est payant. On a au mieux une période d’essai, après faut passer à la caisse. Faisant partie des utilisateurs payants de Kaspersky Internet Security sous Windows, à part vous dire que ça a peut-être du sens si vous avez un comportement à risque, à vous de voir. La période d’essai pourrait vous convaincre. Ou pas.

Kaspersky Endpoint Security 8.0 for Linux

Là, c’est clair, on est face à un produit d’abord taillé pour les serveurs. On n’a droit qu’à la version 8.0.x quand les windowsiens en sont à la version 10, et ce n’est disponible qu’en deb ou rpm; mais côté serveur c’est presque moins choquant.

Un coup d’œil à l’archive me confirme que les fichiers datent de 2012. Le fait que ça soit une version destinée à des serveurs peut indiquer qu’on aura pas d’interface graphique. Pas très pratique…

Dr Web

Alors là, c’est du grand n’importe quoi, le package d’installation fait plus de 500Mo. Et ça juste pour le 64bit. Étant donné que c’est un .run, indépendant de la distribution, je ne sais pas ce qu’il contient. D’autant que le serveur qui héberge le package ne semble pas au mieux de sa forme, j’ai du mal à avoir 100ko/s, autant dire que la récupération a été longue… Et dans les prérequis, ils demandent bien 512Mo d’espace disque. Rien que ça.

En contrepartie, la documentation est tagguée 2016, et le numéro de version de la documentation correspond au paquet téléchargé. Malgré tout la description indique le support de noyau 2.6.x. Pour information la version 4.8 stable a vu sa huitième version corrective le 15 novembre. La documentation est particulièrement facile à lire pour un logiciel venant de Russie et dont la page produit semble avoir bénéficié de moins de soin. On y apprend la structure du logiciel, avec le scanner lui-même et un démon de surveillance d’entrées/sorties qui envoie le scanner analyser les nouvelles écritures.

J’ai donc du mal à me prononcer sur le produit.

Sophos, joker

J’ai rien à en dire, au moment de le télécharger, l’éditeur demande à renseigner ses infos personnelles. Pas si gratuit, comme c’est pourtant indiqué. Autant c’est nécessaire quand on veut payer un produit, autant là, non merci, ça sert à rien.

Et en cherchant d’autres informations sur les produits Sophos, c’est pareil, à peine on s’intéresse au produit qu’il faut créer un compte nominatif. Hum…

Pourquoi autant râler sur l’âge des fichiers ?

Comme je l’ai mentionné au début, l’âge à l’installation ne doit pas refléter l’aspect vivant du logiciel, j’imagine que si les produits sont encore proposés, c’est qu’ils disposent encore de mises à jour pour contrer les nouvelles menaces. J’ai principalement deux problèmes avec l’installation de ces logiciels d’un tel âge.

Premièrement, si l’intégration est profonde, un module qui n’est pas suffisamment testé peut rendre très instable le système. Et même sans ça, quand je vois les problèmes qu’on a régulièrement avec McAfee au boulot, c’est pas toujours glorieux.

Deuxièmement, si sous Windows les antivirus sortent une nouvelle version par an, ce n’est pas nécessairement juste comme EA qui vous prend pour des jambons pour supporter de nouvelles versions de Windows. Souvent les nouvelles versions s’accompagnent de nouveaux moteurs permettant d’optimiser la détection et/ou les protections de certains points du système.

Avec des moteurs vieux de 4 ans, les algorithmes heuristiques, qui sont prévus pour détecter des comportements suspects sans signature précise, sont clairement dépassés avec les nouvelles menaces, d’autant plus que les types se multiplient, avec parfois une efficacité redoutable.

Les pare-feux, les grands absents (parmi d’autres)

De plus en plus sous Windows, les antivirus ont réellement muté en suites de sécurité, qui comprennent l’antivirus, mais également un pare-feu, un module de contrôle parental, parfois un coffre-fort de mot de passe (dont Genma parle très justement), j’en passe et des meilleures.

Le principal problème, c’est que jusqu’à récemment, faire un pare-feu applicatif (c’est à dire filtrer les flux réseaux en fonction d’une application et non plus simplement un port), était nativement tout simplement impossible. Et l’architecture réseau du noyau est trop compliquée pour remplacer simplement netfilter par autre chose avec un simple module.

