Débat #01 – Faut-il avoir un Antivirus en 2024 ?

Simple question, et simple point de vue !

Comme je disais il y a plusieurs mois, j’ai envie de tester de nouvelles choses sur Tips4Tech, et ne pas me cantonner aux “simples” tutoriels/présentations de softs ou autre. Du coup, je me suis dit qu’une “série” sur plusieurs questions que l’on peut se poser dans le monde de l’IT pourrait être sympatoche.

Pourquoi ? Et bien :

• Cela vous permettre de connaître mon point de vue sur la dite question, avec mon niveau de connaissance, et mes ressentis. Comme d’hab, je ne prétends pas (encore) avoir la science infuse, et ce sur n’importe quel sujet ;
• Avoir vos retours ! Toujours super intéressant de connaître le point de vue des autres, qu’ils soient juniors ou seniors d’ailleurs ;
• Rire un peu dans les commentaires car ce sera volontairement des débats très prenants, bon p’tet pas jusqu’à des articles puta-cliques du genre “Windows ou Linux ? Qui est le meilleur ?” mais ça peut promettre quelques pépites. Puis bon tout le monde connaît déjà la réponse à cette première question… ;

Du coup, pour ce premier article on va parler Antivirus, et particulièrement en 2024.

Est-ce réellement nécessaire d’avoir un antivirus sur son poste personnel/professionnel ? Et de quoi parle-t-on au juste par “antivirus” ?

Question qui peut sembler peut être idiote au premier abord, mais si vous bossez dans l’IT (ou pas forcément d’ailleurs), vous avez sûrement déjà eut des retours du genre :

• Boh… tant que tu télécharges pas n’importe quoi, pas besoin ;
• Ah si si, super important ! Moi j’en achète un à 120€ l’année, avec VPN et compagnie ! ;
• A part consommer des ressources et dépenser ton argent, ça ne sert à rien… ou chopes-en un gratuit ;

Alors déjà, décomposons la question histoire d’être un minimum raccord.

Quand on parle d’antivirus, on parle un peu souvent de tout et de rien… je m’explique :

• Un antivirus, c’est un logiciel qui va se contenter “principalement” de vérifier si le hash d’un fichier, d’un programme, et autre, n’est pas malveillant. Il ne peut pas protéger contre des attaques plus complexes… même par exemple une attaque de phishing. Alors oui, la plupart proposent des extensions web et autre, mais ce sont des ajouts par-dessus l’antivirus lui-même.
  
• Un EDR, pour Endpoint Detection and Response quant à lui est déjà une solution plus poussée. Il ne va pas simplement vérifier le hash des fichiers, il peut analyser des logs, ou vérifier si c’est bien normal que tel processus appelle par exemple Microsoft Word pour effectuer telle action. Il peut aussi incorporer de l’intelligence artificielle.
  
• Un XDR, pour Extended Endpoint Detection and Response, en général utilisé en entreprise. Même principe que l’EDR, sauf qu’ici l’outil va être nourri par différentes sources d’informations: logs d’un serveur Syslog, informations d’outils réseaux, etc. Tout ça dans le but de faire principalement de la corrélation.
  
• Le MDR, pour Managed Detection and Response. Là on est clairement dans le monde pro’, c’est un XDR mais managé, que ce soit par votre propre service IT ou par une équipe dédiée, comme des consultants ou des salariés de l’éditeur lui-même.

Comme vous pouvez le voir, déjà on a une avalanche d’acronymes dans cette profession, mais en plus la plupart des gens par abus de langage regroupent ces termes sous Antivirus.

Maintenant qu’on y voit déjà un peu plus clair, on peut commencer à émettre une première réponse. Alors celle-ci est bien-entendu personnelle, comme dit plus haut, et je vulgarise énormément, donc pas la peine de (déjà) sortir vos haches et épées.

Selon moi, surtout en 2024 avec l’avènement toujours plus grandissant de l’IA, un antivirus est d’une part obligatoire, mais qui plus est d’ores et déjà insuffisant. Je m’explique :

Nous ne sommes pas encore dans un monde où la majorité des gens, néophytes comme professionnels, sont assez formés à la cybersécurité. La vérité est que les gens continuent de ne pas faire attention à leur vie privée, à télécharger illégalement des films, séries, des jeux piratés… Ou encore à ne pas faire attention à l’expéditeur ou l’URL d’un mail de phishing. Aucun jugement ici, mais ce genre de comportements “à risque” existe bel et bien, et fragilise grandement la sécurité de l’utilisateur. Si en prime, ce dernier n’a aucun rempart (pare-feu réseau, antivirus, EDR, etc), on va droit à la catastrophe.

L’IA est donc déjà très présente… Mais même sans parler d’elle, la majorité des attaques ont déjà évoluées… vous le voyez par vous-même : à l’époque le phishing c’était tel homme riche d’Arabie Saoudite qui vous léguait une partie de sa fortune, avec d’innombrables fautes d’orthographe, des liens à rallonge, et plus encore… désormais vous pouvez obtenir ce genre de chose :

Alors certes, ici l’exemple est tout de même frappant au vu de l’expéditeur/destinataire, mais tout de même. On arrive de plus en plus à des attaques bien ficelées.