Mais ça, c’était avant. Denis, encore lui, l’a d’ailleurs montré dans un article récent. Malheureusement, c’est très rustique, ça demande une version d’iptables récente, qui n’est pas forcément intégrée dans les distributions récentes (version 1.4.21 sur CentOS 7, pareil pour Debian 8, la 9 intégrant la version 1.6 mais ne sortant au mieux que fin d’année prochaine, ArchLinux étant déjà à jour depuis Avril). L’autre coup de canif dans le contrat, c’est la réécriture de la fonctionnalité cgroups, donc les pare-feux qui voudraient se baser dessus devraient gérer deux versions aux capacités très différentes en fonction des versions du noyau. La conséquence aussi, c’est que la hiérarchie change en fonction des noyaux, même si maintenant ça commence à être plutôt stable, il est donc compliqué de prédéfinir des règles en fonction des systèmes.

Un mal nécessaire

Malheureusement, on ne change pas un utilisateur jusque parce qu’on libère son outil. A l’image des gens qui continuent d’utiliser Google pour ne pas avoir à retenir une URL (et y’en a en masse, rêvez pas), il y en aura toujours pour ouvrir le dernier mail pourtant douteux qui tombe dans leur boite.

Dans les commentaires du billet de Denis, Tuxicoman (qui a également son propore blog) évoque le fait que l’antivirus arrive trop tard lors de l’apparition d’une nouvelle menace. Peut-être, mais le fait que certains virus sont toujours en circulation 10 ans après leur apparition devrait mettre la puce à l’oreille. Oui l’hygiène d’utilisation c’est bien, mais il faudrait un peu penser au fait qu’à l’image des boutiques en ligne qui convertissent peut-être 1% de visiteurs en acheteurs, on arrivera peut-être à 1% d’utilisateurs sensibilisés en bons surfeurs. Ce n’est pas une raison pour laisser tomber les 99% restants, et les antivirus, si imparfaits soient-ils, sont un moyen de mitiger le problème global.

Notre propre système immunitaire n’est pas parfait, il est assez illusoire de chercher à ce que nos systèmes informatiques le soient.

PS : pendant mes recherches je suis tombé sur cet article, en anglais cependant. Apparemment certaines de mes craintes quant à l’âge de certains moteurs ne semblent pas les toucher, pire on dirait que les descriptions sont du simple copier-coller des sites officiels :/

13
Poster un Commentaire

avatar
7 Fils de commentaires
6 Réponses de fil
3 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
10 Auteurs du commentaire
DenisNyx-NetworkOokazeGérardXanod Auteurs de commentaires récents
  S’abonner  
plus récent plus ancien
Notifier de
NiKaro
Invité

Merci pour ce retour, suite à l’article de Denis je comptais faire un petit test des AV proposés, même si à la base je n’étais pas trop convaincu de l’intérêt… Du coup tu m’épargnes ce calvaire ^_^

w00
Invité
w00

Un bon gros gloubi-boulga d’informations non-detaillées, et intégralements subjectives ! (c’est donc un blog, pas de probleme).
Hormis les « anti-rootkit », les antivirus sont principalements dédiés a des OS sensibles (je ne citerait pas windows. Oups), dont des fichiers transitent par GNU/Linux. Mais hormis ces cas, cela semble aujourd’hui assez caduque.
Un antivirus sous Linux est une fantaisie de DSI incompétents, qui protegent bien plus leur poches, que leur logique….

SurcouF
Invité
SurcouF

Comme tu l’as dis, le « marché » des Linux utilisés comme postes de travail atteint péniblement les 2%. Je ne vois pas comment tu en arrives à une conclusion hâtive sur le besoin d’anti-virus : la majorité de ces utilisateurs sont plutôt relativement prudents (en disant cela, j’ai quand même pensé à tous ceux qui installent des PPA sur Ubuntu et autres curl|bash…).
Ce marché n’intéressera pas les éditeurs traditionnels en l’état. La seule solution viable reste une évolution de ClamAV, notamment avec l’utilisation combiné des cgroups pour qu’il puisse intercepter.

Stephanoux
Invité
Stephanoux

Salut,
Suite à l’article de Denis Szalkowski j’ai installé Comodo sur mon Mint mate 17.1. Par curiosité. Donc, 2 ans d’utilisation très intensive (perso + business) sans « protection » virale. L’installation est facile et rapide, la mise à jour de la base virale aussi. Aucun virus détecté.

Que doit-on en conclure ? Je ne sais pas trop… sinon qu’en matière de sécurité, les priorités ne sont peut-être pas les mêmes quand on est sous Linux.

Xanod
Invité
Xanod

Créer un compte pour télécharger l’antivirus Sophos quoi de choquant? Rien ne vous oblige à donner de réelles informations et pour ce qui est demandé cela n’a pas l’air très intrusif…
Personnellement j’ai pris le risque de tester, l’antivirus marche plutôt bien, j’ai eux quelques soucis de ralentissement lors des sauvegardes (vzdump) mais aucun problème ni prospection de leur part par la suite!

Gérard
Invité
Gérard

L’article que tu cites est un peu une honte puisqu’il commence par un argument d’autorité coupant court à toute discussion.
Pourtant, en tant que gros con ignare et de mauvaise foi, je maintiens qu’un antivirus est totalement inutile.
D’ailleurs la page Wikipedia citée dans l’article d’origine le montre bien. Mais bien entendu personne ne prend la peine de vérifier les informations sur les quelques soit disant virus cités sur cette page (d’ailleurs objet de controverses).

Ookaze
Invité
Ookaze

Je te rejoins parfaitement à ce sujet. Ce sujet n’est là que pour tromper les béotiens en leur faisant installer des outils parfaitement inutiles, sachant qu’il n’y a jamais eu un seul virus dans la nature sous Linux. Les autres malwares efficaces sous Linux, il y en a, mais ces outils seront totalement inefficaces contre eux. Il y avait eu une offensive dans les années 2000, pour faire croire qu’un antivirus était nécessaire sous Linux, afin de lancer le marché, mais cela n’a jamais fonctionné, parce qu’à l’époque, ils avaient de vrais experts en face. On dirait une résurgence de… Lire la suite »

Denis
Invité

@Gérard

Il faut, en effet, savoir rester humble.

@seboss666

Excellent article. Je n’ai pas encore basculé sur la Fedora 25, faute de temps. Je vous communiquerai alors mon Iptables s’appuyant sur les cgroups.

Nyx-Network
Invité

Les moteurs de signatures ça ne marche pas, et ça ne marchera jamais, concernant l’heuristique, ils n’y arrivent déjà pas sur windows, alors sur linux il ne faut même pas y penser.

Pour l’utilisation de netfilter avec un filtrage par application :
– Un user par application devant se connecter, et utilisation du module owner.
– Une application par lxc/docker, et filtrage classique par ip source.
Et si on veut accepter les connexions manuellement, avec une popup par exemple, utilisation de nfqueue.

Toute ces solutions sont possibles depuis de nombreuses années, et durcissent également le système par une séparation des privilèges.

Denis
Invité

@Nyx-Network

Le mode nfqueue que j’ai utilisé dans Fireflier jusqu’en 2010 amène à ce que le PC se givre totalement lorsque l’activité n’a pas été prévu dans les règles. Merci de m’indiquer au passage quelle solution tu utilises dans Ubuntu 16.xx ou Fedora 23/24/25, par exemple. Je pourrais ainsi la tester.

Nyx-Network
Invité

J’utilise simplement iptables sur debian, aucune idée des logiciels d’abstractions. Mais clairement, la bonne solution est bien de faire tourner les applications critiques sur un utilisateur différent, voir un containeur non priviligié, également sur un utilisateur différent. Il faut également utiliser Xephyr, et non pas partager directement son serveur X, sinon, en cas d’exploitation d’une vulnérabilité, un attaquant a le controle du clavier, de la souris, de l’écran, du presse-papier (il va donc rapidement passer root). Et pour information, il y a eu un temps un module pour filtrer par application, mais ce genre de protection est trés facilement contournable,… Lire la suite »

Denis
Invité

@Nyx-Newtork

SELinux est une usine à gaz.

Le filtrage par applications a été retiré sur Linux pour questions de performance. C’est un membre de l’équipe Netfilter qui me l’a indiqué !

Je vais faire avec Iptables et les cgroups. C’est plus sûr et plus simple ! Moins délirant.