On peut aussi parler du dark web un court instant : le nombre d’achats/reventes de fuites de données à explosé ces dernières années, la démocratisation d’outils de hacking/de ventes d’exploits 0-days aussi… alors concernant les deux l’utilisateur ne peut rien y faire, mais prenons le cas du 0-day, si vous avez un bon EDR, il y a déjà “plus de chances” que ce dernier bloque l’exploit car il aura remarqué une activité anormale (calc.exe qui s’octroie des privilèges administrateurs par exemple, ou que sais-je).

Et enfin, dans un contexte entreprise, on peut parler des virus polymorphes, des APT, et autres joyeusetés…

Dans ce cas, faut-il acheter un EDR ? Quid des éditeurs proposants des outils gratuits ?

Alors ici, vaste débat… je ne vais pas ressortir le cliché du “Si c’est gratuit, c’est vous le produit” (oops je l’ai fait), mais elle n’est pas totalement fausse.

Imaginons que vous installiez Kaspersky Free Edition, bon c’est un simple Antivirus avec quelques babioles en plus :

Sur 6 protections de base, déjà 3 sont payantes. Après je digresse de la question de base, et j’ai pris l’exemple de l’éditeur Russe mais on peut parler de Norton, Avira, et consorts. Pour ma part, j’ai testé bon nombre de solutions gratuites, car j’estime que je faisais tout de même attention à ma sécurité sur Internet, mais au vu des nombreuses fonctionnalités non-disponibles, je me suis rabattu sur des solutions payantes. A une époque, j’avais même testé des outils Open-Source ! Ici j’ai envie de dire, c’est à vous de voir, en concertation avec votre budget/vos attentes, comme pour pas mal de choses. Après tout, on ne tue pas une mouche avec un bazooka.

Niveau vie privée, je déconseillerai tout de même les solutions de backup Cloud intégrés aux outils, ou les gestionnaires de mots de passe… après ça n’engage que moi. Puis bon, à force de trop se diversifier, on perd de son expertise non ?

J’ai demandé un EDR, pas un “Nettoyeur de fichiers volumineux” ou encore un “Analyseur de programmes peu utilisés“…

D’accord, mais je fais attention à ce que je télécharge, j’utilise un VPN, et un antivirus/EDR fait ramer mon PC

Bon alors ici je vais zapper volontairement la partie VPN, ça ferait l’objet d’un autre article tant les gens ne comprennent juste pas ce que c’est, et combien les éditeurs (NordVPN coucou) font de la publicité de masse comme s’ils vendaient des grilles-pains, mais soit.

Le classique “ça ralenti ma machine” on l’a entendu et encore entendu… alors, toujours selon moi :

On est en 2024, comme dit plusieurs fois… Même vos parents ont sûrement un laptop avec minimum 4Go de RAM voir 8, et n’ont pas un vieux Intel Core 2. Alors attention, je ne dis pas qu’il faut une bête de course, mais en théorie, la majorité des gens ont une configuration suffisante pour ne pas avoir de lenteurs avec un antivirus/EDR, et la plupart des softs ont même un mode Gaming ou autre pour diminuer encore plus les éventuelles lenteurs occasionnées.

Mise à part lorsque l’EDR réalise un deep scan, où la RAM peut monter voir même être pas mal saturée (je prends l’exemple de Sentinel One pour le coup), vous ne verrez aucune lenteurs. Et puis on parle d’un scan qui peut être ajusté, par exemple une fois par semaine le vendredi à 12h.

A l’époque je ne dis pas, il y a encore peut être 5-10 ans, mais de nos jours… vraiment ? Pour le coup je ne comprends pas trop cet argument je vous avoue.

On pourrait même étendre cette question à “Je suis sous MacOS/GNU-Linux, je risque rien“. Ici aussi, et je la fais en rapide, les temps on changés… il existe des virus pour ces deux OS, et ils sont activement exploités.

En conclusion… ?

J’ai écrit cet article un peu d’une traite, bon non sans forcément réfléchir un minimum, on se comprend. Mais j’omets sûrement pas mal de choses, et puis le but est de faire un premier jet voir si ce genre de format vous plaît, et surtout avoir vos retours !

Comme dit en début, je n’ai clairement pas la prétention de me dire “expert”, et ce sont mes avis à l’instant T, comme toujours en informatique et encore plus en cybersécurité, tout change très vite. Il se peut très bien que dans trois mois je vous dise l’inverse, ou que je modère certains points.

Enfin bref, tout ça pour vous dire que selon moi, il est important de sécuriser son poste personnel, et que même si vous faites bien attention à vos mails, votre navigation web et autre, on peut tous avoir un moment de faiblesse, et avec les menaces grandissantes et toujours plus évoluées… c’est prendre un certain pari que je ne permettrai pas. Sortez couverts comme dit l’expression !

P.S: Je n’ai pas parlé de la protection parentale offertes par certains softs, de l’évasion d’EDR, ou encore de la protection des tablettes smartphones… en réalité on pourrait digresser pendant des heures tant le sujet est vaste. Je vous laisse le soin de poser votre avis/vos compléments dans les commentaires !